腾讯安全：2020上半年勒索病毒报告（31页）.pdf

《腾讯安全：2020上半年勒索病毒报告（31页）.pdf》由会员分享，可在线阅读，更多相关《腾讯安全：2020上半年勒索病毒报告（31页）.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、 勒索病毒重点狩猎企业服务器，攻击更勒索病毒重点狩猎企业服务器，攻击更 加肆无忌惮加肆无忌惮 腾讯安全发布腾讯安全发布2020上半年勒索病毒报告上半年勒索病毒报告 一、一、勒索病毒勒索病毒危害危害半年半年概览概览 上半年全球大型企业遭受勒索病毒打击的事件依然高频发生， 勒索病毒对政企机构的精 准攻击形势依然严峻。 最活跃的勒索病毒家族发起针对性极强的大型狩猎活动， 对企业开出 天价解密赎金；新型勒索病毒层出不穷，技术上不断进化；从单纯的赎金换密钥，升级到不 给赎金就公开机密数据，勒索病毒黑产已变得更加肆无忌惮。 勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作， 正在

2、世界范围内持续产生严重危害。腾讯安全大数据显示，2020 上半年依旧十分活跃，但 勒索病毒总的感染情况较去年略有下降： 图 1 从勒索病毒攻击的地区分布看，广东、浙江、山东、河南、上海最为严重，其它省份也 有遭受到不同程度攻击。 图 2 从勒索病毒影响的行业看，传统企业、教育、医疗、政府机构遭受攻击最为严重，互联 网、金融、能源也遭到勒索病毒攻击影响。 图 3 二、二、上半年上半年勒索病毒攻击的主要勒索病毒攻击的主要特点特点 1. 攻击行动精确打击，潜伏、制造严重攻击行动精确打击，潜伏、制造严重破坏破坏，迫使受害者就，迫使受害者就 范范 活跃勒索病毒团伙， 越来越多地将高价值大型政企机构作为重

3、点打击对象。 为了追求利 益最大化，多数情况下，攻击者并不满足于加密企业内的一台机器。攻击者往往在攻陷企业 一台网络资产之后， 会利用该资产较长时间持续渗透攻陷更多资产， 之后大量植入文件加密 模块，从而迫使企业在业务系统大面积瘫痪的情况下缴纳赎金。 腾讯安全专家对勒索病毒的技术分析发现， 勒索团伙针对特定目标精准打击的特点极其 明显：2020 年 6 月，本田集团遭受 SNAKE 勒索团伙打击，全球范围内众多业务受影响， 该案例中就发现攻击团伙在病毒代码中硬编码了本田集团相关的系统名、公网 IP、域名信 传统行业传统行业 42% 教育教育 18% 互联网互联网 5% 医疗医疗 15% 政府机

4、构政府机构 15% 金融金融 2% 能源能源 1% 其它其它 2% 勒索病毒攻击的受害企业行业分布勒索病毒攻击的受害企业行业分布 息。这意味着勒索攻击行动是精心策划、蓄谋已久。 图 4 图 5 图 6 腾讯安全高级威胁追溯系统查询到该病毒样本仅针对本田公司 2. 从勒索赎金换密钥到不付赎金就公开企业机密从勒索赎金换密钥到不付赎金就公开企业机密 为了应对日益严重的勒索病毒攻击， 企业部署数据备份方案明显增多， 当遭遇勒索病毒 加密系统时，会首选自行恢复，而拒绝缴纳赎金。攻击者为避免勒索失败，采取了新的勒索 策略：攻击者先窃取政企机构敏感数据，之后再对企业资产进行加密。如果企业拒绝缴纳赎 金解密，

5、就在暗网“耻辱墙”页面公开企业部分敏感数据进一步实施勒索，如果企业依然拒 绝缴纳赎金，勒索团伙就会直接公开所窃取的企业敏感数据。 这种“业务创新“是 2019 年由 Maze 勒索病毒团伙率先实施，至今已被众多勒索团伙 效仿（Sodinokibi，Lockbit，Ako，NetWalker，CIop，DoppelPaymer.）。数据泄 露对大型企业而言，带来的不止有经济上的损失，还会严重影响企业形象，失去公众信任， 整体会带来极大的负面影响。 面对这种以泄露数据为手段的勒索攻击， 备份系统已无可奈何， 许多企业被迫选择支付赎金。 图 7 图 8 3. 僵尸网络成为勒索病毒传播的中坚力量僵尸网

6、络成为勒索病毒传播的中坚力量 腾讯安全团队观察到多个利用僵尸网络传播扩散的勒索病毒家族，例如 GandCrab 勒 索团伙获利超 20 亿美金， 该病毒与 Phorpiex 僵尸网络的持续投递就有着密不可分的关系。 Ryuk 勒索病毒长期以来依赖 Trickbot、Emotet 僵尸网络对大型企业进行精确打击，Ryuk 开出的勒索赎金通常为数百万元， 多个欧美国家政府机构在面对 Ryuk 的打击时选择了缴纳 赎金。 新开发出的勒索家族为了快速切入市场， 也会选择与僵尸网络进行合作， 依靠僵尸网络 庞大的感染基数迅速扩张，得到市场知名度以获取到与更多投递者的合作机会。2020 年至 今，腾讯安全