【赛迪观点】全球数据勒索攻击威胁新特点及对策建议

随着全球数字化进程的不断推进，数据价值越发凸显，网络攻防双方均围绕数据展开角力，其中，对数据强行加密的勒索手段成为最常用且有效的攻击方式。2021年，数据勒索成为全球网络攻击的主角，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。在此背景下，美国首次因网络攻击宣布进入国家紧急状态，并将数据勒索攻击（以下简称“勒索攻击”）提升至与“911”恐怖袭击同等的级别；英国、澳大利亚、日本、加拿大等国也纷纷将勒索攻击视为当前最大的网络威胁。毫无例外，我国政府、医疗等机构也频遭勒索攻击，成为头号重灾区。赛迪研究院网络安全研究所在分析全球数据勒索攻击新特点的基础上，研究了国外应对勒索攻击的最新举措，并提出了我国推进勒索攻击治理法治化、强化关键信息基础设施网络安全保护、加强组织或国际间合作等建议。

攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化。 一方面，具有国家背景的黑客组织以“勒索”为幌子，以掩护其进行数据破坏、情报猎取等真实意图，秘密发动网络战。2021年，伊朗国家级黑客组织Agrius对以色列实施勒索攻击，表面留下了索求赎金的信息，但背后早已窃取了目标系统的重要情报数据，并通过“随机字符覆写文件”机制，对相关数据进行了永久性销毁。另一方面，对某一领域问题持有不同政治立场的黑客组织以“发动勒索攻击”为要挟，谋求自身政治诉求。

攻击对象：由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施属性的定向机构，且勒索策略日趋精准化。与个人设备相比，关基机构数据资产价值较高，遭受勒索攻击的影响范围较广、后果较重，加之其部分具有网络安全保险的保障，在遭遇重大勒索攻击下，“关基”机构的赎金支付意愿和能力均较强，也使其日渐成为勒索攻击的焦点。为了制定精准化勒索策略，攻击者会在事前分析评估目标机构的IT安全建设现状、遭受勒索攻击后的损失程度和赎金支付能力等，精心选择可为其带来最大投资回报率的目标机构。

攻击主体：由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。一方面，为实现价值多向变现，黑客团伙除自身发动勒索攻击外，还会借由暗网和虚拟货币技术，对外出租或售卖成熟的勒索软件产品和服务，这促使数据勒索“产业链”逐渐形成，上中下游的勒索软件开发者、勒索执行者，以及应运而生的赎金谈判和赎金代管者之间相互协作配合，共同瓜分勒索收益，大大降低了攻击实施的技术门槛。另一方面，不同黑客团伙之间开始着手构建具有精准配合关系的勒索商业联盟，通过共享受害者信息等手段，扩大勒索商业模式，并进一步增强勒索攻击能力和隐蔽性。

攻击模式：由单一加密勒索转向多重勒索获利，勒索手段趋于多样化。当受害方采取数据备份等防备措施，拒绝支付勒索赎金后，勒索攻击手段也在持续演化。目前，已出现数据窃取外泄、DDOS攻击威胁、供应链攻击等多重混合勒索模式，以增加赎金数目并提高受害机构的赎金缴纳率。例如，在加密之前通过在目标环境中安装可窃取重要数据并具有DDOS攻击能力的后门程序，以“拒绝支付赎金则外泄数据或发动DDOS攻击”为威胁筹码，逼迫受害方支付赎金，更有甚者直接在暗网倒卖被窃数据，以获得更多潜在利益。

加快反勒索立法，强化应对勒索攻击的法治保障。目前，各国纷纷从立法层面推进勒索攻击治理，并重点关注以下四个方面的制度建设：一是建立强制性勒索攻击事件报告机制。为加强执法部门对勒索攻击犯罪活动运作方式及勒索软件威胁的全面了解，帮助其制定更好的应对措施，2021年，美国推出《赎金披露法案》、《制裁和阻止勒索软件法案》和《勒索软件和金融稳定法案》，澳大利亚提出《2021勒索软件付款法案》，均强制要求支付勒索赎金的政府部门、企业等实体必须主动向指定执法部门提供勒索攻击及赎金等相关信息，包括实体名称和联系方式、攻击者身份、勒索金额、加密货币钱包类型，以及已泄露的数据字段等。其中，《赎金披露法案》还提出，要求美国国土安全部建立专门网站，为各实体提供报告渠道。二是规范勒索赎金支付，防止缴纳大额勒索赎金引发的重复攻击。美国2021年在《勒索软件和金融稳定法案》中明确要求，勒索赎金超过10万美元的，金融机构需获得财政部特别授权才可支付赎金。此外，澳大利亚也在《2022犯罪立法修正案（勒索软件行动计划）法案》中展示出对勒索攻击采取零容忍的立场，明确提出政府不允许向勒索攻击罪犯分子支付赎金。三是赋予执法人员“数据中断”权利，以帮助勒索攻击受害者在不支付赎金的情况下防止潜在的数据泄露风险。澳大利亚《2021年监视立法修正案（识别和破坏）法案》赋予澳大利亚网络犯罪执法人员相关权利，即通过各种方式获取可能涉及犯罪活动的相关数据，并随后对其进行破坏的权利。借助该权利，澳执法人员可通过各种手段探寻勒索攻击者服务器的位臵，并删除存储在这些服务器上用于“双重勒索”的数据，进而有效打击由勒索攻击造成的数据泄露。四是对勒索攻击者实施更严厉的惩罚，增强勒索犯罪活动威慑力。澳大利亚《2022犯罪立法修正案（勒索软件行动计划）法案》明确提出，将对勒索攻击者最高判处10年监禁，对其“关基”实施勒索攻击的犯罪分子最高判处25年监禁。

探索反勒索立法，积极推进勒索攻击治理法治化建设。我国现行法律还没有针对勒索攻击的专门规定，可考虑借鉴美国、澳大利亚的做法，制定出台反勒索专项法案，明确“受害者应承担主动披露和报告勒索攻击事件及赎金信息的相关义务、禁止某些特定类别的受害者向勒索攻击方支付赎金”等勒索攻击应对路线，规范勒索攻击信息共享和赎金支付；赋予执法人员反勒索攻击的“数据中断”执法权，以及从勒索软件攻击者手中没收、扣押勒索费的相关权利，强化反勒索执法权力；明确实施勒索软件行为的刑事责任，加大勒索攻击犯罪的惩治力度。

强化关键信息基础设施网络安全保护，增强勒索攻击防护能力和抵御弹性。一是推进标准化勒索攻击应急响应机制建设与落实。借鉴美国、英国、欧盟的相关做法，从“事前”防范、“事中”监测遏制恢复、“事后”回溯修补等层面出发，研究制定关于勒索攻击标准化应急响应机制及流程的相关指南文件，在此基础上，推动“关基”机构严格落实应急响应机制建设，并定期组织“关基”机构开展攻防演练，保障重要“关基”系统在遭遇重大勒索攻击时具备良好的弹性恢复能力。二是加强反勒索攻击技术的研发与应用。组织开展底层加密技术研究与攻关，积极探索零信任、AI等新型技术在勒索攻击防御中的应用。在此基础上，推动“关基”机构加大在网络安全防护技术上的投入力度，比如借鉴美国、新加坡的做法，要求“关基”机构将零信任技术整合至重要系统的安全架构和运营，利用零信任“层层认证”的特性，确保系统动态应对网络环境变化，及时弥补传统边界防护模式在应对勒索攻击中的先天不足，降低数据被勒索的可能性；推动勒索攻击“AI化”防御体系建设，利用AI技术实现勒索特征识别检测、勒索病毒遏制根除、勒索赎金支付追踪等自动化防御流程。三是提供反勒索专业培训、工具等安全方案支持。借助门户网站、线下宣讲等方式，对“关基”机构开展网络安全培训，使相关人员了解勒索攻击威胁以及应对勒索攻击的防护常识；官方提供勒索病毒检测软件、勒索攻击防护能力评估软件等简便易用的防护工具。

加强组织或国际间合作，联合打击勒索攻击网络犯罪行为。一是加强执法机构与政府部门、私营企业、金融机构等主体之间的威胁情报共享，联合开展反勒索攻击专项执法行动，并积极推进勒索攻击黑色产业链的常态化治理。比如，与私营企业合作，开展对邮件、即时通信工具等常见的勒索病毒传播渠道的监测，及时发现勒索攻击入侵迹象；与金融机构合作，强化金融交易检测，对勒索赎金支付流程进行更加严密的追踪、抑制和阻断。二是加强国际合作，与国际同行开展联合行动，共同调查并破坏勒索攻击的全球勒索攻击犯罪网络，加强针对勒索攻击者的起诉、跨境执法数据协调和跨境抓捕等。