超20億美元，這是2024年一場勒索攻擊企業(yè)帶來的直接經(jīng)濟損失。然而，這場攻擊的“代價”遠不止于此。

這是真實發(fā)生在美國的事件。據(jù)安全內(nèi)參消息，去年2月，美國醫(yī)療IT公司Change Healthcare遭受了勒索攻擊，導致數(shù)字服務中斷整整9個月，直至2024年12月，仍然有少量業(yè)務功能未恢復。

作為美國最大的醫(yī)療支付處理公司之一，Change Healthcare每年處理約150億筆交易，此次攻擊不僅對其自身造成嚴重影響，還波及整個醫(yī)療行業(yè)，導致1億人的數(shù)據(jù)泄露。公司CEO因此受到美國相關部門的質(zhì)詢。

事實上，類似的案例并不少見，以下是2024年極具代表性的六大勒索攻擊事件。這些事件不僅揭示了勒索攻擊的演變趨勢和破壞力，也為企業(yè)和組織提供了警示：以古鑒今，防范于未然，通過總結(jié)教訓，構(gòu)建更強大的防御體系，才能在未來的網(wǎng)絡威脅中立于不敗之地。

2024年六大勒索攻擊事件盤點

1、“破紀錄”的巨額贖金

2024年初，一家全球財富50強的企業(yè)遭到了Dark Angels勒索軟件團伙的攻擊，并被迫支付了7500萬美元（約合人民幣5.4億元）的巨額贖金。據(jù)悉，Dark Angels通過入侵企業(yè)網(wǎng)絡，竊取了大量數(shù)據(jù)（有報道稱為100TB1），并以此作為勒索籌碼。他們要求該企業(yè)支付高額贖金以換取數(shù)據(jù)的安全。在面臨數(shù)據(jù)泄露和可能造成的業(yè)務中斷等嚴重后果的壓力下，這家企業(yè)最終選擇了支付贖金。據(jù)Zscaler ThreatLabz的報告以及加密情報公司Chainalysis的證實，這筆贖金高達7500萬美元，創(chuàng)下了全球勒索贖金支付的歷史紀錄。

2 、重創(chuàng)金融機構(gòu)

2024年1月8日，美國最大的零售抵押貸款機構(gòu)之一LoanDepot遭遇了重大勒索軟件攻擊。此次攻擊導致該機構(gòu)的部分系統(tǒng)被迫下線，進而造成約1660萬客戶的敏感個人信息被盜，這些信息包括社會保障號碼和金融賬戶號碼等關鍵數(shù)據(jù)。攻擊不僅使LoanDepot遭受了重大的數(shù)據(jù)泄露風險，還迫使其支付了高達2690萬美元的補救、客戶通知和法律費用。

3、零日漏洞被大規(guī)模利用

2024年初，Ivanti產(chǎn)品中的一個關鍵零日漏洞被黑客組織大規(guī)模利用，這一漏洞影響了政府、軍事、電信、科技、金融等多個行業(yè)的客戶。由于該漏洞的存在，黑客能夠輕易地入侵受影響的系統(tǒng)，竊取敏感信息或進行破壞活動。對此，美國網(wǎng)絡安全與基礎設施安全局（CISA）緊急發(fā)布了指令，要求所有政府民用聯(lián)邦機構(gòu)立即修復這些漏洞，以防止進一步的攻擊。

4、滲透關鍵基礎設施

2024年1月31日，美國司法部宣布禁用了數(shù)百個路由器，以遏制Volt Typhoon在通信、能源、交通和水務等關鍵部門的網(wǎng)絡間諜活動。Volt Typhoon是一個高度隱蔽且破壞力極強的網(wǎng)絡威脅組織，其通過滲透關鍵基礎設施系統(tǒng)，竊取敏感信息并進行破壞活動。

5、帶來的數(shù)據(jù)泄露風險

2024年5月，澳大利亞醫(yī)療處方提供商MediSecure遭受了勒索軟件攻擊，導致1290萬人的個人和健康數(shù)據(jù)被泄露。這次攻擊不僅使MediSecure遭受了重大的數(shù)據(jù)泄露風險，還迫使其因未能獲得政府資助應對此次事件而宣布進入自愿管理程序。

6、擾亂醫(yī)療服務

2024年6月3日，英國NHS醫(yī)院關鍵病理服務供應商Synnovis遭受了勒索軟件攻擊，導致數(shù)千次手術和預約被取消。攻擊者Qilin團伙據(jù)稱竊取了400GB的患者數(shù)據(jù)，影響了多個NHS信托基金的關鍵醫(yī)療服務。經(jīng)過數(shù)月的恢復工作，NHS系統(tǒng)才于10月11日恢復正常。此次攻擊不僅使NHS遭受了重大的業(yè)務中斷風險，還對患者的健康和安全造成了潛在威脅。

勒索攻擊的共同特點

這幾起重大勒索攻擊事件，盡管目標不同、手法各異，但展現(xiàn)出一些顯著的共同點，尤其是在影響范圍和行業(yè)沖擊方面：

·巨額經(jīng)濟損失：勒索攻擊帶來的直接和間接經(jīng)濟損失巨大。

·關鍵行業(yè)成為主要目標：醫(yī)療、金融、能源、通信和制造業(yè)等關鍵行業(yè)頻繁遭受攻擊。

·大規(guī)模數(shù)據(jù)泄露：幾乎所有攻擊都伴隨著大規(guī)模數(shù)據(jù)泄露，加劇了數(shù)據(jù)泄露風險。

·攻擊手段復雜化：攻擊手段越來越復雜、高級，勒索組織如Dark Angels、Qilin等呈現(xiàn)出高度組織化和專業(yè)化的特點。

·全球化趨勢：勒索攻擊的范圍已擴大至全球。

反勒索思維：化被動為主動

面對日益復雜的勒索攻擊，企業(yè)不僅需要加強防護措施，更需要具備“反制”思維。瑞數(shù)信息強調(diào)，建立一套完整的“反勒索體系”比單純建設防護措施更為重要。需要公司由上而下對勒索攻擊有抵御能力，對勒索攻擊有及時認知和應對能力。

一、反勒索體系構(gòu)建：反制思維+技術聯(lián)防

1、建立反勒索思維

在網(wǎng)絡安全領域，有一個說法是“三分靠技術，七分靠管理?！倍@里的管理，其實就是強調(diào)企業(yè)在組織架構(gòu)層面就需要建立“反制“思維，從策略層面構(gòu)建多層次的防御體系。

·建立反勒索思維：企業(yè)應從組織架構(gòu)層面建立“反制”思維，構(gòu)建多層次的防御體系。定期進行安全意識培訓和模擬演練，幫助員工識別釣魚郵件、虛假消息等常見攻擊手段，減少人為失誤。

·制定應急響應計劃：基于企業(yè)原有的業(yè)務連續(xù)性計劃（BCP）或業(yè)務連續(xù)性管理體系（BCM），將勒索事件的管理納入體系框架中，明確各部門的職責和應對流程，確保在遭受攻擊時能夠快速響應，最大限度地減少業(yè)務中斷和數(shù)據(jù)損失。

2、建立“有韌性”的技術防線

·全面防護：安全防護需要從邊界到內(nèi)部核心的全面覆蓋。在構(gòu)建全面、立體的勒索事件管理體系，同步構(gòu)建反制能力，即從技術層面提升防御能力，這也是反勒索解決方案的核心所在。瑞數(shù)信息的數(shù)據(jù)安全檢測與應急響應系統(tǒng)（DDR）通過行為分析與AI檢測，實時監(jiān)控用戶行為，識別異常操作，動態(tài)調(diào)整防護策略，應對不斷變化的攻擊手段。

·數(shù)據(jù)備份與加密：DDR通過定期備份關鍵數(shù)據(jù)，并將備份數(shù)據(jù)存儲在隔離的環(huán)境中，企業(yè)可以在遭受攻擊時快速恢復業(yè)務。同時對敏感數(shù)據(jù)進行加密，即使數(shù)據(jù)被竊取，攻擊者也無法輕易解密，從而降低數(shù)據(jù)泄露的風險。

·威脅情報共享：瑞數(shù)信息幫助企業(yè)及時獲取最新的攻擊手法和漏洞信息，提前部署防護措施。這種基于行業(yè)情報的預警機制，能夠有效提升企業(yè)的主動防御能力。

瑞數(shù)數(shù)據(jù)安全檢測與應急響應系統(tǒng)（DDR）通過事前、事中和事后的數(shù)據(jù)安全閉環(huán)防護體系，可對結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)實現(xiàn)細粒度勒索加密檢測，及時識別勒索事件，精準定位被加密數(shù)據(jù)，快速響應恢復，并確保恢復數(shù)據(jù)的完整性，縮小勒索事件的影響范圍，確保企業(yè)數(shù)據(jù)安全。

二、“反勒索”化被動為主動，讓“黑手”無處遁逃

瑞數(shù)信息反勒索方案的核心價值在于通過高效、完善的方案，企業(yè)能夠?qū)崿F(xiàn)實時監(jiān)測、精準識別和防御，讓隱藏的攻擊“黑手”無所遁形，確保在攻擊發(fā)生前有效遏制威脅，大幅降低業(yè)務損失，幫助企業(yè)從被動響應轉(zhuǎn)向主動防御。

展望未來

勒索攻擊手段仍將持續(xù)演變，攻擊者將不斷尋找新的突破口。企業(yè)若想在這樣復雜的網(wǎng)絡環(huán)境中保持安全，必須持續(xù)更新安全策略，構(gòu)建動態(tài)適應、智能進化的防御體系。

而未來的企業(yè)安全體系，不僅需要具備檢測和防御能力，更需要自適應學習和自動響應能力，以應對更加復雜的威脅模式。

可以預見，反勒索體系將成為企業(yè)安全戰(zhàn)略的核心基石，為數(shù)字化業(yè)務的持續(xù)發(fā)展提供堅實支撐。