自2017年WannaCry、NotPetya席捲全球以來，勒索病毒一直以不可忽視的危害性和破壞力，被全球企業和機構視為最大網路威脅之一。回顧整個2020年，受新冠疫情大流行和全球數字化程序加快的驅動，數以百萬計遠端辦公場景的快速激增一定程度上因網路開放度的提升和介面的增多，而給勒索病毒造就了新的攻擊面。

SonicWall第三季度威脅情報資料顯示，勒索軟體攻擊以40%的增長率，位居2020年增長最為迅猛的網路威脅榜首。同時，安全公司CrowdStrike最新調查資料顯示，有56％的企業表示在過去一年內曾遭受過索軟體攻擊。其中，全球71％的網路安全專家更擔心由COVID-19引發的勒索軟體攻擊。

"瘋狂"速度增長的攻擊規模和頻率，加之驚人的破壞力，使得勒索病毒以成為2020年幾乎籠罩在全球企業、機構心頭的一團"烏雲"。全球知名安全公司Check Point研究指出，勒索軟體是2020年給企業、機構造成損失最大的攻擊手段。而相關資料披露，預計到2021年，全球由勒索軟體攻擊帶來的損失將增至200億美元。

在加速構建的數字化新場景下，面對更為瞄準企業或機構、技術手段越發成熟且多變、產業分工更精細的勒索病毒攻擊，跳脫贖金"綁架"的有效防範與應對已成為各行業和領域的必答題。換言之，面對持續表現出旺盛活躍度且信用度不高的勒索病毒攻擊團隊，依賴贖金支付的修復策略已經失效，而防患未然的安全前置部署正顯得更為重要，是最大限度規避攻擊風險、降低攻擊成本的有效路徑。

不難看出，在安全前置部署中，2020年已發生的勒索軟體攻擊事件所呈現的"對手"軌跡將為企業和機構制定應對策略、佔據攻防優勢提供重要參考。"知己知彼"顯然應為企業和機構實現有效防禦的第一步。

持續"進化"革新，勒索病毒的"瘋狂"模式才剛剛開啟

眾所周知，勒索病毒實際上是一種透過劫持企業或個人資料檔案和系統以索要贖金的惡意軟體。其能透過電子郵件、遠端桌面協議（RDP）網站木馬、彈窗、可移動儲存介質等載體，實現對使用者檔案、資料庫、原始碼等資料資產的加密劫持，從而以此為條件向用戶索要贖金以換取解密密匙。

從最初的"艾滋病木馬"（或PC Cyborg）軟盤到2017年的WannaCry、NotPetya，勒索病毒攻擊表現出的變種繁多且難以查殺、傳染性極強且難以追蹤等特點，使其以"勢不可擋"之勢在全球範圍內"肆虐"。在2018年短暫"醉心"挖礦之後，受加密貨幣價值變化無常和企業級攻擊利益攀升的雙重影響，勒索軟體攜帶著日趨成熟的手段革新和愈發隱蔽、複雜的"進化"能力，在後疫情時代開啟了"重灌上陣"的瘋狂模式。

無論是從攻擊頻率、勢頭，還是在攻擊技術和策略的複雜程度，以及引發的成本損益，"瘋狂"模式下的勒索軟體較之以往都表現出了持續"進化"後的新特徵。企業及機構不得不認清一個事實：正如全球知名安全公司賽門鐵克（Symantec）在最新報告中提及的，2021年針對性勒索軟體仍是最大威脅。

· 從贖金換金鑰到資料盜取，雙重勒索漸成主流

某科技供應商拒付贖金遭機密洩露、勒索軟體攻擊者因未收到贖金公開洩露了某公司資料等事件的發生，都在指向勒索軟體攻擊策略的同一演進趨勢，即"雙重勒索"。

這一"業務創新"最早是由Maze勒索病毒團隊在2019年率先實施，至今已為Sodinokibi、Lockbit等勒索團隊所效仿。與傳統基本信守支付贖金即提供解密金鑰的策略不同，雙重勒索採取先竊取政企機構敏感資料，再對企業資產進行加密的攻擊路徑。如若相關政企機構一旦拒絕繳納贖金，攻擊者將以在暗網公開部分資料威脅實施進一步勒索。若再失敗，則將直接公開所有竊取資料。

這一趨勢似乎是攻擊者對抗企業資料備份方案增多、避免勒索失敗而進行的策略"進化"。在數字化加速推進的當下，這無疑將迫使政企機構面臨更大的資料洩露壓力。換言之，被攻擊者不僅要面臨資料洩露帶來的經濟損失，還需要承受贖金支付後資料仍被公開的不確定性，以及相關資料洩露法規的處罰和聲譽影響。從暗網中持續增多的勒索攻擊資料洩露網站上看，雙重勒索正漸成為勒索軟體攻擊的新主流。

· 從個人到企業，目標精準的擴延"戰術"

安全公司Malwarebytes 2019《勒索軟體回顧》報告顯示，2019年，針對企業的勒索軟體攻擊數量首次超過了針對消費者的數量，且與2018年第二季度相比，2019第二季度同比增長了363％。換句話說，勒索軟體攻擊已由最初面向個人消費者的"廣撒網式"安全威脅，完成了向具有高度針對性和定向性的企業級安全威脅的演變。

據騰訊安全《2020上半年勒索病毒報告》分析，受企業級安全攻擊高回報率的誘惑，越來越多的活躍勒索病毒團伙將高價值大型政企機構作為重點打擊物件。勒索病毒產業鏈針對政企目標的精確打擊、不斷革新的加密技能、規模化的商業運作，正在世界範圍內持續產生嚴重危害。簡言之，未來，政企機構將面臨比個人更為嚴峻的勒索病毒攻擊局勢。

與此同時，從2020年勒索攻擊事件輻射的範疇上看，當前勒索軟體攻擊顯然已跳出了瞄準醫療行業的侷限。費城天普大學研究團隊透過針對全球關鍵基礎設施的勒索軟體攻擊跟蹤發現，近兩年來，各行業遭受的勒索病毒攻擊頻次逐年上升。其中，僅2020年前8個月就有241起與關鍵基礎設施相關的勒索軟體攻擊事件，涉及科技、航運交通、金融、商業、教育、政務等各個行業領域及其遠端辦公、線上業務等場景。

此外，工程師Hron在2019年6月透過修改韌體，成功將一臺智慧咖啡機改造成了勒索軟體機器等類似事件的發生，還映射出了勒索軟體攻擊的一大新發展方向。即伴隨著物聯網的普及應用，各類IoT裝置或將為駭客實施勒索攻擊提供新突破口和跳板。事實上，相關事實顯示，早在2017年，就出現了首個針對聯網裝置的勒索軟體攻擊報告：55個交通攝像頭感染了WannaCry勒索軟體。換言之，新技術的應用普及也將衍生出更多的攻擊變化。

· 贖金之外，持續攀升的攻擊損失

很顯然，動輒成百上千萬級美元的贖金是勒索軟體攻擊帶來的最直接的損失。然而，伴隨著"雙重勒索"策略的常態化，在高額贖金帶來的巨大經濟損失之外，遭受攻擊的企業及機構還將面臨包括機會成本、產效降低、品牌和信譽損失、風險事故處理成本、內部士氣損害等方面的損耗挑戰。

一方面，勒索軟體的攻擊往往會造成政企機構的網路系統和資源陷入癱瘓、宕機。而由此引發的業務中斷，勢必給政企機構的產能和生產效率帶來大幅削減、降低的影響。

另一方面，隨著勒索攻擊加密效能、投毒方式、定向攻擊、商業合作等技術和策略上的升級，相關政企機構還需要面臨事故處理成本增加投入的問題。這一投入包括時間和人力上的雙重挑戰。McAfee最新調查報告《The Hidden Costs of Cybercrime》中支援，對於大多陣列織來說，勒索攻擊事件發生後，平均需要安排8個人，用時 19 個小時對IT系統或服務進行恢復補救。這顯然不僅增加了被攻擊方的風險處理成本，還或因外部援助和風險保險等方面需求的激增，衍生出新的成本增長點。

再者，從長遠來看，勒索軟體攻擊帶來的業務中斷通常會使使用者體驗受到不同程度的影響，從而導致使用者對企業及機構的品牌信任度和聲譽存有質疑，同時還在一定程度上將對企業員工計程車氣造成負面影響。而這無形中也將增加被攻擊企業或機構在品牌聲譽和內部企業文化上的額外投入。Veritas Technologies的最新調查研究顯示，44％的消費者表示會停止從遭受過勒索軟體攻擊的公司購買商品。

贖金換密正在失效，防患未然方為"上策"

"贖金到底該不該付？"一直以來都是業內在應對勒索軟體攻擊時備受爭議的問題。儘管在大多數企業機構看來，向勒索軟體攻擊團隊支付贖金的行為一定程度上是對攻擊行為的縱容，但仍有部分企業或機構基於資料價值和自我修復成本等的考慮，而選擇與勒索軟體攻擊者達成妥協交易。

然而，類似某電商支付公司在給駭客支付贖金的同時，其資料仍被駭客"撕票"等事件的發生，加之美國財政部外國資產控制辦公室(OFAC)"向勒索攻擊者支付贖金將面臨處罰"警告的釋出，都在表明：試圖透過支付贖金以換取解密金鑰的危機處理策略因不確定的攀升和政策處罰的雙重壓力，正在失效。正如騰訊安全專家所言，面對愈見覆雜的勒索軟體攻擊局勢，防患未然是身處數字化大潮下的企業都必須重點考量的關鍵。

· 從業務角度最佳化防範決策

結合企業場景風險需求特點，從勒索病毒攻擊即將對業務造成的損失量化出發，找準安全影響的重要節點，制定匹配業務連續性的安全決策，提升安全關鍵防禦部署的準確性。簡單來說，就是把每一分支出都花在"刀刃"上，獲取最佳防範效果和回報率；

· 加固日常風險運維管理體系

首先應深入強化應對勒索軟體攻擊的內外滲透測試，提升風險防禦機制靈活度和響應速度；其次，針對暴露於公網且預判易受攻擊的系統、伺服器和網路遠端連線，啟用高熵密碼（消滅弱密碼）和雙因素身份驗證（2FA），儘可能減少攻擊滲透的突破口。針對遠端連線場景，做好RDP協議防護，嚴格限制遠端訪問。對於存在弱口令的系統，需在加強使用者安全意識的前提下，督促其修改密碼，或者使用安全策略來強制各節點使用複雜密碼，避免遭遇弱口令爆破攻擊。在一些關鍵服務上，加強口令強度，並使用加密傳輸方式；

此外，業內專家還認為或可透過零信任安全的實踐，透過其最小特權訪問、微分離、持續驗證、多因子身份認證以及異常行為識別的全面功能，實現對勒索軟體攻擊的阻斷。

· 最佳化威脅態勢監控機制

網路管理員、系統管理員、安全管理員應持續關注並掌握最新安全資訊、安全動態及最新的嚴重漏洞，並將其結論成果轉化至攻與防的迴圈和伴隨每個主流作業系統、應用服務的生命週期中。與此同時，部署流量監控/阻斷類裝置/軟體，便於事前發現、事中阻斷和事後回溯。同時，與供應鏈夥伴形成資訊共享互通，最大限度地掌握風險動態，達到提升威脅預警能力的目的。

· 提高員工安全意識

定期進行安全培訓，以確保員工可以發現並避免潛在的網路釣魚電子郵件。在騰訊安全專家看來，日常安全管理可遵循"三不三要"思路，即不上鉤（標題吸引人的未知郵件不要點開）、不開啟（不隨便開啟電子郵件附件）、不點選（不隨意點選電子郵件中附帶網址）、要備份（重要資料要備份）、要確認（開啟電子郵件前確認發件人可信）、要更新（系統補丁/安全軟體病毒庫保持實時更新）。

· 強化安全災備預案策略

資料備份被認為是當前企業機構防禦勒索軟體攻擊的有效做法之一。因此，企業應當定期備份IT和OT網路系統相關資料，以便在發生災難性故障時，能夠及時恢復。對此，騰訊安全建議可按資料備份321原則進行安全災備，即至少準備三份備份、兩種不同備份介質和一份異地備份。

知名投資諮詢公司 Cybersecurity Ventures預計，2021年企業每11秒將遭受一次勒索攻擊。可以預見，數字經濟新週期下，巨大的企業級利益正在誘發更為猖獗的勒索軟體攻擊。可以說，身處在產業數字化大潮中的每一個企業或機構都可能成為勒索軟體的下一個攻擊目標。做好前置安全部署以防患未然，顯然是各企業與機構面對新威脅局勢的重要計劃。