勒索软件.

勒索软件会加密文件、数据库、虚拟机乃至整个存储卷,并显示一份索取加密货币赎金以换取解密密钥的勒索信。现代攻击者通常采取"双重勒索":在加密前先窃取数据,如不付款便威胁将其公布在泄露网站。初始访问通常通过钓鱼邮件、暴露的 RDP/VPN、软件漏洞或被泄露的凭据获得。

真实事件清晰地呈现了这一模式。WannaCry(2017 年 5 月)利用 EternalBlue SMB 漏洞像蠕虫一样在网络间扩散。Colonial Pipeline 事件(2021 年 5 月)由 DarkSide 的关联团伙通过一组泄露且未启用 MFA 的 VPN 密码侵入而引发,导致美国东海岸的燃油输送陷入瘫痪。数周后,REvil 利用 Kaseya VSA 管理软件中的一个零日漏洞(CVE-2021-30116),通过一次供应链攻击向下游 800 至 1500 家企业推送勒索软件,随后索要 7000 万美元的通用解密器赎金。

flowchart LR
  A[初始访问<br/>钓鱼 RDP VPN] --> B[侦察与权限提升]
  B --> C[数据外泄]
  C --> D[大规模加密]
  D --> E[勒索信加泄露网站威胁]
  E --> F{受害者付款?}
  F -->|是| G[可能提供解密器]
  F -->|否| H[数据被泄露 系统丢失]

有效防御措施包括离线且不可变的备份、EDR/XDR、远程访问启用 MFA、及时补丁、网络分段、最小权限账户,以及经过演练的事件响应预案。支付赎金不能保证恢复,且可能助长后续攻击。