Where ransomware attacks come from: 3 origins worldwide

• 2024年按行业划分的五大勒索软件攻击目标包括教育、建筑与房地产、中央与联邦政府、媒体、娱乐与休闲以及地方与州政府。
• 新勒索软件变种的三大来源是国家支持的行为者、犯罪组织以及那些没有考虑周全的安全研究人员。
• 供应链攻击、三重勒索和勒索软件即服务（RaaS）是近年来勒索软件的主要趋势。

尽管勒索软件并非全新的网络安全风险，但全球各国政府仍在密切关注这一威胁。人们购买食品杂货、给汽车加油以及接受医疗保健的能力都受到了勒索软件的影响。

近年来，勒索软件的财务影响也变得更加明显。针对供应链的攻击比针对个人的攻击造成更广泛的损害。为减缓勒索软件攻击的蔓延，政府与科技公司也加大了应对力度。 另见: Ziggo集团任命领导人，备战2027年阿姆斯特丹上市.

勒索软件攻击的历史

勒索软件可以追溯到1989年，当时“艾滋病病毒”被用来向勒索软件受害者勒索钱财。那场攻击的赎金被邮寄到巴拿马，随后解密密钥被发还给用户。

1996年，哥伦比亚大学的莫迪·杨（Moti Yung）和亚当·杨（Adam Young）提出了被称为“加密病毒勒索”的勒索软件。这一源于学术界的想法展示了现代加密工具的演进、威力和创造过程。杨和杨在1996年IEEE安全与隐私会议上展示了首次加密病毒学攻击。他们的病毒包含了攻击者的公钥，并加密了受害者的文件。然后，该恶意软件提示受害者将非对称密文发送给攻击者进行解密，并返还解密密钥——当然需要付费。 另见: Alejandro Estua.

另请阅读：自动驾驶汽车如何工作？

目标行业

勒索软件攻击通常针对关键任务的机构和组织，如医疗保健、金融、制造业和政府机构。在某些情况下，除了其他影响外，勒索软件攻击还会导致医疗机构的死亡率上升。由于制造业涵盖多种生产类型，如金属制品、汽车和工业设备，它也是勒索软件高度针对的行业。金融机构也经常成为目标。在这种情况下，攻击者仍意图窃取资金和大量敏感用户数据。根据Camparitech的统计数据，截至2024年5月，共有4013起攻击记录，平均赎金为408,044美元。以下是2024年按行业划分的五大勒索软件攻击目标：教育、建筑与房地产、中央与联邦政府、媒体、娱乐与休闲以及地方与州政府。

大多数勒索软件攻击来自哪里

大多数勒索软件并非由个人传播；相反，某些恶意团体开发、改进并分发勒索软件。根据《微软数字防御报告》，这些团体中整整一半来自俄罗斯。伊朗和朝鲜是其他常见的勒索软件团体温床，而美国则是最常见的攻击目标。

了解新勒索软件变种的常见来源有助于组织防御攻击。这些来源包括国家支持的行为者、犯罪组织以及那些没有考虑周全的安全研究人员。 另见: 亚历杭德罗·曼佐.

1. 国家支持的行为者

在这种情况下，恶意行为者从政府机构获得资金、技术和其他形式的支持，以制造新的勒索软件威胁。然后，这些行为者利用勒索软件发动攻击，以推进该政府机构的利益。由于政府机构本身并未发起攻击，它可以试图利用这一事实来获得合理的否认性，从而在另一国想要报复时提高其政治成本。 另见: 亚历杭德罗·埃尔南德斯.

2021年5月，《黑客新闻》报道称，安全研究人员发现了一场由伊朗伊斯兰革命卫队（IRGC）运营的国家支持勒索软件活动。发现该活动的人怀疑IRGC正在利用它作为一种伪装手段，模仿以经济为动机的勒索软件团体的战术、技术和程序（TTPs），以使归因更加困难。

2. 数字犯罪组织

并非所有勒索软件行动都得到政府机构的直接支持。但支持可以以多种方式出现。这些“私掠者”，正如Threatpost所指出的，按照自己的财务议程行事，同时享受政府机构提供的一定保护。

根据《华盛顿邮报》的报道，REvil的开发人员似乎位于俄罗斯，这个国家历来对其境内的数字犯罪团体视而不见。该勒索软件的创建者利用这种保护建立了RaaS计划，从中抽取20-30%的赎金，而附属成员则获得剩余部分，用于实施攻击、窃取数据和引爆加密恶意软件。通过这种安排，REvil团伙在两年内赚了1亿美元。

3. 没有考虑周全的安全研究人员

多年来，安全研究人员有时会为“教育目的”开发类似勒索软件的程序。Hidden Tear就是这种情况。在2015年8月它出现时，其创建者警告用户“不要将其用作勒索软件”，并澄清说“即使你是无辜的，仅仅运行Hidden Tears就会因妨碍司法公正而入狱”。

另请阅读：杰夫·韦纳是谁？领英前CEO堪称“富有同情心的管理”典范

将在2024年持续的勒索软件趋势

近年来出现了一些关键的勒索软件趋势，可能会持续到2024年及以后。以下是近年来勒索软件的一些主要趋势： 另见: 亚历杭德罗·加尔萨.

供应链攻击：供应链攻击不是针对单一受害者，而是扩大影响范围。其中一个例子是在Progress Software的Moveit Transfer软件产品中被利用的漏洞，导致了Clop勒索软件团伙的大规模攻击。在过去几年中，发生了多起此类事件，包括Kaseya攻击（影响了至少1500家其托管服务提供商客户）和SolarWinds黑客事件。

三重勒索：在过去，勒索软件是攻击者加密系统上的信息，然后要求赎金以换取解密密钥。通过双重勒索，攻击者还会将数据窃取到其他地方。而通过三重勒索软件，攻击者还威胁除非付款，否则泄露数据。三重勒索已被多个威胁行为者使用，包括Vice Society在对旧金山湾区捷运系统的攻击中。 另见: Alejandro Guerrero.

勒索软件即服务（RaaS）：每个攻击者都必须编写自己的勒索软件代码并运行一套独特活动的日子已经一去不复返了。RaaS是按使用付费的恶意软件。它允许攻击者使用一个平台，该平台提供必要的勒索软件代码和操作基础设施，以发起和维持勒索软件活动。 另见: Alec Gramont.

勒索软件是一种恶意软件，可以加密您的所有数据或锁定您的计算机。勒索软件也不会很快结束。勒索软件可能会以几种不同的方式继续演变。防御勒索软件的最佳方法是识别并避免网络钓鱼尝试，在计算机上安装防病毒软件，并备份所有文件。 另见: AI芯片通胀：设备制造商受挤压，影响超越数据中心.