到2021年全球因为勒索攻击造成的损失将达到200亿美元

随着我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，极大便利生活的同时，受黑产利益驱使的黑客也将魔爪伸向了这里，网络空间威胁和风险日益增多。

根据《2019威胁态势分析》报告，到2021年，全球因为勒索攻击造成的损失将达到200亿美元，是2015年3.25亿美元的61倍之多，2019年中国的勒索病毒感染量已经跃居全球榜首，占总数的20%。此外，勒索病毒的发展将呈现多平台感染、产业化、针对性、创新性等特征，勒索软件即服务（Ransomware as a Service）正在成为黑产的重要模式之一。

近些年来，随着加密货币的兴起，勒索软件又出现了新的趋势：使用加密货币作为网络犯罪分子的资金流动渠道。因为加密货币具备匿名且无法追踪的特点，几乎成为网络犯罪分子量身定做的产品。而加密货币中，又以比特币为例，因其价格的波动性充满了吸引力。

经过多年的发展，勒索软件已经成为与国际阴谋、间谍等事件同量级的问题。本文就将对近五年来发生过最大的几次勒索软件攻击事件作出盘点。

一、TeslaCrypt

最初被当作CryptLocker的一个变种出现，后来便被单独命名为TeslaCrypt。该软件的行为很有特点：它的主要针对目标是视频游戏的相关辅助文件，例如游戏存档、各种可下载的内容以及地图文件等。这些内容对于游戏玩家来说是不可或缺的，并且多数也会存储在本地计算机中，大大增加了勒索软件的成功率。

截止2016年，TeslaCrypt在勒索软件攻击中占据了48%的比例。

除此之外，该软件还有一个神奇的点在于，2016年初，它还在全世界范围内肆虐，如果没有软件使用者的帮助，想要恢复文件基本是不可能的，但到了年中时段，TeslaCrypt创建者便对外宣称已经结束了所有的恶意活动，并主动提供了解密密钥。可以说是匪夷所思了～

二、SimpleLocker

随着移动端设备日益发达，越来越多的数据开始存储在移动设备，其具备的价值也越来越高，勒索软件也开始将侧重点逐渐转移到了移动设备上。

其中，Android是攻击者首选的平台，在2015年底至2016年初，Android设备在移动端被恶意软件感染的概率飙升了近四倍。彼时移动端的防护手段还多以“阻止”为主，仅仅通过阻止用户访问UI的部分内容显然是不够的。到了2015年末，一种名为SimpleLocker的“激进派”恶意软件开始广泛传播，这也是出现在Android系统中的第一次以文件加密使用户无法访问的方式进行勒索的攻击事件，以当时的安全防御手段，可以说是束手无策。虽然说该软件出生于东欧，但多数受害者却位于美国地区。

好消息是，虽然该软件的感染率在不断增加，但相对于总数，这个数量并不庞大——截至2016年底受感染人数也不过15万人，这对Andriod庞大的用户群体来说不过是九牛一毛。多数用户试图通过从Google Play官方商店下载应用程序以避免被恶意软件感染，但随着官方不断爆出安全问题，针对勒索软件的防范仍旧难以避免。SimpleLocker至今还是一个潜在的威胁。

三、WannaCry

2017年中，两起勒索软件攻击事件在全球蔓延，攻击直接导致了乌克兰的一家医院和加州广播电台关闭，也使得世界第一次正视勒索软件攻击的严重性。

其中一起便是威震四海的WannaCry。研究人员表示这“可能是史上最严重的一次勒索软件攻击”。

WannaCry出现在欧洲网络中，仅仅四天之后，便在全球116个国家及地区中检测到了超过250000起恶意事件。但WannaCry真正的影响远超这个数字。ReliaQuest首席技术官Joe Partlow指出，这是“第一次通过利用NSA泄露的工具发动的黑客攻击行为。因为多数系统的445端口处于开放状态，因此其利用微软的一个SMB协议漏洞便可以实现勒索。”虽然微软早已发布了针对该漏洞的补丁，但仍然有很多没有安装补丁的用户。

由于WannaCry并不需要与用户发生任何互动，因此也通过该漏洞在不断传播，时至今日，安全领域仍旧不敢对其掉以轻心。

四、NotPetya

如果说WannaCry开启了网络攻击新时代，那么NotPetya的存在便是对这一点的最好证明。

Petya是一个勒索软件包，起源可以追溯到2016年，在WannaCry爆发几周之后，它也不甘寂寞的出现了一个新版本，并且同样使用了WannaCry的EtrnalBlue软件包。并且由于该软件的发展历程早已超出其起源，因此研究人员将其称为NotPetya。人们猜测它实际上根本就不是勒索软件，而是俄罗斯对乌克兰发动网络攻击的伪装。

无论是哪一种，该软件的出现也都让人们明白了一个道理。从WannaCry开始，恶意软件便呈现出了不可阻挡的趋势。在网络世界中，不论是恶意软件漏洞还是工具都极易传播，并且使用者也可以从犯罪分子覆盖到平头百姓再到国家、政府部门等。NotPetya如此迅速的传播证明了全世界仍然有很多组织并没有重视网络安全，WannaCry便是前车之鉴。

五、SamSam

使用SamSam的攻击最早出现在2015年，在随后的几年内开始被频繁使用，并且获得了一系列亮眼的“战绩”，例如科罗拉多交通局、亚特兰大市的众多医疗机构等等。

SamSam的特别之处在于：它不会像普通勒索软件一样寻找某些特定的漏洞，而是将勒索软件作为一项服务，通过探测来搜索并选择可利用的目标，随后利用漏洞来进行下一步操作。一旦该软件进入系统，攻击者便会立即进行提权，并开始进行加密攻击。

尽管多数安全研究人员认为SamSam起源于欧洲，但其攻击多数针对的却是美国地区用户。2018年底，美国司法部起诉两名伊朗人，称其是该软件袭击事件的幕后黑手；起诉书表示，此二人通过勒索软件造成了超过3000万美元的损失。

六、Ryuk

Ryuk是另一个勒索软件的变种，在2018和2019年广受欢迎。该软件以专门攻击“对设备停机时间容忍度较低”的组织闻名，比如报社、北卡罗来纳水务公司等等。其中，洛杉矶时报曾对自己遭到攻击进行了描述：

“Ryuk的一个非常狡猾的点在于，它可以在被感染计算机上禁用Windows自带的系统还原选项，这使得受害者除了支付赎金以外的选项进一步减少。他们往往会索要巨额赎金，这个额度还会与被攻击者的价值而浮动。而且这些丧心病狂的人并不会在意任何攻击的时间，哪怕是圣诞节这种日子。”

Ryuk源代码主要来源于Hermes，后者是朝鲜著名黑客组织Lazarus的产品。但这并不能表明朝鲜就是攻击的始作俑者。McAfee认为，Ryuk的构建代码来自基于俄语的供应商，这么认为的原因是该勒索软件无法在语言设置为俄语、乌克兰语或白俄罗斯语的计算机上运行。

提名：CryptoLocker

在这里我们还要提起一位“特别嘉宾”——CryptoLocker，因为该软件在我们的统计时间之外。CryptoLocker于2013年现世，它的出现正式开启了大规模勒索软件的时代。

CryptoLocker通过邮件附件来传播，使用RSA公钥来加密用户文件，并向用户索取赎金。Avast的战略总监Jonathan Penn指出，仅在2013年底至2014年初，就有超过500000台计算机被CryptoLocker感染。

作为一款勒索软件，CryptoLocker算是比较原始的，并最终被Operation Tovar（一个白帽活动，它击溃了控制CryptoLocker的僵尸网络，并在此过程中发现了该软件用于加密文件的私钥）击败。但正如研究人员所说，CryptoLocker的出现，开启了加密勒索的大门，有很多后续的勒索软件都是基于CryptoLocker编写的，例如CryptoWall（该软件在2015年的勒索软件中感染比例高达50%）。并且这些“子孙”也为犯罪分子带来了约300万美元的收益。

如今，地下网络犯罪经济正在经历工业化浪潮，前所未有地蓬勃发展。

网络犯罪已经成为一个巨大的“产业”，随着公司和消费者在数字世界投入数万亿美元，全球的犯罪分子都在积极进军网络。

世界经济论坛（WEF）的《2020年全球风险报告》指出，网络犯罪将是未来十年（至2030年）全球商业中第二大最受关注的风险。它也是最有可能发生的第七大、第八大风险，网络安全的赌注从未如此高。企业的收入、利润和品牌声誉都已“在线”；关键任务基础架构正面临威胁；各国之间正在相互进行网络战和网络间谍活动。

网络犯罪正在经历一次全球范围的工业化“革命”，网络犯罪组织们开始提供“正规”公司所做的一切：产品开发、技术支持、分销、质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划，这将使他们的买家在竞争者中占优势。黑客窃取军事机密、可再生能源创新知识产权等高价值信息。

有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作，并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据，开发者负责编写和更改恶意代码，以及“入侵专家”负责感染并渗透目标公司。此外，“呼叫中心专员”冒充技术支持人员打电话给受害者，在受害者的计算机上安装恶意软件，此外还有“财务专家”帮助洗钱。

此外，网络犯罪比诸如抢劫银行等传统犯罪的风险更低。实际上，根据世界经济论坛的数据，在美国，逮捕网络犯罪分子并将其递交法庭的可能性低至0.05％。

面对网络犯罪经济的“蓬勃发展”，组织的网络安全支出大大落后于网络威胁的增长速度。