omniture

天地和興:2020上半年十大典型勒索軟件大盤點(diǎn)

天地和興工業(yè)網(wǎng)絡(luò)安全研究院從2020年上半年所監(jiān)測到的眾多勒索軟件攻擊事件中篩選出10個典型的、比較活躍的勒索軟件,通過簡要分析其攻擊的目標(biāo)、路徑、手段及主要特征,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施利益相關(guān)方,警鐘常鳴,防患未然。

北京2020年7月10日 /美通社/ -- 勒索軟件近年來一直是黑客組織牟取暴利的絕佳手段,也是發(fā)展最快的網(wǎng)絡(luò)安全威脅之一。之前Wannacry、NotPeya全球肆掠、攻城掠地的景象,尚未完全消除。如今勒索軟件攻擊目標(biāo)多元化、攻擊手段復(fù)雜化、解密數(shù)據(jù)難度大、危害影響難估量等,被稱為安全業(yè)界最頭疼的軟件,也成為政府、企業(yè)、個人最為關(guān)注的安全風(fēng)險之一,它幾乎成為與APT齊名的攻擊類型。破財消災(zāi),幾乎成了多數(shù)被勒索者不得已而為之的選擇。根據(jù)COVEWARE公司的報告,2020年一季度,企業(yè)平均贖金支付增加至111,605美元,比2019年第四季度增長了33%。目前勒索軟件主要的攻擊傳播方式仍然以RDP(遠(yuǎn)程桌面服務(wù))和釣魚郵件為主。因為其變現(xiàn)方式更為粗暴直接,正被越來越多的網(wǎng)絡(luò)“灰黑”產(chǎn)采用。品嘗過“勒索”帶來的巨大且輕而易舉的利益后,勒索軟件的演變與發(fā)展更加迅猛異常。

天地和興總結(jié)梳理的上半年工業(yè)企業(yè)10起典型攻擊事件中,有7起是勒索攻擊。2月,勒索攻擊殃及美國天然氣管道公司,CISA未透露勒索軟件名稱。勒索軟件Nefilim攻擊澳大利亞Toll集團(tuán);3月,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機(jī)構(gòu),包括加拿大和美國的鋼鐵生產(chǎn)廠;4月,Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal),并且索要1580個比特幣贖金(折合約1090萬美元/990萬歐元);5月,勒索軟件Nefilim襲擊了臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機(jī)車制造商Stadler;6月,勒索軟件EKANS/Snake攻擊了本田汽車制造商。

天地和興工業(yè)網(wǎng)絡(luò)安全研究院對所監(jiān)測到的眾多勒索軟件攻擊事件進(jìn)行梳理,注意到勒索攻擊的目標(biāo)正向石油、天燃?xì)狻⒛茉?、制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)展。本文篩選10個典型的、比較活躍的勒索軟件,通過簡要分析其攻擊的目標(biāo)、路徑、手段及主要特征,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施利益相關(guān)方,警鐘常鳴,防患未然。

典型勒索軟件

1、勒索軟件Maze

Maze勒索軟件是ChaCha的一個變種,最早出現(xiàn)于2019年5月。最初,Maze是使用如Fallout EKSpelevo EK之類的漏洞利用工具包通過網(wǎng)站進(jìn)行傳播,該工具包利用Flash Player漏洞。后續(xù)Maze勒索軟件增加了利用Windows VBScript Engine遠(yuǎn)程代碼執(zhí)行漏洞等能力。

Maze(迷宮)通過大量混淆代碼來對抗靜態(tài)分析,使用ChaCha20和RSA兩種算法加密文件,被加密的文檔在未得到密鑰時暫無法解密。加密完成后對文件添加隨機(jī)擴(kuò)展后綴,并留下名為DECRYPT-FILES.html的勒索說明文檔,并修改桌面壁紙。值得一提的是,該病毒聲稱,解密贖金額度取決于被感染電腦的重要程度,包括個人電腦、辦公電腦、服務(wù)器,這意味著高價值目標(biāo)受攻擊后解密付出的代價也會相應(yīng)的更高。

2、勒索軟件Ryuk

Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn),它是由俄羅斯黑客團(tuán)伙GrimSpider幕后操作運(yùn)營。GrimSpider是一個網(wǎng)絡(luò)犯罪集團(tuán),使用Ryuk勒索軟件對大型企業(yè)及組織進(jìn)行針對性攻擊。Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進(jìn)行傳播,因為TrickBot銀行木馬傳播渠道的運(yùn)營者是俄羅斯黑客團(tuán)伙WIZARD SPIDER,GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD SPIDER的部門之一。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù),同時充當(dāng)下載器功能,提供下載其它勒索病毒服務(wù)。這款勒索病在國外比較流行,主要針對一些大型企業(yè)進(jìn)行定向攻擊勒索。Ryuk特別狡詐的一個功能是可以禁用被感染電腦上的Windows系統(tǒng)還原Windows System Restore選項,令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)。鑒于攻擊者針對的是高價值受害者,贖金目標(biāo)也轉(zhuǎn)為大型企業(yè)。

安全分析師認(rèn)為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團(tuán)伙的Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的,邁克菲認(rèn)為其代碼基礎(chǔ)由俄語區(qū)供應(yīng)商提供,因為該勒索軟件不會在系統(tǒng)語言設(shè)置為俄語、白俄羅斯語和烏克蘭語的計算機(jī)上執(zhí)行。

3、勒索軟件Sodinokibi/ REvil

Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發(fā)現(xiàn)。在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個月的時間內(nèi),已經(jīng)在全球大范圍傳播,這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián),Sodinokibi勒索病毒是一種勒索即服務(wù)(RAAS)的模式進(jìn)行分發(fā)和營銷的,并采用了一些免殺技術(shù)避免安全軟件檢測。主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網(wǎng)絡(luò)釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊,這款勒索病毒最新的版本為2.2,增加了自啟動注冊表項等,同時還發(fā)現(xiàn)一批最新的采用PowerShell腳本進(jìn)行無文件攻擊的變種樣本。

該勒索軟件最特別的一點(diǎn)就是,不僅告訴人們“不付贖金就拿不回數(shù)據(jù)”,還會威脅稱“將在網(wǎng)上公開或在地下論壇競拍這些機(jī)密數(shù)據(jù)”。這種新的勒索方式將此商業(yè)模式推升到了新的高度。高針對性、強(qiáng)定制化的勒索軟件新時代似乎正走向危險新深淵。

4、勒索軟件DoppelPaymer

DoppelPaymer代表了勒索軟件攻擊的新趨勢—勒索文件加密和數(shù)據(jù)竊取雙管齊下。根據(jù)安全研究人員的說法,此類惡意軟件首先會竊取數(shù)據(jù),然后向受害者發(fā)送贖金勒索消息,而不是像傳統(tǒng)勒索軟件一樣就地加密鎖死數(shù)據(jù)。2019年中期以來一直活躍,今年3月美國精密零件制造商Visser遭此勒索軟件攻擊,意外泄漏特斯拉、波音、SpaceX等公司有關(guān)的敏感文件。DoppelPaymer 勒索軟件最早于2019年6月被發(fā)現(xiàn),主要通過RDP暴力破解和垃圾郵件進(jìn)行傳播,郵件附件中帶有一個自解壓文件,運(yùn)行后釋放勒索軟件程序并執(zhí)行。公開資料顯示,DoppelPaymer是BitPaymer 勒索軟件的一類新變種。DoppelPaymer至少有8種變體,它們逐漸擴(kuò)展各自的特征集。

自解壓文件運(yùn)行后在%Users%目錄下創(chuàng)建gratemin文件夾,釋放名為p1q135no. exe的勒索軟件程序并執(zhí)行,加密文件后,在原文件名后追加名為“.locked”的后綴,并在每個被加密文件的目錄中創(chuàng)建名為原文件名后追加“.readme2unlock.txt”格式的勒索信,勒索信中包含勒索說明、TOR下載地址、支付地址、DATA 數(shù)據(jù)信息和郵箱聯(lián)系方式等。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件,利用多線程快速加密文件,使用命令A(yù)RP–A以解析受害系統(tǒng)的地址解析協(xié)議(ARP)表,具體操作為刪除卷影副本、禁用修復(fù)、刪除本地計算機(jī)的備份目錄等。目前被加密的文件在未得到密鑰前暫時無法解密。

5、勒索軟件NetWalker

NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發(fā)現(xiàn),Mailto是基于加密文件名格式的勒索軟件的名稱,Netwalker是基于勒索軟件的勒索信內(nèi)容給出的名稱,目前針對的目標(biāo)是企業(yè)和政府機(jī)構(gòu),近期開始活躍。Netwalker活動背后的攻擊者使用常見的實(shí)用程序、開發(fā)后工具包和living-off-The-land,LOTL策略來探索一個受到破壞的環(huán)境,并盡可能多地獲取數(shù)據(jù)。這些工具可以包括mimikatz(及其變體)、各種PSTools、AnyDesk、TeamViewer、NLBrute等。勒索軟件利用PowerShell編寫,直接在內(nèi)存中執(zhí)行,沒有將實(shí)際的勒索軟件二進(jìn)制文件存儲到磁盤中。惡意軟件利用了反射動態(tài)鏈接庫(DLL)注入的技術(shù),也稱reflective DLL加載,可以從內(nèi)存注入DLL,不需要實(shí)際DLL文件,也不需要任何Windows加載程序即可注入。這讓此勒索病毒成為了無檔案病毒(fileless malware),能夠保持持續(xù)性,并利用系統(tǒng)內(nèi)的工具來進(jìn)行攻擊而不被偵測到和殺軟查殺。

在加密完成后,進(jìn)程退出前最后會彈出勒索信,勒索提示信息文件[加密后綴]-Readme.txt,加密后的文件后綴名為隨機(jī)字符串。

6、勒索軟件CLOP

Clop勒索軟件于2019年2月出現(xiàn)在公眾視野中,Clop背后團(tuán)隊的主要目標(biāo)是加密企業(yè)的文件,收到贖金后再發(fā)送解密器。目前Clop仍處于快速發(fā)展階段。該惡意軟件暫無有效的解密工具,致受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重。

與其他勒索病毒不同的是,Clop勒索軟件部分情況下攜帶了有效的數(shù)字簽名,數(shù)字簽名濫用和冒用在以往情況下多數(shù)發(fā)生在流氓軟件和竊密類木馬程序中。勒索軟件攜帶有效簽名的情況極為少見,這意味著該軟件在部分?jǐn)r截場景下更容易獲取到安全軟件的信任,進(jìn)而感染成功,造成無法逆轉(zhuǎn)的損失。

Clop勒索軟件通過多種途徑感染受害者的計算機(jī)設(shè)備。主感染文件會利用隨機(jī)腳本提取惡意可執(zhí)行文件,惡意Java腳本被設(shè)置為通過誘使受害者訪問或被重定向至惡意站點(diǎn)將惡意可執(zhí)行文件下載并安裝至受害者計算機(jī)上。另一種分發(fā)傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼。這些文檔常以垃圾郵件附件的形式發(fā)送給受害者。

此惡意軟件旨在通過附加“.Clop ”擴(kuò)展名來加密受害計算機(jī)上的數(shù)據(jù)并重命名每個文件。例如,“sample.jpg”被重命名為“sample.jpg.Clop”。成功加密后,Clop會生成一個文本文件“ClopReadMe.txt”并在每個現(xiàn)有文件夾中放置一個副本,文本文件包含贖金通知消息。

7、勒索軟件EKANS

EKANS勒索軟件(也稱Snake),于2020年1月首次被發(fā)現(xiàn),是一種新的勒索軟件,專門針對工業(yè)控制系統(tǒng)。EKANS代碼中包含一系列特定用于工業(yè)控制系統(tǒng)功能相關(guān)的命令與過程,可導(dǎo)致與工業(yè)控制操作相關(guān)的諸多流程應(yīng)用程序停滯。EKANS勒索軟件是用Golang編寫的,將整個網(wǎng)絡(luò)作為目標(biāo),并且存在大量混淆。其中,包含了一種常規(guī)混淆,這種混淆在以前并不常見,通常是與目標(biāo)方法結(jié)合使用。

EKANS在執(zhí)行時會刪除計算機(jī)的卷影副本,還會停止與SCADA系統(tǒng)、虛擬機(jī)、工業(yè)控制系統(tǒng)、遠(yuǎn)程管理工具、網(wǎng)絡(luò)管理軟件等相關(guān)的眾多進(jìn)程。然后,EKANS還會加密系統(tǒng)上的文件,從而跳過Windows系統(tǒng)文件和文件夾。在文件擴(kuò)展名后面還會附加一個勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)。該惡意軟件在每個加密文件后附加了“EKANS”文件標(biāo)記。加密過程完成后,勒索軟件將在C:\Users\Public\Desktop文件夾中創(chuàng)建一個勒索記錄(名為“Fix Your Files.txt”),其中包含要聯(lián)系以接收付款指示的電子郵件地址。EKANS目前的主要感染媒介似乎是釣魚附件。

8、勒索軟件Nefilim

Nefilim出現(xiàn)于2020年3月,可能是通過公開的RDP(遠(yuǎn)程桌面服務(wù))進(jìn)行分發(fā)。Nefilim與Nemty共享許多相同的代碼,主要的不同之處在于,Nefilim移除了勒索軟件即服務(wù)(RaaS)的組件,依靠電子郵件進(jìn)行支付,而不是Tor支付網(wǎng)站。Nefilim使用AES-128加密文件,每個加密的文件都將附加.NEFILIM擴(kuò)展名,加密完成后,調(diào)用cmd命令進(jìn)行自我刪除。釋放的勒索信中包含不同的聯(lián)系電子郵件,并且威脅如果在7天內(nèi)未支付贖金,將會泄漏數(shù)據(jù)。

從技術(shù)上講,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務(wù)。一旦攻擊者通過RDP進(jìn)入了網(wǎng)絡(luò),他們就會繼續(xù)建立持久化,在可能的情況下查找和竊取其他憑證,然后將勒索軟件的payload傳播給潛在目標(biāo)。

9、勒索軟件Ragnar Locker

RagnarLocker勒索軟件在2019年12月底首次出現(xiàn),是一種新的勒索軟件,將惡意軟件部署為虛擬機(jī)(VM),以逃避傳統(tǒng)防御。勒索軟件的代碼較小,在刪除其自定義加殼程序后僅有48KB,并且使用高級編程語言(C/C++)進(jìn)行編碼。

RagnarLocke是使用GPO任務(wù)執(zhí)行Microsoft Installer(msiexec.exe),傳遞參數(shù)從遠(yuǎn)程Web服務(wù)器下載并以靜默方式安裝制作的122 MB未經(jīng)簽名的MSI軟件包。MSI軟件包包含一個Oracle VirtualBox虛擬機(jī)管理程序和一個名為micro.vdi的虛擬磁盤映像文件(VDI),該文件是Windows XP SP3操作系統(tǒng)的精簡版本映像。由于vrun.exe勒索軟件應(yīng)用程序在虛擬客戶機(jī)內(nèi)部運(yùn)行,因此其過程和行為可以不受阻礙地運(yùn)行,物理主機(jī)上的安全軟件是無能為力的。

RagnarLocker在選擇受害者時是很有選擇性的。目標(biāo)往往是公司,而不是個人用戶。該惡意軟件的目標(biāo)是對可以加密的所有文件進(jìn)行加密,并提出勒索,要求用戶支付贖金以進(jìn)行解密。

10、勒索軟件PonyFinal

一種新型的人工勒索軟件“PonyFinal”,通過手動啟動有效載荷來部署攻擊。它對目標(biāo)公司的系統(tǒng)管理服務(wù)器使用“暴力手段”,無需依靠誘騙用戶通過網(wǎng)絡(luò)釣魚鏈接或電子郵件來啟動有效負(fù)載。主要針對在COVID-19危機(jī)中的醫(yī)療衛(wèi)生機(jī)構(gòu)。

PonyFinal的入侵點(diǎn)通常是公司系統(tǒng)管理服務(wù)器上的一個賬戶,PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來攻擊該帳戶。一旦黑客進(jìn)入內(nèi)部系統(tǒng)后,他們會部署Visual Basic腳本,該腳本會運(yùn)行PowerShell反向外殼程序以轉(zhuǎn)儲和竊取本地數(shù)據(jù)。

此外,PonyFinal勒索軟件還會部署遠(yuǎn)程操縱器系統(tǒng)以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標(biāo)網(wǎng)絡(luò),他們便會傳播到其他本地系統(tǒng)并部署實(shí)際的PonyFinal勒索軟件。PonyFinal是用Java語言編寫的,攻擊者還會將目標(biāo)鎖定在安裝了Java Runtime Environment(JRE)的工作站上。攻擊者使用從系統(tǒng)管理服務(wù)器竊取的信息來鎖定已安裝JRE的端點(diǎn)。勒索軟件是通過包含兩個批處理文件的MSI文件交付的,其中包括將由攻擊者激活的有效負(fù)載。通常會在每個加密文件的末尾會被添加一個“.enc”文件擴(kuò)展名。而贖金記錄通常名為README_files.txt,會包含贖金付款說明的簡單文本文件。



2020上半年典型勒索軟件一覽表

序號

勒索軟件

名稱

首次發(fā)現(xiàn)

時間

所屬家族

編寫語言

攻擊方式

攻擊目標(biāo)

幕后運(yùn)營者

攻擊事件

備注

1

MAZE

2019年5月29日

ChaCha

極其復(fù)雜的代碼,反逆向

利用漏洞、網(wǎng)絡(luò)釣魚、RDP

技術(shù)提供商和公共服務(wù)(政府機(jī)構(gòu)、教育、衛(wèi)生)

屬于俄羅斯聯(lián)邦的所有C2域

4月1日,石油公司 Berkine 遭受勒索攻擊

數(shù)據(jù)泄露

2

Ryuk

2018年8月

Hermes

未知

通過垃圾郵件傳播Emotet銀行木馬

大型工控企業(yè)、組織、機(jī)構(gòu)等

俄羅斯黑客團(tuán)伙GrimSpider

3月鋼鐵制造商EVRAZ遭受勒索攻擊

導(dǎo)致大多數(shù)工廠都已停止生產(chǎn)

3

Sodinokibi/REvil

2019年5月24日

GandCrab

未知

通過 RDP爆破進(jìn)行傳播、社會工程

MSP和其他組織(例如地方政府)

未知

巴西電力公司Light S.A.遭受勒索攻擊

Salsa20流密碼加密;索要1400萬美元贖金

4

DoppelPaymer

2019 年 6 月

BitPaymer

未知

RDP、惡意附件、漏洞利用等

大型企業(yè)、組織

朝鮮

3月美國精密零件制造商Visser遭此勒索攻擊

數(shù)據(jù)泄露

5

NetWalker

2019年8月

NEMTY

PowerShell

無文件勒索軟件

醫(yī)療和教育機(jī)構(gòu)

未知

6月,美國醫(yī)療系統(tǒng)Crozer-Keystone最近遭受勒索攻擊

因未支付比特幣贖金,其數(shù)據(jù)在暗網(wǎng)上被拍賣

6

CLOP

2019年2月

CryptoMix

未知

以垃圾郵件附件的形式

大型企業(yè)

未知

3月美國生物制藥公司ExecuPharm遭受勒索攻擊

數(shù)據(jù)泄露

7

EKANS/SNAKE

2020年1月

未知

Golang

利用釣魚附件

針對工業(yè)控制系統(tǒng)環(huán)境

未知

6月本田汽車Honda遭受勒索攻擊

造成部分工廠停工,損失十分嚴(yán)重

8

Nefilim

2020年3月

未知

未知

利用RDP服務(wù)

企業(yè)、組織等

未知

5月臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)遭受勒索攻擊

導(dǎo)致服務(wù)中斷,其IT和計算機(jī)系統(tǒng)關(guān)閉

9

RagnarLocker

2019年12月

未知

C/C++

惡意軟件部署為虛擬機(jī)(VM)

針對托管服務(wù)提供商的常用軟件

未知

4月葡萄牙跨國能源公司EDP遭受攻擊

索要1580的比特幣贖金(折合約1090萬美元)

10

PonyFinal

2020年4月

未知

Java

人為操縱,使用暴力攻擊

醫(yī)療衛(wèi)生、教育

未知

4月美國最大ATM 供應(yīng)商 Diebold Nixdorf遭受勒索攻擊

未支付贖金

 

思考及建議

2020年,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險的網(wǎng)絡(luò)安全威脅。針對性、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征。勒索軟件不僅數(shù)量增幅快,而且危害日益嚴(yán)重,特別是針對關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛。被勒索機(jī)構(gòu)既有巨額經(jīng)濟(jì)損失,又有數(shù)據(jù)無法恢復(fù)甚至被惡意泄露的風(fēng)險,雙重勒索的陰影揮之不去。勒索攻擊的危害遠(yuǎn)不止贖金造成的經(jīng)濟(jì)損失,更嚴(yán)重的是會給企業(yè)和組織機(jī)構(gòu)帶來額外的復(fù)雜性,造成數(shù)據(jù)損毀或遺失、生產(chǎn)力破壞、正常業(yè)務(wù)中斷、企業(yè)聲譽(yù)損害等多方面的損失。比如3月初,美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊,攻擊者入侵了Visser的電腦對其文件進(jìn)行加密,并要求Visser在3月底支付贖金,否則將把機(jī)密文件內(nèi)容公開到網(wǎng)絡(luò)上。由于沒有收到勒索款項,DoppelPaymer在網(wǎng)上公開了關(guān)于SpaceX、Lockheed-Martin、特斯拉、波音等公司的機(jī)密信息,被泄露的資訊包括Lockheed-Martin設(shè)計的軍事裝備的細(xì)節(jié),比如反迫擊炮防御系統(tǒng)中的天線規(guī)格、賬單和付款表格、供應(yīng)商資訊、數(shù)據(jù)分析報告以及法律文書等。此外,Visser與特斯拉 SpaceX之間的保密協(xié)議也在泄露文件中。

毫無疑問,勒索軟件攻擊在今后很長一段時間內(nèi)仍然是政府、企業(yè)、個人共同面對的主要安全威脅。勒索軟件的攻擊方式隨著新技術(shù)的應(yīng)用發(fā)展不斷變化,有針對性的勒索軟件事件給不同行業(yè)和地區(qū)的企業(yè)帶來了破壞性攻擊威脅,勒索攻擊產(chǎn)業(yè)化、場景多樣化、平臺多元化的特征會更加突出。在工業(yè)企業(yè)場景中,勒索軟件慣用的攻擊向量主要是弱口令、被盜憑據(jù)、RDP服務(wù)、USB設(shè)備、釣魚郵件等,有效防范勒索軟件攻擊,仍需要針對性做好基礎(chǔ)防御工作,構(gòu)建和擴(kuò)張深度防御,從而保障企業(yè)數(shù)據(jù)安全,促進(jìn)業(yè)務(wù)良性發(fā)展。

1、強(qiáng)化端點(diǎn)防護(hù)

及時加固終端、服務(wù)器,所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜口令策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補(bǔ)?。环?wù)器開啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ)。

2、關(guān)閉不需要的端口和服務(wù)

嚴(yán)格控制端口管理,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口(RDP服務(wù)的3389端口),同時使用適用的防惡意代碼軟件進(jìn)行安全防護(hù)。

3、采用多因素認(rèn)證

利用被盜的員工憑據(jù)來進(jìn)入網(wǎng)絡(luò)并分發(fā)勒索軟件是一種常見的攻擊方式。這些憑據(jù)通常是通過網(wǎng)絡(luò)釣魚收集的,或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性,務(wù)必在所有技術(shù)解決方案中采用多因素身份驗證(MFA)。

4、全面強(qiáng)化資產(chǎn)細(xì)粒度訪問

增強(qiáng)資產(chǎn)可見性,細(xì)化資產(chǎn)訪問控制。員工、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域,采取必要的微隔離。落實(shí)好最小權(quán)限原則。

5、深入掌控威脅態(tài)勢

持續(xù)加強(qiáng)威脅監(jiān)測和檢測能力,依托資產(chǎn)可見能力、威脅情報共享和態(tài)勢感知能力,形成有效的威脅早發(fā)現(xiàn)、早隔離、早處置的機(jī)制。

6、制定業(yè)務(wù)連續(xù)性計劃

強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份,對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時備份,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案。同時,做好備份系統(tǒng)與主系統(tǒng)的安全隔離,避免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)解決方案應(yīng)成為在發(fā)生攻擊時維持運(yùn)營的策略的一部分。

7、加強(qiáng)安全意識培訓(xùn)和教育

員工安全意識淡漠,是一個重要問題。必須經(jīng)常提供網(wǎng)絡(luò)安全培訓(xùn),以確保員工可以發(fā)現(xiàn)并避免潛在的網(wǎng)絡(luò)釣魚電子郵件,這是勒索軟件的主要入口之一。將該培訓(xùn)與網(wǎng)絡(luò)釣魚演練結(jié)合使用,以掌握員工的脆弱點(diǎn)。確定最脆弱的員工,并為他們提供更多的支持或安全措施,以降低風(fēng)險。

8、定期檢查

每三到六個月對網(wǎng)絡(luò)衛(wèi)生習(xí)慣、威脅狀況、業(yè)務(wù)連續(xù)性計劃以及關(guān)鍵資產(chǎn)訪問日志進(jìn)行一次審核。通過這些措施不斷改善安全計劃。及時了解風(fēng)險,主動防御勒索軟件攻擊并減輕其影響。

此外,無論是企業(yè)還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風(fēng)險。

消息來源:北京天地和興科技有限公司
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection