欧盟网络安全局ENISA发布勒索软件报告，揭露欧盟当前机制缺陷

   作为过去十年最具破坏性的网络安全攻击类型之一，勒索软件已经发展到影响全球各种规模的组织。

什么是勒索软件？

勒索软件是一种网络安全攻击，它允许威胁参与者控制目标的资产并要求赎金以保证这些资产的可用性和机密性。  

报告分析了2021年5月至2022年6月报告期内欧盟、英国和美国共发生的 623 起勒索软件事件。数据来自政府和安全公司的报告、媒体、经过验证的博客，在某些情况下使用来自暗网的相关资源。  

据悉，在 2021 年 5 月至 2022 年 6 月期间，勒索软件威胁参与者每月窃取大约 10 TB 的数据。58.2%的被盗数据包括员工个人数据。至少发现了47 个独特的勒索软件威胁参与者。对于 94.2% 的事件，我们不知道公司是否支付了赎金。但是，当协商失败时，攻击者通常会在他们的网页上公开数据并使其可用。这是一般情况下发生的情况，并且是 37.88% 事件的现实。  

因此，我们可以得出结论，其余 62.12% 的公司要么与攻击者达成协议，要么找到了另一种解决方案。该研究还表明，各种规模和各行各业的公司都受到影响。  

然而，上述数字只能描绘整体情况的一部分。实际上，研究表明勒索软件攻击的总数要大得多。目前这个总数是不可能的，因为太多的组织仍然没有公开他们的事件或没有向有关当局报告。  

有关已披露事件的信息也非常有限，因为在大多数情况下，受影响的组织不知道威胁参与者是如何设法获得初始访问权限的。最后，组织可能会在内部处理该问题（例如决定支付赎金）以避免负面宣传并确保业务连续性。然而，这种方法无助于解决问题——相反，它反而助长了这种现象，在此过程中助长了勒索软件的商业模式。  

正是在这些挑战的背景下，ENISA 正在探索改进这种事件报告的方法。修订后的网络和信息安全指令 (NIS 2) 有望改变通知网络安全事件的方式。新规定旨在支持对相关事件进行更好的映射和理解。  

根据报告的分析，勒索软件攻击可以通过四种不同的方式针对资产：攻击可以锁定、加密、删除或窃取（LEDS）目标资产。目标资产可以是任何东西，例如来自文件、数据库、Web 服务、内容管理系统、屏幕、主引导记录 (MBR)、主文件表 (MFT) 等的文档或工具。  

勒索软件的生命周期一直保持不变，直到 2018 年左右，勒索软件开始添加更多功能并且勒索技术成熟。我们可以确定勒索软件攻击的五个阶段：初始访问、执行、目标行动、勒索和赎金协商。这些阶段不遵循严格的顺序路径。  

研究中出现了 4 种不同的

勒索软件商业模式：

以个人攻击者为中心的模型

以群体威胁参与者为重点的模型

勒索软件即服务模型

数据中介模型

一种主要旨在将恶名作为成功勒索软件业务的关键的模型（勒索软件运营商需要保持一定的恶名声誉，否则受害者将不会支付赎金）

勒索软件生命周期的五个阶段