北京2020年7月10日 /美通社/ -- 勒索軟件近年來一直是黑客組織牟取暴利的絕佳手段�,也是發(fā)展最快的網(wǎng)絡(luò)安全威脅之一。之前Wannacry�、NotPeya全球肆掠、攻城掠地的景象�����,尚未完全消除�。如今勒索軟件攻擊目標(biāo)多元化、攻擊手段復(fù)雜化����、解密數(shù)據(jù)難度大、危害影響難估量等����,被稱為安全業(yè)界最頭疼的軟件,也成為政府��、企業(yè)��、個人最為關(guān)注的安全風(fēng)險之一��,它幾乎成為與APT齊名的攻擊類型�����。破財消災(zāi)��,幾乎成了多數(shù)被勒索者不得已而為之的選擇��。根據(jù)COVEWARE公司的報告���,2020年一季度�����,企業(yè)平均贖金支付增加至111,605美元��,比2019年第四季度增長了33%�����。目前勒索軟件主要的攻擊傳播方式仍然以RDP(遠(yuǎn)程桌面服務(wù))和釣魚郵件為主�����。因為其變現(xiàn)方式更為粗暴直接����,正被越來越多的網(wǎng)絡(luò)“灰黑”產(chǎn)采用。品嘗過“勒索”帶來的巨大且輕而易舉的利益后��,勒索軟件的演變與發(fā)展更加迅猛異常����。
天地和興總結(jié)梳理的上半年工業(yè)企業(yè)10起典型攻擊事件中,有7起是勒索攻擊����。2月,勒索攻擊殃及美國天然氣管道公司���,CISA未透露勒索軟件名稱�����。勒索軟件Nefilim攻擊澳大利亞Toll集團(tuán)����;3月�����,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機(jī)構(gòu)����,包括加拿大和美國的鋼鐵生產(chǎn)廠;4月���,Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal)�,并且索要1580個比特幣贖金(折合約1090萬美元/990萬歐元)����;5月���,勒索軟件Nefilim襲擊了臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)����。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機(jī)車制造商Stadler;6月���,勒索軟件EKANS/Snake攻擊了本田汽車制造商����。
天地和興工業(yè)網(wǎng)絡(luò)安全研究院對所監(jiān)測到的眾多勒索軟件攻擊事件進(jìn)行梳理���,注意到勒索攻擊的目標(biāo)正向石油���、天燃?xì)狻⒛茉?��、制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)展��。本文篩選10個典型的����、比較活躍的勒索軟件,通過簡要分析其攻擊的目標(biāo)�、路徑、手段及主要特征���,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施利益相關(guān)方,警鐘常鳴��,防患未然���。
典型勒索軟件
1�����、勒索軟件Maze
Maze勒索軟件是ChaCha的一個變種�����,最早出現(xiàn)于2019年5月����。最初���,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網(wǎng)站進(jìn)行傳播����,該工具包利用Flash Player漏洞。后續(xù)Maze勒索軟件增加了利用Windows VBScript Engine遠(yuǎn)程代碼執(zhí)行漏洞等能力����。
Maze(迷宮)通過大量混淆代碼來對抗靜態(tài)分析,使用ChaCha20和RSA兩種算法加密文件��,被加密的文檔在未得到密鑰時暫無法解密����。加密完成后對文件添加隨機(jī)擴(kuò)展后綴,并留下名為DECRYPT-FILES.html的勒索說明文檔����,并修改桌面壁紙。值得一提的是��,該病毒聲稱�����,解密贖金額度取決于被感染電腦的重要程度���,包括個人電腦����、辦公電腦、服務(wù)器�����,這意味著高價值目標(biāo)受攻擊后解密付出的代價也會相應(yīng)的更高����。
2����、勒索軟件Ryuk
Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn),它是由俄羅斯黑客團(tuán)伙GrimSpider幕后操作運營����。GrimSpider是一個網(wǎng)絡(luò)犯罪集團(tuán),使用Ryuk勒索軟件對大型企業(yè)及組織進(jìn)行針對性攻擊����。Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進(jìn)行傳播,因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團(tuán)伙WIZARD SPIDER���,GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD SPIDER的部門之一�����。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù)�����,同時充當(dāng)下載器功能����,提供下載其它勒索病毒服務(wù)。這款勒索病在國外比較流行�����,主要針對一些大型企業(yè)進(jìn)行定向攻擊勒索����。Ryuk特別狡詐的一個功能是可以禁用被感染電腦上的Windows系統(tǒng)還原Windows System Restore選項,令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)����。鑒于攻擊者針對的是高價值受害者,贖金目標(biāo)也轉(zhuǎn)為大型企業(yè)。
安全分析師認(rèn)為�����,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團(tuán)伙的Hermes惡意軟件��。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的�,邁克菲認(rèn)為其代碼基礎(chǔ)由俄語區(qū)供應(yīng)商提供,因為該勒索軟件不會在系統(tǒng)語言設(shè)置為俄語���、白俄羅斯語和烏克蘭語的計算機(jī)上執(zhí)行���。
3、勒索軟件Sodinokibi/ REvil
Sodinokibi勒索病毒(也稱REvil)����,2019年5月24日首次在意大利被發(fā)現(xiàn)���。在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染��,這款病毒被稱為GandCrab勒索病毒的接班人����,在短短幾個月的時間內(nèi),已經(jīng)在全球大范圍傳播�,這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián),Sodinokibi勒索病毒是一種勒索即服務(wù)(RAAS)的模式進(jìn)行分發(fā)和營銷的��,并采用了一些免殺技術(shù)避免安全軟件檢測���。主要通過Oracle WebLogic漏洞�����、Flash UAF漏洞�、網(wǎng)絡(luò)釣魚郵件����、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊�����,這款勒索病毒最新的版本為2.2��,增加了自啟動注冊表項等�,同時還發(fā)現(xiàn)一批最新的采用PowerShell腳本進(jìn)行無文件攻擊的變種樣本。
該勒索軟件最特別的一點就是�,不僅告訴人們“不付贖金就拿不回數(shù)據(jù)”,還會威脅稱“將在網(wǎng)上公開或在地下論壇競拍這些機(jī)密數(shù)據(jù)”。這種新的勒索方式將此商業(yè)模式推升到了新的高度�。高針對性、強(qiáng)定制化的勒索軟件新時代似乎正走向危險新深淵�。
4、勒索軟件DoppelPaymer
DoppelPaymer代表了勒索軟件攻擊的新趨勢—勒索文件加密和數(shù)據(jù)竊取雙管齊下�����。根據(jù)安全研究人員的說法�����,此類惡意軟件首先會竊取數(shù)據(jù)�����,然后向受害者發(fā)送贖金勒索消息���,而不是像傳統(tǒng)勒索軟件一樣就地加密鎖死數(shù)據(jù)�。2019年中期以來一直活躍��,今年3月美國精密零件制造商Visser遭此勒索軟件攻擊��,意外泄漏特斯拉���、波音�、SpaceX等公司有關(guān)的敏感文件����。DoppelPaymer 勒索軟件最早于2019年6月被發(fā)現(xiàn),主要通過RDP暴力破解和垃圾郵件進(jìn)行傳播����,郵件附件中帶有一個自解壓文件,運行后釋放勒索軟件程序并執(zhí)行����。公開資料顯示,DoppelPaymer是BitPaymer 勒索軟件的一類新變種��。DoppelPaymer至少有8種變體����,它們逐漸擴(kuò)展各自的特征集。
自解壓文件運行后在%Users%目錄下創(chuàng)建gratemin文件夾�,釋放名為p1q135no. exe的勒索軟件程序并執(zhí)行,加密文件后�����,在原文件名后追加名為“.locked”的后綴,并在每個被加密文件的目錄中創(chuàng)建名為原文件名后追加“.readme2unlock.txt”格式的勒索信��,勒索信中包含勒索說明�、TOR下載地址、支付地址�、DATA 數(shù)據(jù)信息和郵箱聯(lián)系方式等。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件��,利用多線程快速加密文件�����,使用命令A(yù)RP–A以解析受害系統(tǒng)的地址解析協(xié)議(ARP)表����,具體操作為刪除卷影副本、禁用修復(fù)��、刪除本地計算機(jī)的備份目錄等��。目前被加密的文件在未得到密鑰前暫時無法解密�����。
5����、勒索軟件NetWalker
NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發(fā)現(xiàn),Mailto是基于加密文件名格式的勒索軟件的名稱���,Netwalker是基于勒索軟件的勒索信內(nèi)容給出的名稱��,目前針對的目標(biāo)是企業(yè)和政府機(jī)構(gòu)�,近期開始活躍�����。Netwalker活動背后的攻擊者使用常見的實用程序����、開發(fā)后工具包和living-off-The-land,LOTL策略來探索一個受到破壞的環(huán)境�����,并盡可能多地獲取數(shù)據(jù)��。這些工具可以包括mimikatz(及其變體)���、各種PSTools����、AnyDesk、TeamViewer��、NLBrute等�����。勒索軟件利用PowerShell編寫�����,直接在內(nèi)存中執(zhí)行�,沒有將實際的勒索軟件二進(jìn)制文件存儲到磁盤中。惡意軟件利用了反射動態(tài)鏈接庫(DLL)注入的技術(shù)�����,也稱reflective DLL加載�����,可以從內(nèi)存注入DLL�����,不需要實際DLL文件,也不需要任何Windows加載程序即可注入��。這讓此勒索病毒成為了無檔案病毒(fileless malware)�����,能夠保持持續(xù)性���,并利用系統(tǒng)內(nèi)的工具來進(jìn)行攻擊而不被偵測到和殺軟查殺。
在加密完成后���,進(jìn)程退出前最后會彈出勒索信��,勒索提示信息文件[加密后綴]-Readme.txt��,加密后的文件后綴名為隨機(jī)字符串�。
6����、勒索軟件CLOP
Clop勒索軟件于2019年2月出現(xiàn)在公眾視野中,Clop背后團(tuán)隊的主要目標(biāo)是加密企業(yè)的文件��,收到贖金后再發(fā)送解密器�����。目前Clop仍處于快速發(fā)展階段。該惡意軟件暫無有效的解密工具��,致受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重���。
與其他勒索病毒不同的是���,Clop勒索軟件部分情況下攜帶了有效的數(shù)字簽名,數(shù)字簽名濫用和冒用在以往情況下多數(shù)發(fā)生在流氓軟件和竊密類木馬程序中�����。勒索軟件攜帶有效簽名的情況極為少見���,這意味著該軟件在部分?jǐn)r截場景下更容易獲取到安全軟件的信任����,進(jìn)而感染成功���,造成無法逆轉(zhuǎn)的損失���。
Clop勒索軟件通過多種途徑感染受害者的計算機(jī)設(shè)備��。主感染文件會利用隨機(jī)腳本提取惡意可執(zhí)行文件�����,惡意Java腳本被設(shè)置為通過誘使受害者訪問或被重定向至惡意站點將惡意可執(zhí)行文件下載并安裝至受害者計算機(jī)上�。另一種分發(fā)傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼����。這些文檔常以垃圾郵件附件的形式發(fā)送給受害者���。
此惡意軟件旨在通過附加“.Clop ”擴(kuò)展名來加密受害計算機(jī)上的數(shù)據(jù)并重命名每個文件�。例如��,“sample.jpg”被重命名為“sample.jpg.Clop”����。成功加密后,Clop會生成一個文本文件“ClopReadMe.txt”并在每個現(xiàn)有文件夾中放置一個副本����,文本文件包含贖金通知消息。
7、勒索軟件EKANS
EKANS勒索軟件(也稱Snake)��,于2020年1月首次被發(fā)現(xiàn)�����,是一種新的勒索軟件���,專門針對工業(yè)控制系統(tǒng)�。EKANS代碼中包含一系列特定用于工業(yè)控制系統(tǒng)功能相關(guān)的命令與過程���,可導(dǎo)致與工業(yè)控制操作相關(guān)的諸多流程應(yīng)用程序停滯���。EKANS勒索軟件是用Golang編寫的,將整個網(wǎng)絡(luò)作為目標(biāo)�,并且存在大量混淆。其中�����,包含了一種常規(guī)混淆����,這種混淆在以前并不常見�,通常是與目標(biāo)方法結(jié)合使用���。
EKANS在執(zhí)行時會刪除計算機(jī)的卷影副本���,還會停止與SCADA系統(tǒng)、虛擬機(jī)����、工業(yè)控制系統(tǒng)、遠(yuǎn)程管理工具�、網(wǎng)絡(luò)管理軟件等相關(guān)的眾多進(jìn)程。然后�,EKANS還會加密系統(tǒng)上的文件����,從而跳過Windows系統(tǒng)文件和文件夾。在文件擴(kuò)展名后面還會附加一個勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)��。該惡意軟件在每個加密文件后附加了“EKANS”文件標(biāo)記���。加密過程完成后�����,勒索軟件將在C:\Users\Public\Desktop文件夾中創(chuàng)建一個勒索記錄(名為“Fix Your Files.txt”)�����,其中包含要聯(lián)系以接收付款指示的電子郵件地址��。EKANS目前的主要感染媒介似乎是釣魚附件�。
8、勒索軟件Nefilim
Nefilim出現(xiàn)于2020年3月��,可能是通過公開的RDP(遠(yuǎn)程桌面服務(wù))進(jìn)行分發(fā)����。Nefilim與Nemty共享許多相同的代碼,主要的不同之處在于�,Nefilim移除了勒索軟件即服務(wù)(RaaS)的組件,依靠電子郵件進(jìn)行支付����,而不是Tor支付網(wǎng)站。Nefilim使用AES-128加密文件���,每個加密的文件都將附加.NEFILIM擴(kuò)展名����,加密完成后,調(diào)用cmd命令進(jìn)行自我刪除���。釋放的勒索信中包含不同的聯(lián)系電子郵件�����,并且威脅如果在7天內(nèi)未支付贖金����,將會泄漏數(shù)據(jù)��。
從技術(shù)上講��,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務(wù)���。一旦攻擊者通過RDP進(jìn)入了網(wǎng)絡(luò),他們就會繼續(xù)建立持久化�,在可能的情況下查找和竊取其他憑證,然后將勒索軟件的payload傳播給潛在目標(biāo)����。
9、勒索軟件Ragnar Locker
RagnarLocker勒索軟件在2019年12月底首次出現(xiàn)�����,是一種新的勒索軟件,將惡意軟件部署為虛擬機(jī)(VM)�,以逃避傳統(tǒng)防御。勒索軟件的代碼較小�����,在刪除其自定義加殼程序后僅有48KB�����,并且使用高級編程語言(C/C++)進(jìn)行編碼����。
RagnarLocke是使用GPO任務(wù)執(zhí)行Microsoft Installer(msiexec.exe),傳遞參數(shù)從遠(yuǎn)程Web服務(wù)器下載并以靜默方式安裝制作的122 MB未經(jīng)簽名的MSI軟件包�����。MSI軟件包包含一個Oracle VirtualBox虛擬機(jī)管理程序和一個名為micro.vdi的虛擬磁盤映像文件(VDI)���,該文件是Windows XP SP3操作系統(tǒng)的精簡版本映像�。由于vrun.exe勒索軟件應(yīng)用程序在虛擬客戶機(jī)內(nèi)部運行���,因此其過程和行為可以不受阻礙地運行��,物理主機(jī)上的安全軟件是無能為力的�����。
RagnarLocker在選擇受害者時是很有選擇性的���。目標(biāo)往往是公司�,而不是個人用戶��。該惡意軟件的目標(biāo)是對可以加密的所有文件進(jìn)行加密��,并提出勒索�,要求用戶支付贖金以進(jìn)行解密。
10�����、勒索軟件PonyFinal
一種新型的人工勒索軟件“PonyFinal”�����,通過手動啟動有效載荷來部署攻擊����。它對目標(biāo)公司的系統(tǒng)管理服務(wù)器使用“暴力手段”,無需依靠誘騙用戶通過網(wǎng)絡(luò)釣魚鏈接或電子郵件來啟動有效負(fù)載���。主要針對在COVID-19危機(jī)中的醫(yī)療衛(wèi)生機(jī)構(gòu)��。
PonyFinal的入侵點通常是公司系統(tǒng)管理服務(wù)器上的一個賬戶���,PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來攻擊該帳戶。一旦黑客進(jìn)入內(nèi)部系統(tǒng)后��,他們會部署Visual Basic腳本��,該腳本會運行PowerShell反向外殼程序以轉(zhuǎn)儲和竊取本地數(shù)據(jù)�����。
此外���,PonyFinal勒索軟件還會部署遠(yuǎn)程操縱器系統(tǒng)以繞過事件日志記錄�。一旦PonyFinal的黑客們牢牢地掌握了目標(biāo)網(wǎng)絡(luò)����,他們便會傳播到其他本地系統(tǒng)并部署實際的PonyFinal勒索軟件���。PonyFinal是用Java語言編寫的,攻擊者還會將目標(biāo)鎖定在安裝了Java Runtime Environment(JRE)的工作站上�����。攻擊者使用從系統(tǒng)管理服務(wù)器竊取的信息來鎖定已安裝JRE的端點��。勒索軟件是通過包含兩個批處理文件的MSI文件交付的�����,其中包括將由攻擊者激活的有效負(fù)載�。通常會在每個加密文件的末尾會被添加一個“.enc”文件擴(kuò)展名。而贖金記錄通常名為README_files.txt����,會包含贖金付款說明的簡單文本文件。
2020上半年典型勒索軟件一覽表 |
序號 |
勒索軟件 名稱 |
首次發(fā)現(xiàn) 時間 |
所屬家族 |
編寫語言 |
攻擊方式 |
攻擊目標(biāo) |
幕后運營者 |
攻擊事件 |
備注 |
1 |
MAZE |
2019年5月29日 |
ChaCha |
極其復(fù)雜的代碼��,反逆向 |
利用漏洞�、網(wǎng)絡(luò)釣魚、RDP |
技術(shù)提供商和公共服務(wù)(政府機(jī)構(gòu)��、教育、衛(wèi)生) |
屬于俄羅斯聯(lián)邦的所有C2域 |
4月1日��,石油公司 Berkine 遭受勒索攻擊 |
數(shù)據(jù)泄露 |
2 |
Ryuk |
2018年8月 |
Hermes |
未知 |
通過垃圾郵件傳播Emotet銀行木馬 |
大型工控企業(yè)��、組織����、機(jī)構(gòu)等 |
俄羅斯黑客團(tuán)伙GrimSpider |
3月鋼鐵制造商EVRAZ遭受勒索攻擊 |
導(dǎo)致大多數(shù)工廠都已停止生產(chǎn) |
3 |
Sodinokibi/REvil |
2019年5月24日 |
GandCrab |
未知 |
通過 RDP爆破進(jìn)行傳播�����、社會工程 |
MSP和其他組織(例如地方政府) |
未知 |
巴西電力公司Light S.A.遭受勒索攻擊 |
Salsa20流密碼加密����;索要1400萬美元贖金 |
4 |
DoppelPaymer |
2019 年 6 月 |
BitPaymer |
未知 |
RDP、惡意附件��、漏洞利用等 |
大型企業(yè)��、組織 |
朝鮮 |
3月美國精密零件制造商Visser遭此勒索攻擊 |
數(shù)據(jù)泄露 |
5 |
NetWalker |
2019年8月 |
NEMTY |
PowerShell |
無文件勒索軟件 |
醫(yī)療和教育機(jī)構(gòu) |
未知 |
6月���,美國醫(yī)療系統(tǒng)Crozer-Keystone最近遭受勒索攻擊 |
因未支付比特幣贖金�����,其數(shù)據(jù)在暗網(wǎng)上被拍賣 |
6 |
CLOP |
2019年2月 |
CryptoMix |
未知 |
以垃圾郵件附件的形式 |
大型企業(yè) |
未知 |
3月美國生物制藥公司ExecuPharm遭受勒索攻擊 |
數(shù)據(jù)泄露 |
7 |
EKANS/SNAKE |
2020年1月 |
未知 |
Golang |
利用釣魚附件 |
針對工業(yè)控制系統(tǒng)環(huán)境 |
未知 |
6月本田汽車Honda遭受勒索攻擊 |
造成部分工廠停工,損失十分嚴(yán)重 |
8 |
Nefilim |
2020年3月 |
未知 |
未知 |
利用RDP服務(wù) |
企業(yè)、組織等 |
未知 |
5月臺灣石油���、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)遭受勒索攻擊 |
導(dǎo)致服務(wù)中斷,其IT和計算機(jī)系統(tǒng)關(guān)閉 |
9 |
RagnarLocker |
2019年12月 |
未知 |
C/C++ |
惡意軟件部署為虛擬機(jī)(VM) |
針對托管服務(wù)提供商的常用軟件 |
未知 |
4月葡萄牙跨國能源公司EDP遭受攻擊 |
索要1580的比特幣贖金(折合約1090萬美元) |
10 |
PonyFinal |
2020年4月 |
未知 |
Java |
人為操縱,使用暴力攻擊 |
醫(yī)療衛(wèi)生���、教育 |
未知 |
4月美國最大ATM 供應(yīng)商 Diebold Nixdorf遭受勒索攻擊 |
未支付贖金 |
思考及建議
2020年,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險的網(wǎng)絡(luò)安全威脅���。針對性���、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征。勒索軟件不僅數(shù)量增幅快���,而且危害日益嚴(yán)重���,特別是針對關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛���。被勒索機(jī)構(gòu)既有巨額經(jīng)濟(jì)損失���,又有數(shù)據(jù)無法恢復(fù)甚至被惡意泄露的風(fēng)險���,雙重勒索的陰影揮之不去。勒索攻擊的危害遠(yuǎn)不止贖金造成的經(jīng)濟(jì)損失���,更嚴(yán)重的是會給企業(yè)和組織機(jī)構(gòu)帶來額外的復(fù)雜性,造成數(shù)據(jù)損毀或遺失���、生產(chǎn)力破壞���、正常業(yè)務(wù)中斷、企業(yè)聲譽(yù)損害等多方面的損失���。比如3月初���,美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊,攻擊者入侵了Visser的電腦對其文件進(jìn)行加密���,并要求Visser在3月底支付贖金���,否則將把機(jī)密文件內(nèi)容公開到網(wǎng)絡(luò)上。由于沒有收到勒索款項���,DoppelPaymer在網(wǎng)上公開了關(guān)于SpaceX���、Lockheed-Martin���、特斯拉、波音等公司的機(jī)密信息���,被泄露的資訊包括Lockheed-Martin設(shè)計的軍事裝備的細(xì)節(jié)���,比如反迫擊炮防御系統(tǒng)中的天線規(guī)格、賬單和付款表格���、供應(yīng)商資訊���、數(shù)據(jù)分析報告以及法律文書等。此外���,Visser與特斯拉 SpaceX之間的保密協(xié)議也在泄露文件中���。
毫無疑問,勒索軟件攻擊在今后很長一段時間內(nèi)仍然是政府���、企業(yè)���、個人共同面對的主要安全威脅���。勒索軟件的攻擊方式隨著新技術(shù)的應(yīng)用發(fā)展不斷變化,有針對性的勒索軟件事件給不同行業(yè)和地區(qū)的企業(yè)帶來了破壞性攻擊威脅���,勒索攻擊產(chǎn)業(yè)化、場景多樣化���、平臺多元化的特征會更加突出���。在工業(yè)企業(yè)場景中,勒索軟件慣用的攻擊向量主要是弱口令���、被盜憑據(jù)���、RDP服務(wù)、USB設(shè)備���、釣魚郵件等���,有效防范勒索軟件攻擊���,仍需要針對性做好基礎(chǔ)防御工作,構(gòu)建和擴(kuò)張深度防御���,從而保障企業(yè)數(shù)據(jù)安全���,促進(jìn)業(yè)務(wù)良性發(fā)展。
1���、強(qiáng)化端點防護(hù)
及時加固終端���、服務(wù)器,所有服務(wù)器���、終端應(yīng)強(qiáng)行實施復(fù)雜口令策略���,杜絕弱口令;安裝殺毒軟件���、終端安全管理軟件并及時更新病毒庫���;及時安裝漏洞補(bǔ)?��。环?wù)器開啟關(guān)鍵日志收集功能���,為安全事件的追溯提供基礎(chǔ)���。
2、關(guān)閉不需要的端口和服務(wù)
嚴(yán)格控制端口管理���,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口(RDP服務(wù)的3389端口),同時使用適用的防惡意代碼軟件進(jìn)行安全防護(hù)���。
3���、采用多因素認(rèn)證
利用被盜的員工憑據(jù)來進(jìn)入網(wǎng)絡(luò)并分發(fā)勒索軟件是一種常見的攻擊方式。這些憑據(jù)通常是通過網(wǎng)絡(luò)釣魚收集的���,或者是從過去的入侵活動中獲取的���。為了減少攻擊的可能性���,務(wù)必在所有技術(shù)解決方案中采用多因素身份驗證(MFA)。
4���、全面強(qiáng)化資產(chǎn)細(xì)粒度訪問
增強(qiáng)資產(chǎn)可見性���,細(xì)化資產(chǎn)訪問控制。員工���、合作伙伴和客戶均遵循身份和訪問管理為中心���。合理劃分安全域,采取必要的微隔離���。落實好最小權(quán)限原則���。
5、深入掌控威脅態(tài)勢
持續(xù)加強(qiáng)威脅監(jiān)測和檢測能力���,依托資產(chǎn)可見能力���、威脅情報共享和態(tài)勢感知能力���,形成有效的威脅早發(fā)現(xiàn)、早隔離���、早處置的機(jī)制���。
6、制定業(yè)務(wù)連續(xù)性計劃
強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份���,對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時備份���,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案���。同時,做好備份系統(tǒng)與主系統(tǒng)的安全隔離���,避免主系統(tǒng)和備份系統(tǒng)同時被攻擊���,影響業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)解決方案應(yīng)成為在發(fā)生攻擊時維持運營的策略的一部分���。
7���、加強(qiáng)安全意識培訓(xùn)和教育
員工安全意識淡漠���,是一個重要問題。必須經(jīng)常提供網(wǎng)絡(luò)安全培訓(xùn)���,以確保員工可以發(fā)現(xiàn)并避免潛在的網(wǎng)絡(luò)釣魚電子郵件���,這是勒索軟件的主要入口之一。將該培訓(xùn)與網(wǎng)絡(luò)釣魚演練結(jié)合使用���,以掌握員工的脆弱點���。確定最脆弱的員工,并為他們提供更多的支持或安全措施���,以降低風(fēng)險���。
8、定期檢查
每三到六個月對網(wǎng)絡(luò)衛(wèi)生習(xí)慣、威脅狀況���、業(yè)務(wù)連續(xù)性計劃以及關(guān)鍵資產(chǎn)訪問日志進(jìn)行一次審核���。通過這些措施不斷改善安全計劃。及時了解風(fēng)險���,主動防御勒索軟件攻擊并減輕其影響���。
此外,無論是企業(yè)還是個人受害者���,都不建議支付贖金���。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風(fēng)險���。
