臭名昭著的勒索软件组织LockBit宣称，2024年6月23日20:27（UTC时间）入侵美联储系统，窃取了33TB的金融信息，其中包含“美国金融业的秘密”。经证实，受攻击的是与美联储合作的一家第三方合作机构——进化银行，其窃取的敏感数据中部分与美联储有关。真相如何，难以评估。LockBit曾犯下多起惊天大案，6600万英镑赎金勒索英国皇家邮政，7000万美元赎金勒索台积电，8000万美元赎金勒索IT解决方案提供商CDW，波音、微软等知名企业也在其“战功”清单中。勒索软件攻击防不胜防！

　　勒索软件攻击数量增速快，赎金逐年增高，中小企业成为重要受害者

　　Zscaler在2024年勒索软件报告中指出，2023年4月至2024年4月间，勒索软件攻击同比增加了18%，被列在数据泄露网站上的受害公司数量自去年以来增长了近58%。Sophos报告显示，全球勒索攻击呈现数量、频率、损失激增趋势，2023年全球支付赎金达11亿美元，平均勒索赎金达154万美元，均为2022年的2倍。缺乏保护措施的中小企业是受害最多的群体，根据Leak网站数据，2023年下半年披露的受影响企业数量中，中小型企业2032起，占比91.6%，大型企业186起，占比8.4%。

　　勒索软件产业化运营，AI大模型技术使勒索软件攻击更加容易和便捷，损失加大

　　勒索攻击主要采用漏洞利用、钓鱼邮件、弱口令破解等手段，2023年活跃勒索软件的常见入侵手段统计，漏洞利用（23.58%），钓鱼邮件（21.95%）和弱口令（17.89%），三者合计占60%以上。产业化运营使得攻击更便捷更广泛，AI大模型的发展将促进和加强各种攻击手段，勒索模式逐渐从数据加密向无加密勒索演进。

　　1.RaaS模式使得攻击成本进一步降低，攻击更容易更便捷，加大损失。

　　勒索软件即（RaaS）服务模式允许攻击者以订阅或付费的方式获取勒索病毒工具和技术支持，助力勒索软件产业规模化发展。交易和服务简单，降低勒索攻击门槛，没有高级编程技能的普通攻击者也能够实施勒索软件攻击，攻击风险加剧。安全团队SophosX-Ops4月份研究报告显示，暗网论坛发现大量制作相对粗糙但价格低廉的勒索软件，最便宜的报价已低至20美元。但企业一旦遭到勒索软件攻击，除了面临安全响应恢复成本、攻击者团伙的大额勒索要求、监管单位的巨额罚单外，还面临着被用户追诉索赔的风险。网络安全公司Comparitech调研数据显示，在2023年公开报告的勒索攻击事件中，近五分之一的美国受害企业因数据泄露等问题遭用户起诉索赔，最终赔偿金额平均超过了210万美元。

　　2.AIGC快速发展进一步赋能勒索软件提升攻击效能。

　　通过自动化技术，AIGC能够更快的发现并利用软件漏洞，使勒索软件能够更快地传播和感染系统。如，在2023年，HYAS研究人员通过一个叫BlackMamba的实验展示了如何结合人工智能和自动化技术来创建更难检测的恶意软件。这个恶意软件能够通过正常的通信工具（如MSTeams）发送攻击指令，并利用AI实时生成新的代码，逃避安全软件的检测。此外，AIGC还可帮助攻击者创建更具欺骗性的钓鱼邮件或社交媒体信息，提高诱骗受害者的成功率。

　　3.越来越多的勒索软件攻击向无加密勒索攻击演进。

　　传统的勒索软件会对受害者的文件进行加密，并要求支付赎金才能释放文件。无加密勒索攻击，注重窃取大规模的数据，以泄露窃取的数据来施压，威胁受害组织支付赎金。由于摒弃了文件加密阶段，攻击行为更加隐蔽。2023年11月，MedusaLocker勒索软件攻击了丰田汽车公司旗下金融服务公司（TFS），窃取了数百GB的文件，并公布了一些包括财务文档、财务绩效报告、护照扫描件、用户ID密码等在内的案例数据，要求TFS向其支付800万美元的赎金换取数据不被泄露。

　　网安企业应对勒索软件攻击的最新实践

　　1.深信服自主开发了GPT，提升安全防范能力。

　　增强流量监测效果，通过大模型强大的推理和数据分析能力提高对流量和日志的检测能力，流量高级威胁检出率高达95.7%，误报率仅4.3%；高隐蔽钓鱼攻击检出率高达91.7%，数倍超越传统品类检测产品。主机防钓鱼对抗，支持防御邮件、文件、网页等多种途径钓鱼风险，可以对整个攻击过程进行自动或半自动遏制相应，实现闭环。托管式智能安全运营，基于AIAgent技术构建自主行动的“虚拟安全专家”，告警处置闭环。

　　2.华为通过MRP技术构建纵深防御体系。

　　检测精准，通过网存联动检测机制，覆盖事前、事中、事后，精准检测99.9%。防护全面，以2道防线，6层防护构筑纵深防御体系，使IT数据和系统更难被攻陷；通过网存联动防护机制，实时根据捕获的威胁文件特征，刷新网络安全、存储截拦黑名单。恢复更快，存储提供安全快照、备份、Air-GAP等存储保护动作，基于网存联动恢复机制，提前触发存储保护动作，大幅缩减恢复速度，最快可到秒级。

　　电信运营商在防范和应对勒索病毒攻击方面的启示

　　电信运营商拥有关键基础设施和大量重要业务、用户数据，是网络安全的重点攻击对象，也是安全服务的提供者，提供了面向企业或个人客户端的安全防范服务，需优化安全大模型增强防护能力，建立完善的应急防护机制。

　　1.优化安全大模型的应用，提升网络安全防护能力。

　　充分利用运营商内部安全运营数据的基础上，探索与外部网安企业在数据集资源共享方面的合作机会，补齐风险资产数据、黑灰产数据、威胁情报数据等安全数据，增强对威胁场景的识别能力。持续优化迭代安全大模型，将其应用到更广泛的安全运营流程中，实现更深层次的威胁检测、响应自动化和复杂事件的预测分析，从而提高整体安全运营效率和效能。

　　2.实现协同防御、多层次防御。

　　呼吁和督促产业链严格贯彻落实网络安全产品互联互通相关标准要求，增强产品的兼容性和互操作性，实现各产品和平台能在AI统一协调下的集中调度，增强协同防护力。在网络层、应用层、数据层等构建多层次的防护机制。网络层通过防火墙、入侵检测系统、入侵防御系统等设备，实现实时监控、分析和防范。应用层通过应用防火墙、API安全网关等工具，做好应用层的清查和过滤。通过数据加密、数据脱敏等技术手段，保护好数据不被泄露。

　　3.优化应急响应机制，完善灾难恢复策略。

　　没有打不穿的墙，在对手精心准备和严密布局下，很难做到万无一失。要建立完善的应急防范机制，出现墙被打穿，数据被加密、失窃，或被威胁删除、泄露的情况，要分场景确定防护机制，做好防护演练。此外，应定期备份重要数据，将备份数据存储在离线和安全的位置，以防勒索软件攻击；设置快照和容灾策略，使用快照技术防范数据误删和修改，确保在遭受攻击时能从快照恢复原有文件。