近日，360数字安全集团与光明网网络安全频道联合发布《2022勒索软件流行态势报告》（以下简称《报告》）。《报告》提到，2022年勒索软件攻击事件数量相对平稳，但勒索软件攻击引起的数据泄露量则有较明显上涨，国内勒索黑产的发展将在未来带来更多挑战。

勒索软件如何传播？远程桌面入侵是主要方式

2022年，我国流行勒索软件家族以phobos、Magniber、TellYouThePass为主，这三大家族的受害者占比约为37.3%。逐月分析流行勒索软件各家族占比，《报告》发现，通过弱口令或伪装成激活或破解软件进行传播的勒索软件家族，感染量都相对平稳。同时，勒索软件加密手段日渐趋同，说明主流技术方案已基本成熟，也意味着通过代码漏洞破解勒索软件将会越来越困难。

据《报告》统计，远程桌面入侵仍然是用户计算机感染勒索软件的最主要方式，其次是通过网页挂马方式投放勒索软件；通过利用漏洞投放勒索软件导致中招的案例相对往年有大幅度上升。

这7种勒索软件攻击手段不可不防

2022年的数据分析显示，针对远程桌面的弱口令爆破依然是黑客首选的入侵方式，而利用钓鱼或挂马手段进行的攻击有较为显著的增加；利用各种系统或软件漏洞进行入侵的占比更是增加超过13个百分点，跃升至入侵方式的第三位。《报告》对此提出，一方面，可能由于企业用户在弱口令方面的防护有所加强；另一方面也说明，黑客在更为行之有效的入侵方法上有更多尝试并具有成效。

具体而言，这7种高频勒索软件攻击手段，我们不可不防——

1.弱口令攻击

弱口令攻击，也就是有限口令暴破攻击,依然是2022年最为流行的攻击手段。在互联网上公开的服务和设备，均面临此类攻击的风险。使用过于简单的口令、已经泄露的口令或一些内置的固定口令，是造成设备被攻陷的最常见原因。

2022年我国排名前10的勒索软件家族中，有6个家族涉及到弱口令攻击传播，其中3个家族更是将弱口令攻击作为其主要传播手段。合理的安全规划和设置，可以有效降低设备被弱口令攻击的风险。

2.横向渗透

横向渗透是企业内网、大型局域网面临的最常见勒索攻击威胁。针对企业的勒索软件攻击，经常可以看到单次攻击事件导致的大量设备同时中招，甚至整个内网瘫痪。

黑客拿下一个客户端之后，一般会利用多种攻击手段刺探内网情况，并横向移动到内网其它设备中。最受黑客欢迎的攻击目标当属企业的域控服务器、管控服务器，拿下此类设备，往往意味着拿下了整个企业的设备管理权。

除管控服务器外，企业内网大量设备使用相同的软件配置，相同的口令设置，也是一大风险，攻击者在拿下单台设备后，可以通过这台设备提取到的密钥，攻击具有相同配置的所有其它设备。

一般而言，企业内网中的设备防护相对薄弱，经常存在没有及时更新系统补丁的设备存在，这类设备也是攻击者内网渗透的重点。黑客常用的横向渗透工具包，都集成了大量漏洞利用工具，如果没有及时更新补丁，很容易成为狩猎目标。

3.利用系统与软件漏洞攻击

利用漏洞进行传播与攻击，是最为典型的一类攻击方法。

随着信息系统复杂度的提升，漏洞的存在不可避免。但通过积极的运维，如及时打补丁、升级软件系统、配置合理的安全策略，可以大大降低漏洞的影响。

4.挂马与钓鱼攻击

作为传统攻击手段，钓鱼攻击与网站挂马攻击在各类病毒木马传播中均有一定占比。

挂马攻击还常与其它攻击手段相伴使用。比如钓鱼邮件结合挂马攻击，诱骗用户安装病毒文件。挂马网站常见的攻击方式包括，通过攻击正常站点插入恶意代码实施挂马，或自行搭建恶意站点诱骗用户访问的，这两种攻击方式常常相伴相生。

5.破解软件与激活工具

激活工具、破解软件这类程序本身开发管理不尽规范，开发人员鱼龙混杂，此类程序便成为了病毒木马的高发区——其中也有可能夹杂有勒索软件。其也成为国内个人用户感染勒索软件的主要渠道之一。如2022年4月、5月，360安全大脑连续做出两次预警，Magniber勒索软件通过伪装Win10、Win11升级包对普通用户发起勒索攻击。

6.僵尸网络

僵尸网络可谓黑客最热衷的一种攻击途径。

攻击者通常利用各类木马、蠕虫、漏洞利用工具抓取“肉鸡”，经营布置其僵尸网络。在需要发起攻击时，向被控端发起指令，利用被控端发起二次攻击。如国内流行的“匿隐”僵尸网络，就多次传播勒索软件，其中TargetCompany（Mallox）勒索软件在今年有多次大规模攻击事件，多是通过“搭乘”僵尸网络的“快车”入侵用户的电脑。类似的有Wannren、bozon、rook等家族，均有通过僵尸网络传播的情况。

7.供应链攻击

供应链攻击在近几年的安全事件中频频发生，其隐蔽性较高、发现难度大、影响范围广、时间跨度长，经常被APT组织用来作为攻击手段。

在2022年公开的勒索事件中，涉及供应链攻击的案例并不广泛，但在一些针对大型公司、机构的攻击实例中，供应链攻击占据了很大比重。企业的安全性不仅与自身的IT安全建设与维护能力有关，也与供应商、合作伙伴、IT服务商息息相关。

面对供应链攻击，一方面需要加强对安全事件的通知通报建设，让隐藏在暗处的威胁信息更多的暴露出来，另一方面需要加强安全防护能力的共建共享，提升整个产业链抵御网络攻击的能力。（记者 孔繁鑫 刘昊）

来源： 光明网