勒索软件防护发展报告（2022年）发布版V3

版 权 声 明 本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。 报 告 愿 景 及 目 标 随着数字化经济的飞速发展，网络安全法、数据安全法的颁布，数字化已成为国家和各行业发展的主旋律。企业在数字化转型的过程中，面临着包括勒索攻击、双重勒索等新型勒索软件带来的巨大威胁。勒索软件是攻击传播面极广、经济损失极大的一种攻击方式。无论是个人、企业还是组织，都可能成为勒索软件攻击的对象。 勒索软件针对企业核心业务系统、关键数据进行加密，导致核心业务系统中断、关键数据不可恢复，从而影响企业正常运作，带来严重的经济损失和声誉损失。因此为企业建立事前防护、事中持续监测、事后快速响应及安全加固的全流程勒索软件防护体系，成为企业防御勒索软件攻击的首要重点。 在此背景下，云计算开源产业联盟撰写了本报告，旨在通过对勒索软件发展情况、主要特点、攻击现状、发展态势以及防护体系建设、未来发展展望等多个方面进行梳理、总结和分析，帮助企业正确认识勒索软件，合理高效地防范勒索软件攻击，增强产业界信心。 编 制 组 成 员 卫斌、郭雪、孔松、李忆晨、饶帅、李飞、吕杨琦、黄超、李晓峰、丁立彤、陈绍良、何志彬、何柏宜、王振兴，安东冉，田苏维、李栋，梁伟，于忠臣、梁连燚、吕佳、陈东鹏，彭丽娟，聂永立、张永波、毛帅、杨志伟、延林朴、刘新新、周素华、王凤周、王亮、刘海粟、康罗、孙维伯、吴剑刚、黄海莲、刘沛、程进、张桐桐、王春晓、李文越、陈世亮、杨磊、杨梅、廖双晓、曹峰、毛立峰、孙涛、郭海骏、陈明阳、林建兴、张帅 目 录 一、 勒索软件发展概述 ............................................... 1 （一）我国网络安全市场产业进展迈向新阶段 ................... 1 （二）勒索软件攻击已成为网络安全的最大威胁之一 ............. 2 （三）勒索软件攻击影响呈扩大趋势，带来巨大威胁 ............. 4 （四）勒索软件经历萌芽期、发展期，目前已正式进入高发期 ..... 6 （五）勒索软件攻击流程各个阶段日益专业化 ................... 8 （六）勒索攻击黑色产业链逐渐完善化，层次分明，分工明确 ..... 9 二、 勒索软件攻击现状 .............................................. 10 （一）近期勒索软件攻击事件频发，已引起广泛关注 ............ 10 （二）勒索软件攻击形式与传播渠道不断发生着变化 ............ 11 （三）勒索软件攻击不断演变发展进化，国内外存在一定差异 .... 13 三、 勒索软件发展态势 .............................................. 22 （一）影响广泛：影响社会正常运转且难解密 .................. 23 （二）隐蔽变异快：为勒索防护提出巨大挑战 .................. 24 （三）勒索攻击SaaS化：RaaS勒索即服务模式兴起 ............ 26 （四）跨平台勒索：提升勒索软件利用 ........................ 27 （五）漏洞武器化：促进勒索软件发展 ........................ 28 （六）加密货币普及：助推赎金快速增长 ...................... 28 （七）APT定向化：大型企业和基础设施是重点 ................ 29 （八）多重勒索：引发数据泄露风险 .......................... 30 （九）供应链渗透：成为勒索攻击重要切入点 .................. 31 （十）处置专业化：增强勒索攻击防护能力 .................... 32 （十一）全球治理：促进国际共同抵抗威胁 .................... 33 四、 勒索软件防护体系建设 .......................................... 34 （一）传统勒索软件攻击防护已效率不足，须推陈出新 .......... 34 （二）勒索软件攻击防护体系日趋纵深防御发展 ................ 36 （三）勒索软件攻击防护关键技术能力蓬勃发展 ................ 42 （四）网络安全保险为勒索软件攻击防护提供事后保障 .......... 50 五、 勒索软件攻防护发展展望 ....................................... 55 附录1 2022年全球勒索软件攻击重要事件梳理 ......................... 58 附录2 2022年我国勒索软件攻击重要事件梳理 ......................... 63 附录3 勒索软件攻击防护主要产品梳理 ............................... 67 致谢 ............................................................... 70 图 目 录 图 1 中国网络安全市场预测，2022-2026 ......................................................... 1 图 2 勒索软件攻击发展概述 .............................................................................. 6 图 3 勒索软件攻击黑色产业链 .......................................................................... 9 图 4 2021年与2020年主要攻击类型对比 ...................................................... 11 图 5 全球勒索软件家族市场份额排名（2022年Q1-Q3） ........................... 14 图 6 2022年我国单位Wannnacry感染设施数 ............................................... 15 图 7 2022年我国单位Wannnacry感染次数 ................................................... 15 图 8 2022年我国常见勒索软件家族分布比率 ............................................... 16 图 9 2022年我国常见勒索软件家族分布比率平均值 ................................... 16 图 10 2022年全球勒索软件入侵方式分布 ..................................................... 17 图 11 2022年我国勒索软件入侵方式分布 ...................................................... 18 图 12 2022年我国勒索软件事件感染系统分布 ............................................. 19 图 13 2022年全球常见行业受勒索软件攻击分布图 ..................................... 20 图 14 2022年勒索软件支付赎金均值及中间值折线图 ................................. 22 图 15 新技术下勒索软件攻击方式逐渐进化 .................................................. 34 图 16 勒索软件攻击防护常规流程 .................................................................. 36 表 目 录 表 1 2022年全球勒索软件攻击重要事件 ....................................................... 58 表 2 2022年我国勒索软件攻击重要事件 ....................................................... 63 表 3 勒索软件攻击防护核心产品 .................................................................... 67 勒索软件防护发展报告（2022年） 1 一、 勒索软件发展概述 （一）我国网络安全市场产业进展迈向新阶段 我国网络安全市场发展稳中向好，产业发展迈向新阶段。2022年对中国和世界都是充满挑战的一年，我国数字经济进入快速发展时期，网络安全法律法规体系逐渐夯实完善，社会各方对网络安全的投入逐渐加大。根据《IDC Market Forecast：中国网络安全市场预测，2022-2026》，中国网络安全市场总投资规模为122亿美元。IDC预测，到2026年，中国IT安全市场投资规模将达到319亿美元。 数据来源：IDC中国（2022） 图 1 中国网络安全市场预测，2022-2026 勒索软件防护发展报告（2022年） 2 （二）勒索软件攻击已成为网络安全的最大威胁之一 勒索软件（Ransomware）攻击已成为网络安全的最大威胁之一。勒索软件攻击指的是网络攻击者通过对目标数据进行强行加密，导致企业核心业务停摆，以此要挟受害者支付赎金进行解密的行为。勒索软件是一种阻止或限制用户使用电脑系统的恶意程序，极具传播性、破坏性，攻击者用来对用户资产或资源进行劫持，旨在加密和盗窃数据以勒索钱财。勒索软件利用多种密码算法加密用户数据、更改系统配置等方式，使用户资产或资源无法正常使用，受害者必须向攻击者付费，才能获得解密密钥，重新获得数据，恢复系统正常运行。由于勒索攻击事件中被加密信息难以恢复，直接导致作为攻击目标的关键信息系统无法正常运转，攻击来源难以追踪，敏感信息的窃取和泄露导致极大的法律合规和业务经营风险，勒索软件对现实世界的威胁加剧，已经成为全球广泛关注的网络安全难题。 近年来，勒索软件攻击已成为无处不在的网络安全攻击手段。新型勒索攻击事件层出不穷，勒索软件攻击形势更加严峻，已经对全球制造、金融、能源、医疗、政府组织等关键领域造成严重影响。在某些事件中，攻击者挟持关键基础设施进而索要高额赎金，甚至可能影响国家的正常运作能力。根据SonicWall发布的2022年年中网络威胁报告，2022年1-6月，全球共记录了2.361亿次勒 勒索软件防护发展报告（2022年） 3 索软件攻击。世界经济论坛《2022年全球网络安全展望报告》称，80%的网络安全领导者认为勒索软件是对公共安全的重大威胁。勒索软件损害预计将从2015年的3.25亿美元增长到2031年的2650亿美元。 勒索攻击事件在全球各地频频发生，可归因于几方面： 一是企业内部基础设施建设不完善，拥抱数字化转型后缺少有效的安全防护措施。根据美国国家标准与技术研究所（NIST）发布的数据显示，2021年报告的漏洞数量为18378个，年度漏洞数据已经在五年内连续增长。根据《2022上半年网络安全漏洞态势观察》，我国2022年上半年新增通用型漏洞