近日，加拿大政府披露了一起重大黑客攻击事件。据官方消息，两家政府承包商BGRS和SIRVA Canada沦为黑客攻击目标，导致数量不明的政府雇员敏感信息泄露。此次泄露的信息不仅涉及普通政府雇员，还牵扯到加拿大皇家骑警（RCMP）和加拿大武装人员。令人震惊的是，泄露的数据可追溯至1999年，涵盖多个部门。这一事件再次将勒索病毒这个数字化时代的“黑帮敲诈”推向公众视野。

无独有偶，全球知名的航空航天制造商波音公司随后也遭受了lockBit3勒索软件团伙的攻击，大量系统备份数据被窃取并在团伙官网上公布，其中最新的数据时间为10月22日。这些事件再次凸显了勒索病毒对企业和个人网络与数据安全造成的巨大威胁。

根据盛邦安全对重点单位的勒索病毒监测数据，截止到目前的近一年来，已记录发现4364起勒索事件。在众多勒索组织中，lockbit3勒索组织位列第一，而alphv、clop和play等勒索组织也紧随其后。这些数据清晰地揭示了勒索病毒作为当前网络安全领域的主要威胁之一，其事件及相关组织保持高度活跃，对全球网络安全态势构成了严重威胁。

图1 近1年内重点勒索事件

图2  2023年勒索组织次数排序

在数字化时代，每个人都与电子设备紧密相连，而“勒索病毒”正是这个时代的一大毒瘤。不同于日常的计算机病毒，勒索病毒的目的明确、手段恶劣：锁定或加密你的数据，然后索要一笔赎金。

想象一下，你打开电脑，突然发现所有重要文件都被加密，无法访问。桌面上出现了一个刺眼的提示，要求你支付一笔赎金，否则这些数据将永远无法使用。这种感受如同被数字世界的黑帮敲诈，让人无助又愤怒。

那么，这种病毒是如何侵入我们的设备的呢？

勒索病毒的传播方式五花八门，但往往都与人的日常行为有关。例如，你可能收到一封看似普通的邮件，其中包含一个诱人的链接或附件。一旦点击，勒索病毒便会悄悄潜入你的设备。除此之外，恶意广告、钓鱼网站等也是病毒的传播渠道。

勒索病毒的常用入侵手段

• 通过钓鱼邮件或恶意网站，诱导用户点击含有恶意附件或链接的信息，从而下载并运行病毒程序；

• 通过利用系统或软件的漏洞，远程执行代码或上传恶意文件，从而感染目标主机；

• 通过利用网络共享或远程桌面等服务，手动或自动地将病毒程序复制到其他计算机上，从而实现横向移动；

• 通过利用社工技巧，冒充合法人员或机构，诱骗用户提供敏感信息或授权访问权限，从而获取目标计算机的控制权。

回顾历史，勒索病毒并非新生事物。它的历史可以追溯到1989年，经过多个阶段的发展，现在的勒索病毒更加智能和狡猾。2018年后，其攻击策略发生了明显变化，勒索病毒不再是大面积撒网的攻击，而是转向了更有价值的目标，如医疗机构、企事业单位甚至政府机关。这意味着，传统的安全防护手段已经不足以应对当下这些高精度的网络攻击行为。

覆盖资产全生命周期的防勒索病毒解决方案

◀

事前——安全自查

资产暴露面核查

基于攻防对抗思路，此方案不仅覆盖了传统的IT资产维度，如域名、IP、服务、组件等，还扩展到了移动端资产类型，如小程序、公众号、APP应用等。它融合了人员姓名、手机号码、电子邮箱、身份证等互联网敏感信息，以及泄露文件、网络架构、泄露源码、历史入侵事件等数据要素，能够迅速发现诸如挂马、暗链、敏感信息泄露等网络威胁。此外，该方案还能精准识别企业在外网的资产暴露情况，包括那些未被有效管理的各类资产及敏感信息。一旦检测到这些风险和漏洞，我们能够进行统一处置，进而缩小风险暴露面。

风险隐患排查

为了全面了解信息系统的安全现状，该方案采用渗透测试、漏洞扫描、红队测试、基线检查等多种安全评估手段，能够深入分析当前的安全防护不足之处，为后续的业务系统安全防护提供明确的方向。同时，通过积极挖掘并分析已存在或潜在的威胁，对整个信息系统网络安全状态进行有效评估，并为后续的改造和规划提供客观、合理的建议。

安全防护状态分析

在实际操作中，我们发现安全监控系统的失效往往导致安全防线被轻易突破，这在红蓝对抗中常常是防守方失利的主要原因。为改变这一局面，我们需借助攻击模拟手段，以持续评估企业整体的网络安全防御态势。通过这种方式，我们能及时发现安全策略中的问题或防护漏洞，进而提升安全可见性和能见度，有助于更好地了解当前的安全状况，更能为其提供有力的依据，以持续改善企业的网络安全态势。

◀

事中——失陷分析

失陷检测

对安全设备及操作系统日志进行深度分析，挖掘潜在异常情况；进行全局受影响面排查，溯源攻击路径，全面把握安全威胁态势。

应急响应

当企业遭遇勒索事件时，盛邦安全将迅速派遣安全专家前往现场协助用户尽快恢复网络信息系统正常运作，并追查入侵来源。在事件解决后，安全专家团队将提供详细的入侵事故报告，以及相应的解决方案和防范建议，帮助企业减少经济损失并防止类似事件再次发生。此外，盛邦安全专家服务团队还将提供入侵调查服务，针对主机、网络和业务的异常情况进行快速响应和处理，并为企业提供专业的应急和防护建议。

◀

事后——数据风险监测

数据售卖监测

通过面向暗网的在线情报监测系统，该方案以特定情报线索挖掘为导向，通过构建分布式暗网节点监控、服务发现、内容采集的数据处理平台，提供暗网内容、情报检索、线索发现及自动取证等功能，以及高效的情报发现、关联分析和挖掘服务，实现实时监测数据售卖情况。

勒索事件监测

该方案能够对目前涉勒索信息发布的各种渠道进行监测，一旦监测到存在数据外泄的可能，将及时进行预警和开启处置流程。

面对勒索病毒这个数字化时代的“黑帮敲诈”，我们不必过于惊慌失措。只要我们提高网络安全意识，采取科学有效的防护措施，就能构筑起坚不可摧的安全屏障。盛邦安全作为您身边的网络安全守护者，将始终与您并肩战斗，共同抵御网络威胁，此次所提供的勒索病毒解决方案，覆盖网络资产全生命周期，从事前、事中到事后，全方位、多角度地保护您的网络安全。让我们一起携手，打造更安全、有序的网络空间。