1 概述

受全球数字化进程加快驱动，数以百万计的远程办公需求快速激增，互联网流量、接口暴增，网络犯罪分子越来越有利可图。在过去的2021年里，全球各地一些针对性、极具破坏性的勒索攻击事件频频出现，攻击手段层出不穷、赎金规模更是创下历史新高。

如今，勒索软件攻击已经是网络安全的最大威胁之一，已从早期网络滋扰发展成为如今危害社会运作、经济稳定和公共安全并不断升级的全球新挑战。

随着勒索组织引入越来越多的破坏性TTPs，同时，勒索活动逐渐组织化、产业化，大大降低了非技术人员参与到勒索牟利行业的门槛，勒索攻击势力得以迅速蔓延，使得接入互联网的组织无形中都成为了潜在的受害目标。相比2020年，勒索攻击事件严重程度和赎金规模在2021年都达到了新的高度。

新华三安全攻防实验室长期致力于网络攻防研究，基于团队持续威胁狩猎、活跃勒索组织追踪，从目标、技术、模式、施压、赎金等角度，现总结2021年针对性勒索攻击活动及趋势如下。

2 2021针对性勒索攻击活动

随着安全研究人员及安全厂商对勒索病毒的长期分析和深入研究，网络安全设备和终端杀毒软件等对勒索病毒的拦截率持续上升，同时无差别勒索攻击利润持续走低，受此双重因素影响，勒索犯罪者开始转变攻击思路，逐渐开始挑选拥有足够支付能力的目标展开攻击活动。

从2021年内企业、机构等受害目标数量来看，勒索攻击事件发生频率整体呈上升趋势，勒索犯罪产业威胁程度显著增加。

2.1 勒索攻击组织化发展

然而，针对大型目标进行勒索虽然可以获得更高的赎金规模，其复杂的网络结构和立体的防御能力却对勒索攻击者的技术手段和勒索策略提出更高的要求，勒索犯罪团伙开始向高度的组织化和规模化发展。

为了扩大勒索规模，勒索组织形式不断创新，从分工明确的小型团伙中衍生出RaaS（Ransomeware as a Service，勒索软件即服务）形式的“商业化”模式，凭借技术支持与赎金分成吸引合作者以提高组织整体规模，从2021年主要勒索组织的攻击事件统计来看，最活跃的勒索组织基本都以RaaS模式运营，其中2019年首次出现并于2021年成为最活跃的勒索组织Conti，更是RaaS勒索模式发展过程中“成功”的典型。

2021年，网络勒索犯罪团伙发生一些改变，老牌勒索组织在执法部门的打击下停止运营如Avaddon；新兴勒索组织不断涌出如Hive、HelloKitty；更有勒索组织改头换面，如DarkSide更名为BlackMatter，以另一种身份躲避追查，继续展开攻击活动。

在这场勒索风暴所产生的巨大利润驱使下，勒索攻击活动从未停止，而是变本加厉。新华三攻防实验室总结了2021年来活跃勒索组织发展动态，详细介绍见报告附录。

2.2 针对性勒索攻击事件

这些勒索组织借助其产业化优势，在2021年内活跃程度不断增长，受害者遍布全球，其中不乏一些知名厂商和政府机构。受害者可能不仅面临数据的破坏和经济的损失，甚至会陷入因泄露数据而被监管机构制裁的困境。

从2021年内发生全球各地发生勒索攻击事件来看，针对大型目标展开定向攻击依然是勒索攻击活动中最主流的威胁方式。但是，要针对拥有高额支付能力的受害目标展开攻击，同时也对勒索组织自身有着更高的挑战和要求。勒索组织者跟随主流勒索发展趋势的同时，也在谋求新思路、升级新技术。

3 目标：勒索攻击目标行业趋势分析

大型企业、机构的网络生态结构复杂多变，受利润、风险、攻击成本等因素的影响，攻击者在目标的选择上有较为明显的趋向性。下图展示了2021年勒索组织攻击事件受害行业分布情况：

结合全球范围内多次勒索攻击事件来看，勒索组织针对目标行业的攻击主要呈现以下四种特点：

3.1 实体数量较多的行业是勒索受害重灾区

2021年，制造业、专业&法律服务行业受到勒索攻击事件影响最为严重，占攻击事件的28.68%。究其原因在于这两个行业的实体数量较多且分散，工业和网络资产在互联网上流动量频繁，因而暴露给勒索组织的攻击面更广，如远程桌面协议和虚拟专用网服务。

通常，勒索软件更容易潜伏到滞留在传统安全防护措施的大型目标中。而工业实体行业因其行业规模化、功能化等特性而依赖于传统的、脆弱的IT环境，如无法联网升级的杀毒软件、未修补的系统漏洞等，这无疑为网络攻击者留下可利用的攻击途径。

事实上，生产、制造、服务需要大量的运转周期，任何导致停机的恶意攻击都会带来高昂的开销成本。攻击者正是瞄准了实体行业面对生产交付、业务恢复等困境，针对大型制造业的勒索攻击往往会取得成功，这种激励模式也引诱一批批的勒索组织加入对该行业的攻击活动中去。

3.2 规模小、安全预算不足的企业面临多重风险

据《华尔街日报》统计，在收入超过10亿美元的公司中，有81%的公司有网络安全计划，在收入低于5000万美元的公司中，只有63%的公司有网络安全计划。可以看出，企业的网络安全预算投入与其规模呈正比，这与我们观察到中等规模及以下的公司更容易遭到勒索的现象不谋而合。

在规模较小的企业内，往往缺少专业的网络安全防护团队，数据备份、漏洞修补等安全防护工作落实不到位。较于大型企业，中小型企业基础设施脆弱、防御规划预算紧张、尤其正急于从传统实体向数字化转型而采用各种新技术但却忽略其带来的新风险，种种因素增加了网络犯罪者的攻击成功率。

更严重的是，中小型企业缺乏网络安全防范可能会通过复杂供应链将风险传导给其他合作企业。在企业间的生态合作体系中，攻击者将其作为跳板，进而渗透到上游大型、高价值目标的网络系统中。

3.3 勒索组织开始将攻击目标转向云上业务

除了行业上的变化，勒索组织还将自身能力向其他业务平台延伸。早期勒索组织常年活跃在Windows平台，随着智能终端设备海量化接入、技术结构异质化、对数据存储可扩展性需求等因素，从大型企业到小型实体行业都纷纷实现“All in Cloud”。云上业务蓬勃发展的同时也带来了一些新的技术，如虚拟化，使得用户展示给黑客的基础攻击面不断放大，持续面临漏洞的威胁。

在此背景下，越来越多的勒索组织为扩大攻击势力范围，将黑手伸向云端，由此产生一个新术语——Ransomcloud。目前，活跃勒索组织Babuk、BlackMatter已经衍生出Linux版本，针对EXSI等虚拟化管理平台进行加密勒索。与此同时，勒索组织针对云上新技术如（Software Defined Network，软件定义网络）、NFV（Network Function Virtualization，网络功能虚拟化）带来了新安全设计缺陷和漏洞的攻击也愈加频繁。

IBM分析师DeBeck统计，在过去一年中，在所有危害云环境系统的攻击案例中，勒索软件与加密挖矿软件占检测50%以上。此外，云服务配置错误也是常被攻击者实现渗透的一个重要切入点，正如云安全专家Fiser所说：云用户应该像对待漏洞和恶意软件一样重点关注云错误配置问题。

3.4 特定行业也不能保证获得豁免

勒索组织针对性攻击事件带来了严重的社会影响，导致执法机构对于勒索组织的关注越来越高。2021年，DarkSide针对美国油气管道公司的勒索攻击导致重要业务停摆，对社会生活造成严重影响后，美国将勒索软件攻击提升至恐怖主义同等优先级，并持续施加高压，压缩其生存空间。

为了避免执法机构高度关注，一些勒索组织停止运营或以其他身份重新展开活动。6月份，Avaddon宣布正式退出勒索运营，DarkSide在攻击油气管道事件后改名BlackMatter。此外，一些活跃组织公开声明会谨慎选择目标，避免引起执法机构的过度关注。

其中，Babuk勒索组织声称不会对医院、非盈利性组织、学校和小企业展开攻击；REvil也因美油气管道公司事件，宣布会严格审查其附属机构的攻击目标。据调查显示，47%的勒索软件攻击者拒绝购买医疗保健和教育行业公司的访问权限，37%的组织禁止攻击政府部门，而26%的组织声称他们不会购买与非盈利组织相关的访问权限。

问题在于，即使一个企业在勒索组织的排除范围内，也不意味着该企业具有勒索豁免权，因为部分勒索团伙并不会过分的挑剔攻击目标。毋庸置疑的是，无论属于何种意义上的企业性质，都必须对防范勒索攻击保持第一警觉。

4 技术：勒索攻击现状与发展

每个勒索组织维持着它们特有的攻击方式，在此基础上，不断突破以寻找新的利用点，攻击手段不断更新。一旦攻击者突破目标网络边界获得初始访问驻点，获取筹码的手段包括但不限制于窃取目标机密文件、向目标网络中部署文件加密模块或实施其他犯罪计划，掌握到足够的筹码后，最终向受害者发送勒索信，勒索赎金。

围绕活跃勒索组织入侵的各个阶段常用的技术与策略，结合ATT&CK模型，新华三攻防实验室总结入侵各个阶段主要使用技术点，如下表。

4.1 初始访问权限

勒索攻击整个入侵周期手段复杂多变，而获取初始访问权限作为入侵最开始的一步，也是最富有挑战和难度的一步。无论是勒索组织本身，代理机构或是其他服务勒索犯罪产业的犯罪者，为了获取初始访问权限，几乎采用了所有广泛和常见的策略。

从初始入侵统计结果中可以得出，暴力破解获取远程访问服务的凭据、利用未修补的漏洞以及钓鱼邮件仍然是勒索攻击者的主流攻击向量。攻击者不断试探网络中可利用的攻击面，一旦获得权限，意味着他们可以穿透边界保护直接渗透到企业内部网络中。

初始访问权限指的不仅是VPN（Vitrual Private Network，虚拟专用网络）、RDP (Remote Desktop Protocol，远程桌面协议)和 SSH(Secure Shell，安全外壳协议)等可以直接进入目标网络的账户，还包括各种未授权访问或存在可执行漏洞的在线资产，当然，感染了恶意软件的办公主机也包含在其中。获取这些访问资源的手段复杂程度各异，成功率也互有差距。

1.利用未及时修补的漏洞
一些受害目标由于其网络安全意识淡薄，不注意对资产的漏洞进行及时修复，为勒索攻击者提供了一条高效获取初始访问权限的攻击路径。不过，值得注意的是，即使是防护严密、注重安全的潜在目标，也可能存在长期被忽略的边缘资产，给组织带来极大的安全风险。特别的，每当重大漏洞被披露时，大型企业或机构由于其网络资产数量庞大，难以在短时间内梳理出的所有的漏洞资产并进行修复。这种情况带来的时间差，成为勒索攻击者的“黄金时间”。

2021年12月10日凌晨，Apache Log4j2远程代码执行漏洞细节被公开，log4j作为Java开发最重要的日志记录工具，不仅被应用到大量的业务框架中，还深深嵌入Java堆栈级别，这无疑为攻击者提供了全新的进攻模式维度，也使Apache Log4j2远程代码执行漏洞成为2021年度重量级的漏洞。许多软件开发人员连夜修复漏洞，尽量减轻因该漏洞带来的负面影响。然而，不到一周时间，勒索组织Conti就已经将Log4j2加入自己的武器库，并将其应用于受害者完整的攻击链中，其跟进与响应速度惊人。

2021年，危害严重的漏洞远不止Apache Log4j2远程代码执行漏洞一个。勒索攻击者频繁利用高危漏洞，不断升级其武器库，扩大攻击势力范围。我们总结了2021年来被频繁利用并造成严重影响的漏洞，并绘制高危漏洞利用热点图，如下图所示。

其中，微软 Exchange Proxylogon漏洞(CVE-2021-26855等)被包括DearCry和Black Kingdom在内的多个恶意加密团伙利用，发动勒索攻击。另外，REvil组织攻击宏碁的勒索活动中使用了该漏洞。

Accellion FTA多个漏洞(CVE-2021-27101等)也造成极大影响，CL0P组织利用这些漏洞，入侵了大量受害者的服务器，窃取文件数据并进行勒索，提高了2021年前三个季度等平均赎金，CL0P也因此一跃成为2021年最活跃的勒索组织之一。

所幸的是，我们可以借助IPS（Intrusion Prevention System，入侵防御系统）和WAF（Web Application Firewall，Web应用防火墙）等网络安全设备轻松识别网络流量当中攻击向量，给予有效阻断。

2.钓鱼邮件&钓鱼链接

利用钓鱼邮件入侵目标网络是针对目标进行勒索攻击的另一重要手段。攻击者通过精心构造、看似合理的邮件主题和内容，诱导企业内部人员运行携带恶意代码的文档或可执行程序，从而直接获取办公机器控制权。由于钓鱼邮件是针对具体清晰的目标，所以其内容可以高度定制化，主题囊括紧急求助、福利发放、报销等内容，对于内部工作人员极具迷惑性。

利用钓鱼链接也是勒索攻击者进行钓鱼攻击的重要形式。勒索犯罪组织引导受害者访问恶意链接，在不知情的情况下下载并阅览携带恶意代码的文件、安装捆绑恶意软件的应用，或模仿内部网站骗取工作人员内部访问凭据。

但是这一方式并不常常有效，一些拥有一定安全意识的用户，只有看到他们信任的域名才会点击。此时，攻击者为了更具迷惑性，将最终的恶意 URL作为参数嵌入到受信任域的URL中，从视觉上达到欺骗用户的目的。下图展示了攻击者发送的钓鱼邮件链接构成。其中，真正的重定向到恶意链接正是通过参数的形式嵌入到受信任域中。

2021上半年，我们观察到一个新的钓鱼链接利用方式，勒索组织REvil通过SEO（Search Engine Optimization，搜索引擎优化）提升恶意链接在Google搜索引擎上的访问量，进行“SEO投毒”。由于访问排名靠前，受害者往往认为这些网站是合法且受欢迎的，殊不知当点击下载文档时，已经被重定向到一系列最终投放恶意负载的网站。

安全网关、终端安全软件与威胁情报为钓鱼攻击提供新的防护维度，当恶意邮件被投递到邮箱服务器前，邮件安全网关能就能检测其中携带的恶意内容直接过滤，而正常邮件并不会受到影响。即使用户下载、运行了恶意软件，终端安全软件也为提供有效的防护服务，威胁情报系统也能在访问不安全的外部资源或恶意软件连接恶意服务器等行为发生时，协助用户规避安全风险。

3.爆破远程访问服务凭据

远程访问服务为员工异地访问内部资源提供了极大的便利，同时也为犯罪分子带来了可乘之机。如果VPN，RDP和SSH等服务配置了诸如“123456”、“password”等较弱的访问密码，攻击者极有可能使用工具加载包含大量弱口令的字典，通过暴力破解方式获取敏感资源访问权限。

为了对抗弱密码带来的安全风险，很多系统对口令进行了字符和长度限制，如其中较为常见的策略：密码中必须包含字母、数字和特殊字符，且长度不能过低。这种限制也并不代表密码就是绝对安全的，“admin@123456”这样的符合条件却带有风险的“强密码”依然存在。

使用弱口令爆破账户权限是一个技术门槛相对较低的攻击方式，但其有效性却十分显著，实际上大部分勒索攻击事件，其访问入口都与弱的访问凭据有关。

4.2 内网横向渗透

为强迫受害者支付赎金，攻击者需要掌握足够的谈判筹码才能在这一恶意活动当中掌握主动权。当攻击者在目标网络获得立足点后，一般会在内部网络中潜伏多日甚至半年之久，在不引起网络安全管理员注意的情况下继续开展内网攻击。

横向渗透是在复杂的内网攻击中被应用最为频繁的一种技术，借助此类技术，攻击者以被攻陷的主机为跳板由点到面，不断尝试权限提升、凭据窃据、漏洞利用、内网扫描等攻击方法，获取新的主机权限，跨越新的隔离网段，最终获取到诸如Windows域控制器等关键系统访问权限，达到控制大量内网基础设施或关键敏感信息数据的目的。

在很多缺乏专业的网络管理人员的小型机构中，由于内网主机普遍存在老旧漏洞修补不及时、重复使用相同账户口令、权限划分不合理等问题，致使攻击者在内网中肆意横向渗透，并利用这段时间，将所有高价值数据资产渗出、重要备份删除及完成加密软件部署。

8月份，LockFile勒索组织在通过微软Exchange服务器ProxyShell相关漏洞获得对受害者网络的访问权限后，在整个内网横向渗透，并试图利用PetitPotam漏洞获取Windows域控制器的访问权限。勒索攻击者一旦拿下域控制器，会将勒索软件载荷通过域控制器推送到整个域控网络下的所有主机中，其造成的危害是难以估量的。

作为接入互联网中潜在的受害目标，企业无时无刻不处于勒索攻击的威胁范围内。面对攻击者不断更新和发展的技术手段，要求我们时刻保持警觉。其中，完备的访问控制策略、健全的数据备份机制、清晰的网络边界隔离、强有力的网络和终端防护等都是抵御勒索攻击的有效防御应对策略。

4.3 多维度扩展攻击模式

1.勒索与供应链攻击相结合

受针对性的勒索攻击带来巨额赎金利润的驱动，勒索犯罪者为了扩大影响面，表现出对供应链攻击的极大兴趣。供应链攻击的严重之处在于只要攻击者入侵任意一家供应链企业，那么其客户和合作伙伴都可能因此遭受攻击，由此引发的连锁反应将会是全面性和灾难性的。一次完整的供应链攻击借助供应链作为跳板，将供应链存在的问题放大并传递至下游企业，产生攻击涟漪效应并带来巨大的破坏性。

Kaspersky IT安全报告表明，约有三分之一的大型企业遭遇了供应链攻击，给企业造成的平均财务影响高达140万美元，已成为年度损失最高的攻击事件类型。7月份，勒索组织REvil针对Kaseya发起供应链攻击事件证明了这一点。此次攻击通过Kaseya服务器向MSP提供商推送携带恶意软件的更新，甚至导致下游的瑞典连锁超市Coop收银系统遭受严重故障，500余家门店被迫关闭，另外有1500多家公司也深受其影响，索要赎金高达7000万美元，是迄今为止规模最大的供应链攻击事件，给全球网络安全行业都造成了严重威胁。

2.招募目标内部人员

为节约时间开销和攻击成本, 一些勒索组织者试图通过招募目标的内部员工进入内部网络。6月份，LockBit组织就曾试图买通企业内部员工参与勒索计划。这种入侵方式的危害性非常严重，因为内部人员更懂得区分关键业务和机密数据。

3.初始访问代理

勒索相关的攻击手段绝不仅仅只包括以上方式，攻击者为了获取初始访问权限，亲力亲为的策略很难在数量上形成规模，勒索组织将初始访问权限视为可以交易的服务，招募代理委托攻击或向提供商直接购买，导致IAB(Initial Access Brokers，初始访问代理)业务发展迅速。

在这种复杂的攻击模式下，攻击细节十分混乱，攻击事件响应人员几乎无法准确定位攻击的幕后黑手，也为后期攻击者内网活动分析带来阻碍。

然而，这些攻击行为的实施却需要足量的人力支持，一旦勒索组织有了规模化的发展，必然涉及到复杂的管理的问题，为了应对这一问题，勒索组织形成了自己的一套“商业模式”。

5 模式：勒索组织“商业化”愈加成熟

即使一场成功的、有针对性的勒索软件攻击获益不菲，其缺点也是显而易见——完全依赖攻击者并消耗人力。典型攻击中涉及的各个阶段，包括凭据盗窃、特权升级、横向移动、数据泄露、备份删除和有效载荷部署，通常需要攻击者全权负责。一定程度上，网络勒索犯罪分子可以执行的攻击次数受到其劳动力的限制。

5.1 RaaS运营模式成为主流

成功的勒索攻击者发现，他们可以通过招募其他攻击者（称为附属机构）来增加收入，并为他们提供对勒索工具的访问权，以换取赎金支付。同时，将勒索软件相关技术打包成服务进行销售，让没有相关技术和知识的人也能参与到这种“大型”犯罪活动中来。因此，勒索组织衍生出了RaaS的 “商业模式”。如今，RaaS模式高度发达，逐渐走向产业化，这正是勒索软件攻击在短时间内迅速扩散的一个关键因素。

RaaS运营模式有明确的组织分工，开发运营，渗透攻击，赎金谈判等等都有专人负责跟进。正由于RaaS的专业、熟练化分工，近年来勒索攻击事件越演越烈，影响范围不断扩大，据BlackFog预测，2021年以勒索软件攻击为主的网络犯罪所造成的损失预计将达到6万亿美元。

5.2 雇主与附属机构双向选择

作为雇主，一些以RaaS模式运营的勒索组织推出很多优质服务来吸引附属机构。Conti勒索组织通过雇佣附属机构并进行培训、支付工资实现了强大且广泛的攻击能力。这种升级策略使得Conti的攻击范围迅速扩增，在过去一年中，Conti收益占整个勒索软件产业的15%。6月，Lockbit勒索组织强势回归，为了快速吸引合作者加入，运营者将LockBit2.0加密软件与主流勒索加密工具进行横向对比，突出自身在文件加密速度上的优势。
图片来源于LockBit2.0的泄露站点

同时，为实现以加密和公开敏感数据为主要勒索手段的“双重勒索”策略，LockBit还提供高速的数据传输云服务，优质的“服务”让Lockbit勒索组织迅速壮大，半年内就跻身最活跃的勒索组织行列。
图片来源于LockBit2.0的泄露站点

不过，雇佣与受雇是双向选择的过程，勒索软件运营商通过更优质的“商业服务”和更高额的赎金分成比例来吸引附属机构加入的同时，实力水平较高的附属机构也在选择更佳的雇主，在不同的勒索组织间流动。
McAfee研究表明，大多数勒索软件附属机构并不只与某个特定的勒索软件开发人员进行合作。当该勒索组织停止运营后时，其招募的多数附属机构将转移到另一个 RaaS 运营商。

例如，当 REvil组织在7月上旬突然将其Sodinokibi勒索软件业务关闭时，旗下一些附属机构似乎转向了竞争对手的业务。在 REvil停止运营后，LockBit的攻击却显著增加。调查显示，针对使用同一种 TTP（Tactics, Techniques and Procedures，策略、技术和程序）向受害者下发Sodinokibi勒索软件的攻击者，在7月其有效载荷已经切换到 LockBit。

一些附属机构实现从原雇主REvil（Sodinokibi）到新雇主LockBit的完美过渡，究其原因正是因为LockBit曾高调回归并带着它的升级版本LockBit2.0，在地下论坛招募附属机构，并提供更为优厚的待遇。不过即使再优厚的赎金分成比例，也难以填满部分附属机构的对利益的需求，部分开始寻求独立。

5.3 附属机构日渐壮大，开始自立门户

据Symantec报告，目前RaaS交付给附属机构的内容主要包括对勒索软件的访问权、托管泄露数据以及处理赎金谈判外，还有些勒索组织会为附属公司提供一套完备的TTP支持。长期以来，随着RaaS生态业务持续发展，无形中营造了一种氛围，使那些技能较低的附属机构日渐壮大并培养出拥有成熟技能的专业网络犯罪分子，最终可以自立门户。

McAfee研究发现，Groove网络犯罪团伙是从经典的 RaaS 分支出来，与勒索组织Babuk曾有附属关联。8月份，一个前Conti附属机构对其酬劳分成感到不满，并决定在线披露完整的Conti攻击手册和Cobalt Strike基础设施数据。在对多起勒索攻击溯源分析中总结出，这些新的网络犯罪团伙与其在赎金分成的RaaS模式下服务，更倾向于发展自身羽翼，最终高额赎金全部流入自己腰包。

5.4 另类“商业”伎俩，只为勒索敛财

无论是加入勒索组织的附属机构，还是负责运营的勒索组织，驱动其犯罪行为永恒不变的动力来源于利益。攻击者也在寻求新的途径提高利润比例。10月份，The Record报道中披露了一个名为FIN7的黑客组织创建一家名为Bastion Security的虚假网络安全公司，在一些门户网站发布广告，招聘逆向工程师、渗透测试工程师等。它们在面试中要求应聘者进行“实战”演示，针对性地对企业“客户”进行渗透测试，收集管理员帐户、备份等敏感信息。

据了解，在面试中分配给应聘者的任务和操作与 Ryuk 或 REvil 等勒索软件攻击采取的步骤一致。该犯罪集团之所以以假冒的安全公司名义招聘安全技术专家，其原因在于，攻击者认为如果不能在赎金规模方面得到提高，降低其攻击成本也是一条行之有效的方法。

除此之外，一些犯罪组织变化出有别于RaaS的其他“商业”模式。很多活跃勒索组织自己维护专门用于数据泄密的站点，用于配合加密策略进行勒索。但是2021年初，出现了一个名为“Marketo”并将自身定位为“被盗”数据市场运营商的站点。尽管Marketo将自身定义为“被盗”数据的保护者并声称拒绝与勒索组织合作，但其运营模式却与勒索行为毫无两样甚至更为激进。

据悉，该组织管理员会提前在网站上列出受害者清单并附上凭据，要求支付数据费用，否则将数据提供给网站VIP用户免费下载。该组织甚至会主动联系受害者的竞争对手与执法部门，进一步迫使受害者支付数据费用。

不管是勒索组织商业模式如何发展，强迫受害者支付赎金才是勒索组织的核心目标，为了提高受害者的赎金支付概率，勒索攻击者使用各种手段在受害者内外部施加赎金支付压力。

6 施压：多重手段叠加利用

为了让受害者意识到自己被卷入到一场勒索活动中，恶意攻击者在数据加密全部完成后，在醒目位置留下TXT格式的勒索信，提示受害者正被勒索并附上联系方式和赎金的支付渠道。当然，勒索信的展现形式不仅局限于文本文件，也包括精心准备的富文本类型，更有甚者，会直接替换计算机桌面背景，以便受害者能够第一时间发现它，下图展示了LockBit2.0的勒索信壁纸。
图片来源于LockBit2.0 html勒索信

攻击者在提醒受害者的方式上花样百出，甚至网络外部设备也被利用起来，部分勒索团伙如Ryuk和Egregor，通过搜索在线的打印机，并向打印机发送命令直接打印纸质的勒索信。除了在目标主机留下勒索信，一些勒索团伙甚至把勒索信直接发送到受害者的公开邮箱中。

即使意识到自己正遭遇勒索软件威胁，一些有准备的受害者仍然不会支付赎金，因为他们早已部署了备份技术以保护重要数据。在此情况下，攻击者为增加其获取赎金的可能性不得不升级施压手段，从加密到窃密，再到DDOS（Distributied Denial of Service，分布式拒绝服务）攻击等，施压手段逐渐由单一走向丰富。

6.1 加密数据、删除备份

传统意义上，勒索最基本的手段主要是攻击者向目标系统部署勒索软件，对重要数据文件进行加密，直接破坏数据的可用性，以威胁受害者缴纳赎金换取解密密钥。同时，为防止受害者使用系统备份轻易地恢复原始数据，攻击者在加密过程中，会递归扫描到备份项，删除磁盘卷影、卸载备份软件以及重置虚拟机快照等。

更有甚者，攻击者还会破坏云端备份。在DarkSide的某次攻击活动中，该勒索团伙不仅删除受害者的本地备份，甚至使用受害者的管理员账户向云备份服务提供商请求删除异地备份，幸运的是，供应商依然能够通过其他备份进行恢复。

6.2 泄露、拍卖数据

不过，加密手段并不总是奏效，所以很多勒索组织投向双重勒索策略，以窃密配合加密手段施压。目前，越来越多的勒索组织成立了专用托管被盗数据站点，用于泄露窃取的高价值、机密数据。如果受害者拒绝支付赎金，攻击者则在站点上公开受害者被窃数据，向竞争对手、合作伙伴、客户和媒体等提供访问权限，甚至会在匿名网络中组织拍卖，这无疑让受害者承受更大的压力，大大增加支付赎金可能性。新兴的勒索组织Babuk建立勒索站点后，甚至公开宣称要成为纯粹的窃密勒索者。
图片来源于勒索组织Babuk泄露站点

即使支付赎金获取解密数据，也不能保证勒索者已经按照要求销毁窃取到的数据，如果公开泄露数据包括商业计划、产品蓝图、员工和企业银行账户、身份信息等，受害者面临的困境更为窘迫，损失难以估量。

6.3 DDoS中断业务

在“双重勒索”基础上，攻击者进一步胁迫受害目标支付赎金，针对受害网站发起DDoS攻击，这是一种成本较低的攻击方式，目的是使受害者服务器或网络带宽资源不堪重负，进而中断运营，这将对高度依赖网络的企业造成严重的业务中断事故。

2021年初，Avaddon曾在他们的数据泄露站点发表声明：受害者网站目前正处于DDoS攻击威胁中，将持续攻击直到他们主动发起联系。Avaddon勒索组织表示还有多种手段给受害企业制造其他问题。
图片来源于勒索组织Avaddon泄露站点

6.4 扩大勒索知晓范围

为了打破与受害者的谈判僵局，除了对受害目标附加手段直接攻击，攻击者甚至直接接触受害者的客户和利益相关群体，企图通过外界压力迫使受害者支付赎金。2月，REvil团伙宣布，他们不仅邮件告知受害者的客户，还将通过语音加扰的VoIP呼叫其商业伙伴和媒体。4月，CL0P勒索软件背后的攻击者向受害者客户发送电子邮件，敦促他们联系受害公司支付赎金来保护客户隐私，否则将公布他们的个人数据。
图片来源于勒索组织Cl0P泄露站点

此外，CL0P勒索组织有专人负责搜索受害企业内部由其高级管理人员使用的工作站，攻击者会优先筛选高层管理人员的文件和电子邮件，并窃取可能会对公司管理层存在威胁的隐私数据，从而对负责批准支付赎金的高管进行个人威胁。

6.5 介入受害者股价

4月，Darkside勒索团伙进一步扩展了它们新的攻击策略——做空在纳斯达克或其他股票市场上市的公司股价，从而在股票差价中牟取利益。
图片来源于勒索组织Darkside泄露站点

另外，REvil勒索软件团伙表示他们正在考虑添加一个自动电子邮件脚本，该脚本可以联系纳斯达克等证券交易所，让他们知道公司正处于勒索软件的攻击，从而影响其股票价格。

纵观2021来全球各地勒索攻击事件，攻击者为获取赎金手段尽出，对于攻击者而言，其施压目的在于加大恐吓，进而逼迫受害者向其支付赎金。但对于受害企业而言，无论是向其妥协缴纳赎金或者甘愿承受施压风险，均令其严重受损。但是，受害者的赎金支付也为勒索组织带来了新的问题，勒索组织为了获取更高的赎金规模和更低的追查风险，做出了一系列新的尝试。

7 赎金：高数额与反追踪

Sophos研究报告显示，选择支付赎金的受害组织数量在从2020年的26%上升到2021年的32%。正是由于支付赎金这一低头妥协行为不断地激励着网络犯罪分子愈发变本加厉，其勒索赎金规模也在不断攀升。此外，由于加密数字货币具有匿名、快速交易等特性，一定程度上成为网络犯罪分子成功获取赎金的“帮凶”。

7.1 勒索赎金逐年攀升，甚至漫天要价

网络犯罪分子利用勒索软件牟利，在索要赎金方面变得越发大胆。Unit42报告指出，相比2020年，2021年上半年的赎金数额增长了80%以上，平均数额达到了570000美元。7月，REvil团伙针对美国IT软件公司Kaseya发起攻击，且赎金金额达到了创纪录的7000万美元，折合人民币超4.5亿。

然而，在2020年，最高要求的赎金规模为3400万美元，追溯到2019年，最高赎金规模仅1500万美元。随着活跃勒索组织的提升，勒索赎金不仅逐年攀升，受害者遭勒索且支付赎金案例也成上升趋势。

3月底，美国最大的保险公司之一CNA Financial遭受了Phoenix Locker勒索软件攻击，向黑客支付了4000万美元。5月，Revil攻击全球肉类供货商JBS，成功获得勒索赎金高达1100万美元；6月份，美国最大的成品油-管道供应商遭受勒索，一度造成美国北部地区成品油短缺，呈现出无油可加的局面，最终该厂商支付了大量的比特币约74枚，约合人民币2000万。

需要明确一点，一些情况下即使受害者支付赎金，勒索组织也并不会提供解密密钥，更无法确认勒索组织确实已经销毁了已窃取的数据，甚至由于一些加密软件自身缺陷，致使数据在加密过程中已经被永久损坏。另一方面，支付赎金行为本身也会鼓励这些以利益驱动的犯罪分子继续展开攻击，行为更加猖獗。

7.2 赎金规模取决于受害组织规模、地区

赎金规模还受到其他因素影响，试想一下，如果攻击者向一个利润微薄的受害企业提出了一个几乎不可能达到的赎金要求，那么受害者必然不会承担巨额支出甚至倒闭的风险来支付赎金。考虑到这点，攻击者可能会根据目标的收入指定赎金的规模。DarkSide勒索组织曾声称，在每次攻击前，他们会分析目标公司的财务情况从而制定合适的赎金规模。

据Sophos统计，受勒索攻击的组织支付的赎金规模范围非常广泛，从几十万到几百万美金不等，最主要的原因是依赖于受害组织规模。在所有已支付赎金的受害组织中，拥有100-1000名员工的平均支付赎金为107694美元，而拥有1000-5000名员工支付的平均赎金为225588美元。

另外，地区因素也是影响赎金规模的另一个重要原因。据101名受访者的数据统计，美国、加拿大、英国、德国和澳大利亚的平均赎金支付为214096美元，比全球平均水平高出26%。数字经济发达地区更容易受到勒索团伙青睐，其动机是他们认为发达地区的受害者有能力支付更多的赎金。

7.3 使用加密货币混合服务躲避赎金追踪

加密数字货币由于其匿名、快速交易已成为勒索团伙要求支付赎金的主要方式。当勒索犯罪者获得数字货币支付的赎金后，执法部门和研究人员可以轻松追踪到赎金流入哪一个加密货币钱包，从而进行拦截和封禁。美国燃油-管道运营商Colonial Pipeline向攻击者支付75枚比特币后，被执法人员追回63.7枚比特币，约占总支付金额的85%。

于是，攻击者开始转向求助于加密货币混合服务，又称“混币服务”。该服务中所有加密货币交易都进行拆分、混淆处理，直到发送到指定地址的加密货币总数额达到发送者要求，而执法机构难以追踪赎金的最终流向。威胁研究员称：“网络犯罪分子寻求级别更高的隐私保护，同时也为减缓调查人员的追踪速度，使得混合服务已经普遍到成为一种常用工具”。

2021年来，Sophos统计了1086个受勒索攻击的受害组织，令人震惊的是，92%受害组织无法取回所有数据，甚至还有反馈他们拿赎金换取的解密工具速度太慢。已经受到勒索攻击的受害者应明白，支付赎金这一行为实则变相鼓励网络犯罪分子实施进一步敲诈勒索活动，同时会对当地地区的法律和监管造成不良影响。在与勒索攻击这场网络安全战役中，一开始的防护就宣判了最终输赢。

8 总结

互联网勒索风暴此消彼长，这不仅给安全研究人员带来新的考验，更是给互联网中潜在的受害目标敲响了一次警钟。全球各地勒索攻击事件已证明，健全、持续、可靠的安全防护体系才是对抗勒索软件的最强而有力的武器，在这个体系中，不仅需要企业能够全面管控资产权限，把握最新威胁态势，实时升级最佳方案，更是对每位互联网终端用户是否能时刻保持警觉性提出了高要求、严标准。新华三安全攻防实验室始终站在勒索追踪第一线，持续研究勒索犯罪分子最新攻击手段，掌握勒索组织整体动向与趋势，提供对业界最新勒索情报。

9 附录

2021活跃勒索组织介绍。

9.1 Conti

Conti勒索组织首次被发现于2019年10月，并在2020年开始活跃。在出现的一年多时间内，Conti 勒索病毒影响范围超过400多个组织。自 2021年7月以来，Conti的非法赎金至少2550万美元，其中包括2021年11月支付的一笔超过700万美元的赎金。

随着勒索软件即服务RaaS模式的兴起，Conti勒索组织企图从该模式获取到非法收益中分得一杯羹。与典型的附属模型不同，Conti勒索组织通过雇佣附属机构并进行培训、支付工资实现广撒网，这种升级策略使得Conti的传播范围迅速扩增，在过去一年中，Conti收益占整个勒索软件产业的15%。

在与防病毒软件的猫捉老鼠游戏中，Conti获得网络初始访问方式也在不断升级，早期的Conti版本使用包含恶意附件或者恶意链接的定制电子邮件进行鱼叉式网络钓鱼活动或者伪装远程桌面协议RDP凭证，而在2021下半年的活动中，Conti更倾向于利用防火墙攻击、ProxyShell攻击等方式。

Conti勒索组织一旦窃取并加密受害者的敏感数据后，采用双重勒索技术，要求受害者支付赎金。如果赎金没有支付，则会威胁受害者公开发布数据或直接将其出售给竞争对手。

9.2 CL0P

CL0P勒索软件2019年的2月份首次被观测到，起初是作为 CryptoMix 勒索软件的一个新变种而受到关注。从2月份开始，CL0P勒索组织变得愈加活跃起来，收到的赎金在勒索组织中市占率前五。

CL0P背后的团伙被安全研究人员称为“大型猎手”，该术语描述他们的目标是针对大型企业而非个人。CL0P 主要针对重要的基础设施和行业，如运输和物流、教育、制造、能源、金融、航空航天、电信和医疗保健。

2020年，CL0P运营商公布一家制药公司的数据，这一行为使双重敲诈勒索发展为潮流，从那以后，该组织的勒索手段越来越复杂，破坏力也越来越大。2020年3月，CL0P勒索软件团伙首次在暗网中启用了一个泄露站点，用于发布受害者信息。

站点发布一年多来，勒索团伙一直活跃，泄露站点当中的受害者数量不断增加。进入2021年后，与CL0P相关的威胁组织利用Accellion FTA（File Transfer Appliance，文件传输应用）漏洞（CVE-2021-27101等）展开攻击，成功入侵目标用户后窃取数据并索要高额赎金，此举涉足美国、加拿大、新西兰等地大型基础设施行业。

9.3 LockBit

2021年8月，全球财富500强的咨询领域巨头埃森哲公司遭受勒索软件攻击，泄密数据高达6TB。此次事件的始作俑者LockBit在其Blog上称，如果不能按时支付高达5000万美金的赎金，就会对外公开其在受害目标网络中获取的机密数据。

早在2019年9月，该勒索软件就已经出现在公众视野当中，由于其加密后缀名为abcd，被称作ABCD勒索软件。2020年，LockBit与主流的勒索团伙一样，开始以RaaS模式运营，同时升级了勒索策略，创建了一个用于公开受害者数据的站点，配合文件加密给受害者进一步施压，实现“双重勒索”。2021年初，LockBit似乎受到严厉的监管活动等原因，攻击活动短暂放缓。2021年6月，该勒索组织在自己的网站上高调的宣布了他们的回归，并带来了新的版本：LockBit2.0。

LockBit在招募附属机构的广告中宣称，只要合作者提供核心服务器的访问权限（如域控制器访问权限），剩余的工作都可以交给LockBit2.0执行。LockBit声称他们的勒索软件具有最先进的技术功能，只需运行一次即可在最短的时间内加密整个受害者的网络，从而在竞争对手中脱颖而出。IBM的数据显示，该团伙新网站上的数据泄露活动大幅增加，表明了招募尝试取得了成功。自LockBit2.0发布以来，其活跃度几乎是 Conti 勒索软件等其他运营组织的 6 倍。

9.4 Pysa

Pysa是勒索软件Mespinoza的一个新变种，它于2019 年 10 月感染大型企业网络时首次出现。最初Mespinoza使用.locked扩展名附加到加密文件中，2019年12月开始转向使用.pysa的扩展名，即“Protect Your System Amigo”，因此而得名。 Pysa背后的RaaS运营商主要针对拥有高价值数据资产的大型组织。3月，Pysa开始大规模的针对高等教育、政府实体、私营公司和医疗保健等行业进行攻击。

Pysa是为数不多同时针对Windows和Linux的勒索软件之一。自发布以来，它的开发人员已多次升级恶意软件，包括.NET、C++和Python版本，不过这些版本的勒索软件中一直存在一些缺陷，可能会在解密过程中损坏数据，因此在使用攻击者提供的解密器时存在发生数据损坏的重大风险。

Pysa是一种人为操作的勒索软件，不具备自我传播能力。Pysa勒索软件运营商通常通过网络钓鱼电子邮件或RDP暴力破解来获得对目标系统的初始访问权限。在受感染系统上部署 Pysa勒索软件之前，攻击者通常使用开源工具进行凭据盗窃、隐蔽、特权升级、横向移动等。此外，PYSA 勒索软件因其双重勒索而闻名，给受害企业造成严重财产威胁。

9.5 DarkSide/BlackMatter

DarkSide出现于2020年8月，其前身可能是受雇于“REvil”的附属组织。该组织初期采用传统的勒索模式，后续逐渐发展为RaaS模式。该组织在攻击前会精心挑选目标，选择有能力支付赎金的目标下手，针对性制定攻击载荷，其官网声明了不攻击医院、临终安养院、葬礼服务公司、学校、非营利组织和政府机构等。勒索软件执行时会避开独联体国家。该组织的入侵方式有：漏洞利用、购买RDP凭证、电子邮件和网站钓鱼攻击。

DarkSide组织试图将自身打造为一个专业公司形象：在官网发布声明、接受记者采访、公开更新内容以吸引更多的合作伙伴等。在2021年4月推出的2.0功能更新中声明加密速度快，加解密流程自动化程度更高，还会提供DDoS功能，这无疑为自己在勒索领域争取了更多的“市场份额”。

2021年5月，该组织实施了针对美国燃油运输管道公司Colonial Pipeline的勒索攻击，导致美国东部沿海各州的关键燃油-管道网络被迫关闭，多地宣布进入紧急状态。此事件后，该组织沉寂了一段时间，7月被研究人员发现该组织以新名称BlackMatter回归。在9月份连续勒索攻击了医疗技术巨头Olympus、美国农民合作社、Marketron等企业和组织。但在11月，该组织宣称因受到当局和执法机构的压力而将关闭相关业务。

9.6 DoppelPaymer/Grief

DoppelPaymer组织出现于2019年6月，由BitPaymer发展而来，2021年7月该组织为了防止被执法机构盯上，开始更名为Grief（又名Pay or Grief）继续活动。该组织的常用入侵方式有：Dridex僵尸网络分发、搜索引擎广告投放虚假软件攻击、钓鱼邮件攻击、RDP访问。

2020年2月DoppelPaymer建立“Dopple Leaks”站点，用于发布在勒索活动中窃取的文件，给受害者施加压力。其策略是先公布小部分窃取文件证明自己进行了攻击，如果受害者拒绝支付赎金，则将所有窃取文件公布。

作为一个出现较早的勒索组织，DoppelPaymer至今仍然活跃。在出现新的勒索方式时，该组织也及时跟进，以提高攻击的成功率和受害者支付赎金的意愿。另外，该组织创新性地采用社交软件曝光受害者的行为，让受害者承受更大的压力。

9.7 REvil

REvil（又称Sodinokibi）勒索组织首次出现于2019年4月，被认为是勒索组织GandCrab的继承者。因此，REvil一出现即采用成熟的RaaS运营模式，积极招募有一定网络入侵经验的合作伙伴来分发勒索软件，同时积极使用新出现的勒索模式，如双重勒索、三重勒索等。自出现以来，REvil成功实施了许多起勒索攻击事件，受害者包括Travelex、Telecom Argentina、宏基（Acer）、JBS等大型企业。据IBM报告，REvil仅在2020年就赚取了约1.23亿美元。

2021年，该组织依旧非常活跃，上半年的多起攻击事件造成了严重的社会负面影响。例如，5月对JBS食品公司的攻击使美国各地的肉类供应受到巨大的干扰，7月对Kaseya软件更新服务器的攻击导致全球数千个IT网络在7月4日假期中断。索求的赎金数额也不断提高，最高为向Kaseya勒索7000万美元。

然而，该组织也因此受到了美国政府的极力打击。在Kaseya供应链攻击事件的几天后，该组织关闭了所有网站和服务器。消失一段时间后，该组织在9月份恢复了运营。但在短短一个月后，该组织就遭到了近乎毁灭性的打击，服务器遭到国际执法机构的控制，部分附属机构也被逮捕。

9.8 Avaddon

Avaddon组织于2020年6月初首次出现在某国外黑客论坛上，开始为其RaaS运营计划招募合作伙伴。其勒索目标非常广泛，没有行业限制，根据目标的年收入来制定赎金金额。2020年8月，Avaddon建立了自己的暗网数据泄露站点，用于公开窃取的数据。

2021年1月，开始使用DDoS攻击方式给受害者施压。

2021年6月11日，Avaddon宣布关闭运营，并将所有2934个受害者的解密密钥发送给研究人员制作出了免费解密器。在短短的一年时间里，Avaddon频频发起勒索攻击，成为最活跃的勒索组织之一。

Avaddon常用入侵手段包括僵尸网络分发、钓鱼邮件、RDP暴力破解、漏洞利用等。其首次攻击活动就与Phorphiex僵尸网络进行合作，针对全球用户，短时间内分发了大量带有Avaddon勒索软件的恶意垃圾邮件。

10 参考来源

• 【2021活跃勒索组织追踪】第一期：CL0P，新华三主动安全
• 【2021活跃勒索组织追踪】第二期：DarkSide，新华三主动安全
• 【2021活跃勒索组织追踪】第三期：REvil，新华三主动安全
• 【2021活跃勒索组织追踪】第四期：Babuk，新华三主动安全
• 【2021活跃勒索组织追踪】第五期：Avaddon，新华三主动安全
• 【2021活跃勒索组织追踪】第六期：DoppelPaymer，新华三主动安全
• 【2021活跃勒索组织追踪】第七期：Lockbit，新华三主动安全
• 2021上半年针对性勒索攻击分析报告，新华三主动安全
• https://www.trendmicro.com/vinfo/in/security/news/cybercrime-and-digital-threats/ransomware-double-extortion-and-beyond-revil-CL0P-and-conti
• https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-as-a-service-enabler-of-widespread-attacks
• https://www.bleepingcomputer.com/news/security/list-of-ransomware-that-leaks-victims-stolen-files-if-not-paid/
• https://www.microsoft.com/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/
• https://www.bleepingcomputer.com/news/security/list-of-ransomware-that-leaks-victims-stolen-files-if-not-paid/
• https://therecord.media/ransomware-gang-wants-to-short-the-stock-price-of-their-victims/
• https://symantec.broadcom.com/hubfs/The_Ransomware_Threat_September_2021.pdf
• https://secure2.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf
• https://www.theverge.com/2021/6/24/22545675/ransomware-cryptocurrency-regulation-hacks