以下為報告重點信息整理，不代表GoUpSec觀點：

2024年，Mandiant Consulting處理的經(jīng)濟(jì)利益驅(qū)動的網(wǎng)絡(luò)攻擊事件數(shù)量是國家支持的APT攻擊的四倍。然而，全球范圍國家安全領(lǐng)域?qū)W(wǎng)絡(luò)犯罪的關(guān)注遠(yuǎn)不及對國家黑客組織的重視。

事實上，出于經(jīng)濟(jì)動機的網(wǎng)絡(luò)入侵，即使與國家目標(biāo)沒有任何關(guān)系，也會危害國家安全。

無論攻擊者是國家支持的APT組織還是單純的金融犯罪集團(tuán)，網(wǎng)絡(luò)攻擊對關(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療、經(jīng)濟(jì)和社會穩(wěn)定等方面的威脅程度相似。因此，網(wǎng)絡(luò)犯罪應(yīng)被視為國家安全問題，并采取國際合作與系統(tǒng)性措施應(yīng)對。

網(wǎng)絡(luò)犯罪對國家安全的威脅

網(wǎng)絡(luò)犯罪集團(tuán)已成為影響國家關(guān)鍵基礎(chǔ)設(shè)施的重要威脅。近年來，多個能源、醫(yī)療、交通等領(lǐng)域遭遇大規(guī)模勒索軟件攻擊。例如：

• 2021年：美國殖民管道（Colonial Pipeline）遭勒索軟件攻擊，導(dǎo)致燃油供應(yīng)短缺。
• 2022年：荷蘭阿姆斯特丹-鹿特丹-安特衛(wèi)普煉油樞紐遭遇攻擊，影響能源供應(yīng)。
• 2023年：加拿大Petro-Canada石油公司被攻擊，業(yè)務(wù)運營受到嚴(yán)重影響。
• 2024年：Qilin（AGENDA）勒索軟件組織公開宣稱針對美國醫(yī)療機構(gòu)，并在隨后的幾個月內(nèi)攻擊了多家醫(yī)療中心。

醫(yī)療行業(yè)成重點攻擊目標(biāo)

醫(yī)療行業(yè)近年來成為網(wǎng)絡(luò)犯罪的重點目標(biāo)，醫(yī)院、診所等機構(gòu)的數(shù)據(jù)價值極高，同時業(yè)務(wù)的緊迫性使其成為勒索軟件組織的優(yōu)先攻擊目標(biāo)。近三年，醫(yī)院及醫(yī)療機構(gòu)在數(shù)據(jù)泄露網(wǎng)站上的曝光率翻倍。勒索軟件組織將醫(yī)療機構(gòu)視為“高支付意愿目標(biāo)”，并持續(xù)加強對該行業(yè)的攻擊。研究表明：

• 2024年3月：RAMP論壇用戶“badbone”尋求獲取荷蘭和法國的醫(yī)療機構(gòu)訪問權(quán)限，并表示愿意為醫(yī)院支付2-5%更高的價格。
• 2024年6月：英國國家醫(yī)療服務(wù)系統(tǒng)（NHS）因勒索軟件攻擊導(dǎo)致“長期或永久性健康損害”事件。
• 2024年：美國某醫(yī)療集團(tuán)因網(wǎng)絡(luò)攻擊損失8.72億美元。

數(shù)據(jù)泄露網(wǎng)站中患者數(shù)據(jù)占比變化

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全問題不容忽視，其影響不僅限于數(shù)據(jù)泄露，更可能直接威脅生命安全。學(xué)術(shù)研究表明，醫(yī)院遭遇勒索軟件攻擊后，住院患者的死亡率會增加35-41%。英國國家醫(yī)療服務(wù)體系的數(shù)據(jù)顯示，2024年6月一家承包商發(fā)生的勒索軟件事件導(dǎo)致多起“對身體、心理或社會功能產(chǎn)生長期或永久影響或縮短壽命”的案例。

網(wǎng)絡(luò)攻擊不僅會打擊個別醫(yī)院和患者，還會影響更廣泛的醫(yī)療供應(yīng)鏈。對生產(chǎn)關(guān)鍵藥物和救命療法的公司進(jìn)行網(wǎng)絡(luò)攻擊可能會對全世界產(chǎn)生深遠(yuǎn)的影響。

經(jīng)濟(jì)損失

網(wǎng)絡(luò)犯罪的經(jīng)濟(jì)影響遠(yuǎn)遠(yuǎn)超出了企業(yè)自身的損失。國家經(jīng)濟(jì)穩(wěn)定、投資環(huán)境以及公共信任都可能受到影響。例如：

• 2022年5月：哥斯達(dá)黎加因CONTI勒索軟件攻擊宣布全國進(jìn)入緊急狀態(tài)。
• 2023年：美國因網(wǎng)絡(luò)犯罪損失超過550億美元。
• 2024年：全球商業(yè)電子郵件欺詐（BEC）累計損失超550億美元。

網(wǎng)絡(luò)犯罪與國家支持攻擊的融合

報告指出，越來越多的國家黑客組織成為網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)的客戶，因為從非法論壇購買惡意軟件、憑證或其他關(guān)鍵資源可能比內(nèi)部開發(fā)更便宜，同時也更容易偽裝成經(jīng)濟(jì)驅(qū)動的網(wǎng)絡(luò)犯罪活動。例如俄烏戰(zhàn)爭爆發(fā)后，俄羅斯軍事情報部門支持的APT44開始更多采用網(wǎng)絡(luò)犯罪工具，包括DARKCRYSTALRAT (DCRAT)、WARZONE 和RADTHIEF（“Rhadamanthys Stealer”）等惡意軟件，以及防彈托管基礎(chǔ)設(shè)施，例如由在網(wǎng)絡(luò)犯罪地下社區(qū)做廣告的俄語組織“yalishanda”提供的基礎(chǔ)設(shè)施。

主要APT及網(wǎng)絡(luò)犯罪組織概覽

國家雇傭黑客組織案例

• 俄羅斯：利用APT44、UNC2589等APT組織開展網(wǎng)絡(luò)戰(zhàn)，并在烏克蘭戰(zhàn)爭中使用犯罪工具。
• 伊朗：UNC757與多個勒索軟件組織合作，既進(jìn)行網(wǎng)絡(luò)間諜也獲取非法收入。
• 朝鮮：APT38等組織通過盜取加密貨幣直接為政權(quán)提供資金。

此外，越來越多的國家黑客組織“兼職”從事金融犯罪，或者利用勒索軟件掩蓋情報收集行動。例如APT43通過加密貨幣詐騙和洗錢為國家情報行動提供資金支持。

解決方案與建議

• 提升網(wǎng)絡(luò)犯罪的國家安全優(yōu)先級：政府需要將網(wǎng)絡(luò)犯罪與APT威脅同等對待，加強執(zhí)法與國際合作。
• 增強關(guān)鍵基礎(chǔ)設(shè)施的防御能力：推動企業(yè)采用零信任架構(gòu)，提高網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
• 打擊網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)：針對惡意軟件開發(fā)者、虛擬貨幣洗錢渠道展開打擊。
• 加強國際合作：推動國際組織共同打擊網(wǎng)絡(luò)犯罪，并協(xié)調(diào)制裁措施。
• 提高公眾安全意識：普及網(wǎng)絡(luò)安全知識，鼓勵企業(yè)和個人采取防護(hù)措施。
• 促進(jìn)企業(yè)采用安全技術(shù)：優(yōu)先使用具有良好安全記錄的信創(chuàng)技術(shù)，并推進(jìn)數(shù)字化轉(zhuǎn)型。

結(jié)論

網(wǎng)絡(luò)犯罪已成為全球性國家安全威脅，尤其是當(dāng)APT組織和犯罪集團(tuán)融合時，其破壞力進(jìn)一步增強。應(yīng)對這一問題需要政府、企業(yè)和國際組織共同努力，以系統(tǒng)性的方法切斷其生態(tài)鏈，減少攻擊影響，提高全球網(wǎng)絡(luò)安全水平。