容易成为勒索软件攻击目标的13个行业

近日，网络安全供应商Sophos针对全球3000名IT专业人士进行的一项调查，结果显示，在过去的12个月里，大约三分之二的组织遭受过勒索软件攻击。其中，教育行业受到的打击最为严重，受害组织高达五分之四。

但专家警告称，虽然一些组织成为勒索软件目标的风险可能比其他组织更高，但并没有任何一个行业会承担全部或大部分风险。到目前为止，在Sophos调查的所有行业中，勒索软件攻击至少袭击了一半的组织。结论是：没有行业是安全的。

也就是说，某些行业（如关键基础设施和医疗保健）的勒索软件事件往往最受关注；而涉及低调目标（例如地方政府和小企业）的事件通常不太引人注意。这往往会导致误解，认为它们不是特别有吸引力的勒索软件目标。然而，不幸的是，情况远非如此。

高德纳（Gartner）分析师表示，无论是500人还是5万人的公司都有可能沦为攻击目标。因为攻击者真正关注的似乎是他们可以预期的最大经济影响。这可能意味着对天然气管道的一次大规模攻击，或者在数十个较小的组织中进行多次攻击。

考虑到所有这些，以下是根据Sophos的调查和其他数据，按行业划分的13个勒索软件顶级目标。

1. 教育行业

根据Sophos最新的《勒索软件状态报告》指出，截至2023年，教育行业的勒索软件攻击率最高。80%的小学、初中和高中（统称低等教育）以及79%的高等教育机构报告称，在调查开始前的一年里，他们遭受过攻击。此外，在所有行业中，低等教育机构最有可能报告因勒索软件事件而导致业务或收入损失。

在最近的一个例子中，勒索软件团伙Vice Society袭击了加州最大的公立学校系统洛杉矶联合学区（Los Angeles Unified School District）。当该学校拒绝支付赎金要求后，勒索软件运营商在暗网上泄露了500GB的被盗数据。

高等教育的受害者包括佐治亚州萨凡纳艺术与设计学院；密西西比州哈蒂斯堡的威廉·凯里大学（William Carey University）；以及北卡罗来纳州格林斯博罗的北卡罗来纳农业和技术州立大学等。

2. 建筑及房地产

2023年初，71%的建筑和房地产企业报告称，他们最近遭受了勒索软件攻击，这一比例在两年内增长了129%。这些组织也极有可能报告由于此类事件而造成业务和收入损失，仅次于教育组织。

上市房地产投资公司Marcus & Millichap在2021年底披露称曾遭遇过一次网络安全攻击，TechTarget发现这可能是BlackMatter勒索软件团伙所为。

3. 中央政府机构

全球70%的中央政府机构报告称，他们在调查开始前的12个月里遭受过勒索软件攻击。

在一个例子中，Conti团伙对哥斯达黎加中央政府发动了勒索软件攻击，促使该国总统宣布全国进入“紧急状态”。最终，在该政府拒绝支付赎金后，网络罪犯泄露了几乎所有盗取数据。

在另一起备受瞩目的事件中，爱尔兰的国家医疗服务成为勒索软件攻击的受害者，迫使政府关闭了所有医院的IT系统，严重扰乱了病人的护理。

4. 媒体、娱乐和休闲

2023年，媒体、娱乐和休闲行业的企业仍然是勒索软件的主要攻击目标，攻击率为70%。在这些事件中，有一半以上的根本原因涉及被利用的漏洞，Sophos分析师认为，这表明了安全漏洞的普遍性。

据《出版商周刊》（Publishers Weekly）报道，当麦克米伦出版商（Macmillan Publishers）遭遇涉及“某些文件加密”的网络攻击（几乎可以肯定是勒索软件事件）时，它不得不让所有IT系统下线，中断了图书订单。其他已证实的勒索软件攻击还曾袭击考克斯媒体集团和辛克莱广播集团，造成运营中断。

5. 地方政府

地方和州政府组织遭受的攻击率与中央政府机构相似，在2023年Sophos调查之前的几个月里，有69%的地方和州政府组织遭受过攻击。

例如，在2022年9月，一次大规模的勒索软件攻击迫使纽约州萨福克县（Suffolk County）将其所有系统下线，严重影响了应急服务，并迫使该县员工在没有互联网的情况下工作。

最近，达拉斯市也于2023年5月遭受勒索软件攻击，导致多个服务中断，包括911紧急响应、市法院、动物服务和警察局网站等。

值得注意的是，美国北卡罗来纳州和佛罗里达州已经禁止州政府机构和地方政府支付赎金，其他州也在考虑这样做。

6. 零售行业

在Sophos 2023的调查中，零售行业遭受的攻击率与地方和州政府并列，69%的零售行业报告称最近遭受了勒索软件攻击。虽然这个数字很高，但它确实比去年的攻击率提高了8个百分点。

在零售公司遭受勒索软件攻击的一个例子中，《计算机周刊》在2021年了解到，英国零售商FatFace向Coti勒索软件团伙支付了200万美元，以恢复公司数据。

几个月后，软件供应商Kaseya遭受了前所未有的勒索软件供应链攻击，最终感染了多达1500家企业。其中包括瑞典连锁杂货店Coop，由于恶意软件迫使其许多收银机无法工作，最终该公司不得不暂时关闭其800家零售店中的大部分作为回应。

7. 能源和公用事业基础设施

在Sophos 2023年的调查中，勒索软件攻击了67%的石油、天然气和公用事业组织，比前一年略有下降。这些攻击尤其会造成灾难性的破坏，使该行业成为网络犯罪分子长期关注的重点目标。

Gartner分析师表示，攻击者非常善于了解关键基础设施存在的地方，并知道如何攻击这些基础设施，以及如何利用这些基础设施真正向受害者施加压力。

迄今为止最臭名昭著的勒索软件攻击之一就发生在该领域。据报道，DarkSide团伙通过一个传统的VPN帐户渗透到Colonial Pipeline Co.，关闭了运营，扰乱了美国东海岸的燃料供应数天。尽管勒索软件运营商成功地获取了440万美元，但美国司法部表示，他们后来使用私钥追回了其中的一半。

如今“双重勒索”甚至“三重勒索”盛行，勒索软件组织经常威胁称，如果受害者不支付赎金，就会在暗网或公共互联网上泄露或出售数据（双重勒索）。恶意行为者甚至可能会采取各种方法来增加对受害者的压力（三重勒索）。他们可能会向受害者的客户或供应商索要赎金，包括发出数据泄露威胁、发动DDoS攻击甚至拨打恐吓电话。在一个特别值得注意的案例中，网络罪犯通过劫持一家公司的打印机并打印炸弹勒索赎金票据，进行了三重勒索勒索软件攻击，直到受害者付清赎金。

8. 配送及运输

长期以来，网络犯罪分子一直将物流行业的组织视为有吸引力的勒索软件目标。例如，大约十年前，丹麦航运巨头马士基（Maersk）就曾遭遇过至今仍臭名昭著的NotPetya攻击，损失了高达3亿美元的收入。

截至2023年，三分之二的配送和运输公司报告称，他们最近遭遇过勒索软件事件。在一次这样的攻击中，勒索软件袭击了德国燃料物流公司OilTanking，扰乱了大约200个加油站的运输。

9. 金融服务

Sophos的《2023年勒索软件现状报告》给金融服务领域带来了好消息和坏消息：尽管该行业的攻击率逐年上升，从55%上升到64%，但其攻击率仍低于许多其他行业。

勒索软件对金融服务部门的影响可能是广泛和灾难性的。纽约金融服务部门警告称，勒索软件的大规模攻击可能会导致“下一次重大金融危机”，使关键机构陷入瘫痪，并导致消费者信心丧失。

2021年3月，勒索软件运营商袭击了美国最大的商业保险公司之一CNA Financial。彭博社报道称，CNA最终支付了4000万美元的赎金要求，尽管该公司尚未证实这一数字。

10. 商务、专业和法律服务

Palo Alto Networks的威胁研究和咨询小组Unit 42认为，商业和法律服务是当今受灾最严重的行业之一，仅次于制造业。研究人员的结论是基于他们在勒索软件泄露网站上——犯罪分子在这些网站上发布受害者窃取的数据——发现的数据得出的。

Unit 42的研究人员推测，这些公司——包括会计、广告、咨询、工程、营销和律师事务所——可能成为有吸引力的勒索软件攻击目标，原因有以下两个： 

· 他们经常依赖过时和未打补丁的系统和软件，这使得犯罪分子更容易进入他们的网络；

· 他们无法在没有IT功能的情况下提供产品和服务，这促使他们迅速支付赎金，否则将面临重大的业务后果。

在Sophos 2023的调查中，五分之三的商业和专业服务组织表示，他们在过去一年中遭受过勒索软件攻击。

在2021年的一起重大事件中，勒索软件运营商访问并加密了大型律师事务所Campbell Conroy & O'Neil的文件，包括社会安全号码和财务数据等敏感个人信息。这些备受瞩目的出庭律师代表了许多财富500强公司，包括波音、克莱斯勒、联邦快递、家得宝、强生、利宝互助和万豪国际。

11. 医疗保健

勒索软件特别工作组（Ransomware Task Force）表示，医疗中心的高风险工作和普遍存在的安全漏洞，使它们成为网络犯罪分子最喜欢攻击的目标。该工作组是一个由技术高管组成的组织，负责向白宫提出建议。然而，好消息是，Sophos调查数据显示，最近遭受勒索软件攻击的医疗机构比例从2022年的66%下降到2023年的60%。

不过，勒索软件事件在这一领域的影响可能尤为灾难性。德国杜塞尔多夫的一家医院遭遇袭击，迫使医护人员将一名病情严重的病人送往20英里外的另一家医院。这名患者后来死亡，德国检察官表示，这可能是第一起与勒索软件相关的死亡事件。调查人员由此开启了一个过失杀人案，但由于无法证明该漏洞直接导致了这名患者的死亡，他们放弃了这个案子。

尽管官员们还没有成功地让网络犯罪分子对病人的负面结果负责，但研究强烈表明，勒索软件攻击已经造成了不必要的死亡。

12. 制造与生产

Sophos的研究人员发现，在调查之前的12个月里，超过一半的制造商都遭遇过勒索软件攻击。例如，勒索软件运营商在2023年初袭击了许多大公司，包括大型农产品公司Dole。位于德克萨斯州的一位Dole的零售合作伙伴在Facebook上分享的一封电子邮件显示，这次攻击影响了该公司在北美的系统。

在这一领域的一个臭名昭著的攻击案例中，REvil勒索软件团伙使美国最大的肉类供应商之一牛肉制造商JBS USA的业务完全停止。尽管该公司表示，由于其备份服务器，它在四天内恢复并运行，但JBS USA后来证实向黑客支付了1100万美元，以阻止数据泄露。

13. IT、科技和电信

Sophos的研究人员发现，在2022年1月至2023年3月期间，IT、技术和电信行业中有二分之一的组织遭遇过勒索软件攻击。他们将这种相对较低的攻击率归因于更好的网络准备和网络防御。该行业的组织在勒索软件攻击中被成功加密数据的比例不到一半。而在其他行业，恶意行为者在超过三分之二的攻击中成功加密了数据。

最近，IT、科技和电信领域的勒索软件攻击目标包括台湾的个人电脑制造商宏碁（Acer），该公司收到了REvil团伙提出的5000万美元的赎金要求，创下了有史以来最高的赎金要求之一。该公司是否支付了赎金尚不得而知。

安全建议

虽然研究表明，这13个行业的组织都是勒索软件的主要目标，但专家们强调，任何组织（无论规模大小或行业）都不能幸免。

如何识别攻击？

由于恶意代码通常隐藏在非法软件中，例如PowerShell脚本、VBScript、Mimikatz和PsExec，因此勒索软件攻击非常难以检测。组织必须结合使用自动化安全工具和恶意软件分析来发现可能导致勒索软件攻击的可疑活动。

以下是三种类型的勒索软件检测技术： 

· 基于签名的勒索软件，比较从可疑活动收集的样本哈希值与已知签名；

· 基于行为的勒索软件，检查与历史数据相关的新行为；

· 使用一个诱饵（如蜜罐）进行欺骗；

勒索软件攻击发生得很快，因此能够快速检测并做出反应是很重要的。

如何防止勒索软件攻击？

组织可以通过采取强大的网络安全态势来增强勒索软件防御能力，并限制其造成的损害。圣母大学（University of Notre Dame）IT高级主管概述了防止勒索软件攻击的以下步骤：

· 维护纵深防御安全计划；

· 考虑先进的保护技术，如零信任端点检测和响应；

· 让员工了解社会工程的风险；

· 定期打补丁；

· 经常备份关键数据；

· 不要仅仅依赖于备份；

此外，企业可以实施业务流程，限制甚至消除通过电子邮件进行的交易，以使链接和附件变得更加突兀，更好地引起安全专业人员的注意。

云提供了一种独特的勒索软件保护，因为组织可以将其用于备份和恢复策略。公司可以创建无法从核心企业环境访问的孤立备份，而无需更改基础设施或进行大量的管理认证/授权调整。

如何应对勒索软件攻击并从中恢复？

一旦发生勒索软件攻击，组织必须遵循他们在攻击发生前创建和测试的勒索软件事件响应计划。

组织将试图删除勒索软件，但这可能是非常具有挑战性的。安全专家必须确保他们不允许恶意软件进一步渗透到系统中。以下步骤可以帮助组织清除勒索软件：

1. 隔离受感染的设备。

2. 确定勒索软件类型，以实现更有针对性的补救工作。

3. 删除勒索软件，这包括检查它是否被删除，使用反恶意软件或反勒索软件隔离它，向外部安全专业人员寻求帮助，如果需要，手动删除它。

4. 通过恢复攻击发生前的旧版本操作系统来恢复系统。

勒索软件检测和删除工具可以帮助自动化或至少加快恢复时间。他们可以删除设备上的所有恶意软件，以确保它是干净的。此外，这些工具还可以检测威胁、阻止攻击并清除恶意软件残留的痕迹。