勒索軟件近年來(lái)一直是黑客組織牟取暴利的絕佳手段,也是發(fā)展最快的網(wǎng)絡(luò)安全威脅之一���。之前Wannacry����、NotPeya全球肆掠����、攻城掠地的景象,尚未完全消除����。如今勒索軟件攻擊目標(biāo)多元化、攻擊手段復(fù)雜化���、解密數(shù)據(jù)難度大��、危害影響難估量等��,被稱為安全業(yè)界最頭疼的軟件�,也成為政府����、企業(yè)、個(gè)人最為關(guān)注的安全風(fēng)險(xiǎn)之一��,它幾乎成為與APT齊名的攻擊類型�。破財(cái)消災(zāi),幾乎成了多數(shù)被勒索者不得已而為之的選擇���。根據(jù)COVEWARE公司的報(bào)告��,2020年一季度�,企業(yè)平均贖金支付增加至111,605美元��,比2019年第四季度增長(zhǎng)了33%。目前勒索軟件主要的攻擊傳播方式仍然以RDP(遠(yuǎn)程桌面服務(wù))和釣魚(yú)郵件為主��。因?yàn)槠渥儸F(xiàn)方式更為粗暴直接���,正被越來(lái)越多的網(wǎng)絡(luò)“灰黑”產(chǎn)采用����。品嘗過(guò)“勒索”帶來(lái)的巨大且輕而易舉的利益后��,勒索軟件的演變與發(fā)展更加迅猛異常�。
天地和興總結(jié)梳理的上半年工業(yè)企業(yè)10起典型攻擊事件中,有7起是勒索攻擊���。2月����,勒索攻擊殃及美國(guó)天然氣管道公司�,CISA未透露勒索軟件名稱。勒索軟件Nefilim攻擊澳大利亞Toll集團(tuán);3月��,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機(jī)構(gòu)��,包括加拿大和美國(guó)的鋼鐵生產(chǎn)廠;4月���,Ragnar
Locker勒索軟件襲擊了葡萄牙跨國(guó)能源公司EDP(Energias de
Portugal)�,并且索要1580個(gè)比特幣贖金(折合約1090萬(wàn)美元/990萬(wàn)歐元);5月,勒索軟件Nefilim襲擊了臺(tái)灣石油����、汽油和天然氣公司CPC公司及其競(jìng)爭(zhēng)對(duì)手臺(tái)塑石化公司(FPCC)�。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機(jī)車制造商Stadler;6月,勒索軟件EKANS/Snake攻擊了本田汽車制造商��。
天地和興工業(yè)網(wǎng)絡(luò)安全研究院對(duì)所監(jiān)測(cè)到的眾多勒索軟件攻擊事件進(jìn)行梳理�����,注意到勒索攻擊的目標(biāo)正向石油���、天燃?xì)�、能源�、制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)展。本文篩選10個(gè)典型的���、比較活躍的勒索軟件���,通過(guò)簡(jiǎn)要分析其攻擊的目標(biāo)�、路徑����、手段及主要特征,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施利益相關(guān)方�,警鐘常鳴,防患未然�。
典型勒索軟件
1、勒索軟件Maze
Maze勒索軟件是ChaCha的一個(gè)變種��,最早出現(xiàn)于2019年5月���。最初���,Maze是使用如Fallout EK和Spelevo
EK之類的漏洞利用工具包通過(guò)網(wǎng)站進(jìn)行傳播,該工具包利用Flash Player漏洞����。后續(xù)Maze勒索軟件增加了利用Windows VBScript
Engine遠(yuǎn)程代碼執(zhí)行漏洞等能力。
Maze(迷宮)通過(guò)大量混淆代碼來(lái)對(duì)抗靜態(tài)分析����,使用ChaCha20和RSA兩種算法加密文件,被加密的文檔在未得到密鑰時(shí)暫無(wú)法解密��。加密完成后對(duì)文件添加隨機(jī)擴(kuò)展后綴,并留下名為DECRYPT-FILES.html的勒索說(shuō)明文檔����,并修改桌面壁紙。值得一提的是�����,該病毒聲稱���,解密贖金額度取決于被感染電腦的重要程度,包括個(gè)人電腦��、辦公電腦�、服務(wù)器,這意味著高價(jià)值目標(biāo)受攻擊后解密付出的代價(jià)也會(huì)相應(yīng)的更高�。
2、勒索軟件Ryuk
Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn)���,它是由俄羅斯黑客團(tuán)伙GrimSpider幕后操作運(yùn)營(yíng)�。GrimSpider是一個(gè)網(wǎng)絡(luò)犯罪集團(tuán)�����,使用Ryuk勒索軟件對(duì)大型企業(yè)及組織進(jìn)行針對(duì)性攻擊。Ryuk勒索軟件主要是通過(guò)網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進(jìn)行傳播�,因?yàn)門rickBot銀行木馬傳播渠道的運(yùn)營(yíng)者是俄羅斯黑客團(tuán)伙WIZARD
SPIDER,GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD
SPIDER的部門之一���。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù)�����,同時(shí)充當(dāng)下載器功能��,提供下載其它勒索病毒服務(wù)�����。這款勒索病在國(guó)外比較流行�,主要針對(duì)一些大型企業(yè)進(jìn)行定向攻擊勒索����。Ryuk特別狡詐的一個(gè)功能是可以禁用被感染電腦上的Windows系統(tǒng)還原Windows
System Restore選項(xiàng),令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)����。鑒于攻擊者針對(duì)的是高價(jià)值受害者,贖金目標(biāo)也轉(zhuǎn)為大型企業(yè)��。
安全分析師認(rèn)為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團(tuán)伙的Hermes惡意軟件����。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的,邁克菲認(rèn)為其代碼基礎(chǔ)由俄語(yǔ)區(qū)供應(yīng)商提供�,因?yàn)樵摾账鬈浖粫?huì)在系統(tǒng)語(yǔ)言設(shè)置為俄語(yǔ)、白俄羅斯語(yǔ)和烏克蘭語(yǔ)的計(jì)算機(jī)上執(zhí)行��。
3����、勒索軟件Sodinokibi/ REvil
Sodinokibi勒索病毒(也稱REvil)�,2019年5月24日首次在意大利被發(fā)現(xiàn)。在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染�����,這款病毒被稱為GandCrab勒索病毒的接班人���,在短短幾個(gè)月的時(shí)間內(nèi)����,已經(jīng)在全球大范圍傳播��,這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián),Sodinokibi勒索病毒是一種勒索即服務(wù)(RAAS)的模式進(jìn)行分發(fā)和營(yíng)銷的�����,并采用了一些免殺技術(shù)避免安全軟件檢測(cè)�����。主要通過(guò)Oracle
WebLogic漏洞����、Flash
UAF漏洞、網(wǎng)絡(luò)釣魚(yú)郵件��、RDP端口����、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊,這款勒索病毒最新的版本為2.2�,增加了自啟動(dòng)注冊(cè)表項(xiàng)等,同時(shí)還發(fā)現(xiàn)一批最新的采用PowerShell腳本進(jìn)行無(wú)文件攻擊的變種樣本����。
該勒索軟件最特別的一點(diǎn)就是,不僅告訴人們“不付贖金就拿不回?cái)?shù)據(jù)”,還會(huì)威脅稱“將在網(wǎng)上公開(kāi)或在地下論壇競(jìng)拍這些機(jī)密數(shù)據(jù)”����。這種新的勒索方式將此商業(yè)模式推升到了新的高度。高針對(duì)性�、強(qiáng)定制化的勒索軟件新時(shí)代似乎正走向危險(xiǎn)新深淵。
4����、勒索軟件DoppelPaymer
DoppelPaymer代表了勒索軟件攻擊的新趨勢(shì)—勒索文件加密和數(shù)據(jù)竊取雙管齊下。根據(jù)安全研究人員的說(shuō)法��,此類惡意軟件首先會(huì)竊取數(shù)據(jù)���,然后向受害者發(fā)送贖金勒索消息���,而不是像傳統(tǒng)勒索軟件一樣就地加密鎖死數(shù)據(jù)�����。2019年中期以來(lái)一直活躍��,今年3月美國(guó)精密零件制造商Visser遭此勒索軟件攻擊�,意外泄漏特斯拉、波音、SpaceX等公司有關(guān)的敏感文件�����。DoppelPaymer
勒索軟件最早于2019年6月被發(fā)現(xiàn)�����,主要通過(guò)RDP暴力破解和垃圾郵件進(jìn)行傳播����,郵件附件中帶有一個(gè)自解壓文件,運(yùn)行后釋放勒索軟件程序并執(zhí)行�。公開(kāi)資料顯示,DoppelPaymer是BitPaymer
勒索軟件的一類新變種�����。DoppelPaymer至少有8種變體�����,它們逐漸擴(kuò)展各自的特征集�����。
自解壓文件運(yùn)行后在%Users%目錄下創(chuàng)建gratemin文件夾,釋放名為p1q135no.
exe的勒索軟件程序并執(zhí)行��,加密文件后�����,在原文件名后追加名為“.locked”的后綴�����,并在每個(gè)被加密文件的目錄中創(chuàng)建名為原文件名后追加“.readme2unlock.txt”格式的勒索信����,勒索信中包含勒索說(shuō)明、TOR下載地址�����、支付地址�����、DATA
數(shù)據(jù)信息和郵箱聯(lián)系方式等�。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件�,利用多線程快速加密文件,使用命令A(yù)RP–A以解析受害系統(tǒng)的地址解析協(xié)議(ARP)表,具體操作為刪除卷影副本��、禁用修復(fù)�����、刪除本地計(jì)算機(jī)的備份目錄等����。目前被加密的文件在未得到密鑰前暫時(shí)無(wú)法解密。
5�、勒索軟件NetWalker
NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發(fā)現(xiàn),Mailto是基于加密文件名格式的勒索軟件的名稱��,Netwalker是基于勒索軟件的勒索信內(nèi)容給出的名稱��,目前針對(duì)的目標(biāo)是企業(yè)和政府機(jī)構(gòu)��,近期開(kāi)始活躍����。Netwalker活動(dòng)背后的攻擊者使用常見(jiàn)的實(shí)用程序、開(kāi)發(fā)后工具包和living-off-The-land�����,LOTL策略來(lái)探索一個(gè)受到破壞的環(huán)境,并盡可能多地獲取數(shù)據(jù)����。這些工具可以包括mimikatz(及其變體)、各種PSTools����、AnyDesk、TeamViewer����、NLBrute等。勒索軟件利用PowerShell編寫���,直接在內(nèi)存中執(zhí)行����,沒(méi)有將實(shí)際的勒索軟件二進(jìn)制文件存儲(chǔ)到磁盤中���。惡意軟件利用了反射動(dòng)態(tài)鏈接庫(kù)(DLL)注入的技術(shù)�����,也稱reflective
DLL加載�����,可以從內(nèi)存注入DLL��,不需要實(shí)際DLL文件�����,也不需要任何Windows加載程序即可注入���。這讓此勒索病毒成為了無(wú)檔案病毒(fileless
malware),能夠保持持續(xù)性��,并利用系統(tǒng)內(nèi)的工具來(lái)進(jìn)行攻擊而不被偵測(cè)到和殺軟查殺�����。
在加密完成后�,進(jìn)程退出前最后會(huì)彈出勒索信,勒索提示信息文件[加密后綴]-Readme.txt�����,加密后的文件后綴名為隨機(jī)字符串���。
6�����、勒索軟件CLOP
Clop勒索軟件于2019年2月出現(xiàn)在公眾視野中��,Clop背后團(tuán)隊(duì)的主要目標(biāo)是加密企業(yè)的文件�,收到贖金后再發(fā)送解密器。目前Clop仍處于快速發(fā)展階段��。該惡意軟件暫無(wú)有效的解密工具����,致受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重。
與其他勒索病毒不同的是����,Clop勒索軟件部分情況下攜帶了有效的數(shù)字簽名,數(shù)字簽名濫用和冒用在以往情況下多數(shù)發(fā)生在流氓軟件和竊密類木馬程序中��。勒索軟件攜帶有效簽名的情況極為少見(jiàn)���,這意味著該軟件在部分?jǐn)r截場(chǎng)景下更容易獲取到安全軟件的信任���,進(jìn)而感染成功���,造成無(wú)法逆轉(zhuǎn)的損失。
Clop勒索軟件通過(guò)多種途徑感染受害者的計(jì)算機(jī)設(shè)備���。主感染文件會(huì)利用隨機(jī)腳本提取惡意可執(zhí)行文件,惡意Java腳本被設(shè)置為通過(guò)誘使受害者訪問(wèn)或被重定向至惡意站點(diǎn)將惡意可執(zhí)行文件下載并安裝至受害者計(jì)算機(jī)上����。另一種分發(fā)傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼。這些文檔常以垃圾郵件附件的形式發(fā)送給受害者�����。
此惡意軟件旨在通過(guò)附加“.Clop
”擴(kuò)展名來(lái)加密受害計(jì)算機(jī)上的數(shù)據(jù)并重命名每個(gè)文件���。例如����,“sample.jpg”被重命名為“sample.jpg.Clop”��。成功加密后�����,Clop會(huì)生成一個(gè)文本文件“ClopReadMe.txt”并在每個(gè)現(xiàn)有文件夾中放置一個(gè)副本,文本文件包含贖金通知消息���。
7���、勒索軟件EKANS
EKANS勒索軟件(也稱Snake),于2020年1月首次被發(fā)現(xiàn)�,是一種新的勒索軟件,專門針對(duì)工業(yè)控制系統(tǒng)�。EKANS代碼中包含一系列特定用于工業(yè)控制系統(tǒng)功能相關(guān)的命令與過(guò)程,可導(dǎo)致與工業(yè)控制操作相關(guān)的諸多流程應(yīng)用程序停滯�。EKANS勒索軟件是用Golang編寫的,將整個(gè)網(wǎng)絡(luò)作為目標(biāo)�����,并且存在大量混淆��。其中��,包含了一種常規(guī)混淆�,這種混淆在以前并不常見(jiàn),通常是與目標(biāo)方法結(jié)合使用���。
EKANS在執(zhí)行時(shí)會(huì)刪除計(jì)算機(jī)的卷影副本�����,還會(huì)停止與SCADA系統(tǒng)�、虛擬機(jī)、工業(yè)控制系統(tǒng)���、遠(yuǎn)程管理工具���、網(wǎng)絡(luò)管理軟件等相關(guān)的眾多進(jìn)程�。然后,EKANS還會(huì)加密系統(tǒng)上的文件�,從而跳過(guò)Windows系統(tǒng)文件和文件夾。在文件擴(kuò)展名后面還會(huì)附加一個(gè)勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)����。該惡意軟件在每個(gè)加密文件后附加了“EKANS”文件標(biāo)記。加密過(guò)程完成后���,勒索軟件將在C:\Users\Public\Desktop文件夾中創(chuàng)建一個(gè)勒索記錄(名為“Fix
Your Files.txt”)�����,其中包含要聯(lián)系以接收付款指示的電子郵件地址���。EKANS目前的主要感染媒介似乎是釣魚(yú)附件�。
8����、勒索軟件Nefilim
Nefilim出現(xiàn)于2020年3月,可能是通過(guò)公開(kāi)的RDP(遠(yuǎn)程桌面服務(wù))進(jìn)行分發(fā)���。Nefilim與Nemty共享許多相同的代碼����,主要的不同之處在于����,Nefilim移除了勒索軟件即服務(wù)(RaaS)的組件,依靠電子郵件進(jìn)行支付�����,而不是Tor支付網(wǎng)站�����。Nefilim使用AES-128加密文件,每個(gè)加密的文件都將附加.NEFILIM擴(kuò)展名���,加密完成后�����,調(diào)用cmd命令進(jìn)行自我刪除�。釋放的勒索信中包含不同的聯(lián)系電子郵件�����,并且威脅如果在7天內(nèi)未支付贖金�����,將會(huì)泄漏數(shù)據(jù)����。
從技術(shù)上講�����,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務(wù)��。一旦攻擊者通過(guò)RDP進(jìn)入了網(wǎng)絡(luò),他們就會(huì)繼續(xù)建立持久化�����,在可能的情況下查找和竊取其他憑證���,然后將勒索軟件的payload傳播給潛在目標(biāo)����。
9��、勒索軟件Ragnar Locker
RagnarLocker勒索軟件在2019年12月底首次出現(xiàn)����,是一種新的勒索軟件,將惡意軟件部署為虛擬機(jī)(VM)��,以逃避傳統(tǒng)防御�����。勒索軟件的代碼較小��,在刪除其自定義加殼程序后僅有48KB��,并且使用高級(jí)編程語(yǔ)言(C/C++)進(jìn)行編碼。
RagnarLocke是使用GPO任務(wù)執(zhí)行Microsoft
Installer(msiexec.exe)����,傳遞參數(shù)從遠(yuǎn)程Web服務(wù)器下載并以靜默方式安裝制作的122
MB未經(jīng)簽名的MSI軟件包。MSI軟件包包含一個(gè)Oracle
VirtualBox虛擬機(jī)管理程序和一個(gè)名為micro.vdi的虛擬磁盤映像文件(VDI)�����,該文件是Windows XP
SP3操作系統(tǒng)的精簡(jiǎn)版本映像����。由于vrun.exe勒索軟件應(yīng)用程序在虛擬客戶機(jī)內(nèi)部運(yùn)行,因此其過(guò)程和行為可以不受阻礙地運(yùn)行�,物理主機(jī)上的安全軟件是無(wú)能為力的。
RagnarLocker在選擇受害者時(shí)是很有選擇性的��。目標(biāo)往往是公司��,而不是個(gè)人用戶�����。該惡意軟件的目標(biāo)是對(duì)可以加密的所有文件進(jìn)行加密�,并提出勒索��,要求用戶支付贖金以進(jìn)行解密。
10�����、勒索軟件PonyFinal
一種新型的人工勒索軟件“PonyFinal”���,通過(guò)手動(dòng)啟動(dòng)有效載荷來(lái)部署攻擊�����。它對(duì)目標(biāo)公司的系統(tǒng)管理服務(wù)器使用“暴力手段”��,無(wú)需依靠誘騙用戶通過(guò)網(wǎng)絡(luò)釣魚(yú)鏈接或電子郵件來(lái)啟動(dòng)有效負(fù)載���。主要針對(duì)在COVID-19危機(jī)中的醫(yī)療衛(wèi)生機(jī)構(gòu)。
PonyFinal的入侵點(diǎn)通常是公司系統(tǒng)管理服務(wù)器上的一個(gè)賬戶���,PonyFinal的黑客們使用猜測(cè)弱密碼的暴力攻擊來(lái)攻擊該帳戶�。一旦黑客進(jìn)入內(nèi)部系統(tǒng)后��,他們會(huì)部署Visual
Basic腳本�����,該腳本會(huì)運(yùn)行PowerShell反向外殼程序以轉(zhuǎn)儲(chǔ)和竊取本地?cái)?shù)據(jù)。
此外�,PonyFinal勒索軟件還會(huì)部署遠(yuǎn)程操縱器系統(tǒng)以繞過(guò)事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標(biāo)網(wǎng)絡(luò)�,他們便會(huì)傳播到其他本地系統(tǒng)并部署實(shí)際的PonyFinal勒索軟件。PonyFinal是用Java語(yǔ)言編寫的��,攻擊者還會(huì)將目標(biāo)鎖定在安裝了Java
Runtime
Environment(JRE)的工作站上��。攻擊者使用從系統(tǒng)管理服務(wù)器竊取的信息來(lái)鎖定已安裝JRE的端點(diǎn)�����。勒索軟件是通過(guò)包含兩個(gè)批處理文件的MSI文件交付的��,其中包括將由攻擊者激活的有效負(fù)載����。通常會(huì)在每個(gè)加密文件的末尾會(huì)被添加一個(gè)“.enc”文件擴(kuò)展名。而贖金記錄通常名為README_files.txt�,會(huì)包含贖金付款說(shuō)明的簡(jiǎn)單文本文件。
2020上半年典型勒索軟件一覽表
序號(hào)勒索軟件
名稱首次發(fā)現(xiàn)
時(shí)間所屬家族編寫語(yǔ)言攻擊方式攻擊目標(biāo)幕后運(yùn)營(yíng)者攻擊事件備注
1MAZE2019年5月29日ChaCha極其復(fù)雜的代碼��,反逆向利用漏洞���、網(wǎng)絡(luò)釣魚(yú)��、RDP技術(shù)提供商和公共服務(wù)(政府機(jī)構(gòu)�����、教育����、衛(wèi)生)屬于俄羅斯聯(lián)邦的所有C2域4月1日��,石油公司
Berkine 遭受勒索攻擊數(shù)據(jù)泄露
2Ryuk2018年8月Hermes未知通過(guò)垃圾郵件傳播Emotet銀行木馬大型工控企業(yè)�����、組織��、機(jī)構(gòu)等俄羅斯黑客團(tuán)伙GrimSpider3月鋼鐵制造商EVRAZ遭受勒索攻擊導(dǎo)致大多數(shù)工廠都已停止生產(chǎn)
3Sodinokibi/REvil2019年5月24日GandCrab未知通過(guò)
RDP爆破進(jìn)行傳播��、社會(huì)工程MSP和其他組織(例如地方政府)未知巴西電力公司Light
S.A.遭受勒索攻擊Salsa20流密碼加密;索要1400萬(wàn)美元贖金
4DoppelPaymer2019 年 6
月BitPaymer未知RDP�、惡意附件、漏洞利用等大型企業(yè)���、組織朝鮮3月美國(guó)精密零件制造商Visser遭此勒索攻擊數(shù)據(jù)泄露
5NetWalker2019年8月NEMTYPowerShell無(wú)文件勒索軟件醫(yī)療和教育機(jī)構(gòu)未知6月���,美國(guó)醫(yī)療系統(tǒng)Crozer-Keystone最近遭受勒索攻擊因未支付比特幣贖金���,其數(shù)據(jù)在暗網(wǎng)上被拍賣
6CLOP2019年2月CryptoMix未知以垃圾郵件附件的形式大型企業(yè)未知3月美國(guó)生物制藥公司ExecuPharm遭受勒索攻擊數(shù)據(jù)泄露
7EKANS/SNAKE2020年1月未知Golang利用釣魚(yú)附件針對(duì)工業(yè)控制系統(tǒng)環(huán)境未知6月本田汽車Honda遭受勒索攻擊造成部分工廠停工,損失十分嚴(yán)重
8Nefilim2020年3月未知未知利用RDP服務(wù)企業(yè)�、組織等未知5月臺(tái)灣石油、汽油和天然氣公司CPC公司及其競(jìng)爭(zhēng)對(duì)手臺(tái)塑石化公司(FPCC)遭受勒索攻擊導(dǎo)致服務(wù)中斷���,其IT和計(jì)算機(jī)系統(tǒng)關(guān)閉
9RagnarLocker2019年12月未知C/C++惡意軟件部署為虛擬機(jī)(VM)針對(duì)托管服務(wù)提供商的常用軟件未知4月葡萄牙跨國(guó)能源公司EDP遭受攻擊索要1580的比特幣贖金(折合約1090萬(wàn)美元)
10PonyFinal2020年4月未知Java人為操縱�����,使用暴力攻擊醫(yī)療衛(wèi)生�����、教育未知4月美國(guó)最大ATM 供應(yīng)商 Diebold
Nixdorf遭受勒索攻擊未支付贖金
思考及建議
2020年���,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險(xiǎn)的網(wǎng)絡(luò)安全威脅。針對(duì)性�����、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征�����。勒索軟件不僅數(shù)量增幅快,而且危害日益嚴(yán)重���,特別是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛���。被勒索機(jī)構(gòu)既有巨額經(jīng)濟(jì)損失�,又有數(shù)據(jù)無(wú)法恢復(fù)甚至被惡意泄露的風(fēng)險(xiǎn)�����,雙重勒索的陰影揮之不去�����。勒索攻擊的危害遠(yuǎn)不止贖金造成的經(jīng)濟(jì)損失��,更嚴(yán)重的是會(huì)給企業(yè)和組織機(jī)構(gòu)帶來(lái)額外的復(fù)雜性�����,造成數(shù)據(jù)損毀或遺失����、生產(chǎn)力破壞��、正常業(yè)務(wù)中斷��、企業(yè)聲譽(yù)損害等多方面的損失����。比如3月初�,美國(guó)精密零件制造商Visser
Precision遭受勒索軟件DoppelPayment攻擊,攻擊者入侵了Visser的電腦對(duì)其文件進(jìn)行加密��,并要求Visser在3月底支付贖金�,否則將把機(jī)密文件內(nèi)容公開(kāi)到網(wǎng)絡(luò)上。由于沒(méi)有收到勒索款項(xiàng)�,DoppelPaymer在網(wǎng)上公開(kāi)了關(guān)于SpaceX、Lockheed-Martin���、特斯拉���、波音等公司的機(jī)密信息,被泄露的資訊包括Lockheed-Martin設(shè)計(jì)的軍事裝備的細(xì)節(jié)��,比如反迫擊炮防御系統(tǒng)中的天線規(guī)格����、賬單和付款表格�、供應(yīng)商資訊���、數(shù)據(jù)分析報(bào)告以及法律文書(shū)等��。此外,Visser與特斯拉
SpaceX之間的保密協(xié)議也在泄露文件中�����。
毫無(wú)疑問(wèn)���,勒索軟件攻擊在今后很長(zhǎng)一段時(shí)間內(nèi)仍然是政府�����、企業(yè)��、個(gè)人共同面對(duì)的主要安全威脅��。勒索軟件的攻擊方式隨著新技術(shù)的應(yīng)用發(fā)展不斷變化���,有針對(duì)性的勒索軟件事件給不同行業(yè)和地區(qū)的企業(yè)帶來(lái)了破壞性攻擊威脅�����,勒索攻擊產(chǎn)業(yè)化�����、場(chǎng)景多樣化��、平臺(tái)多元化的特征會(huì)更加突出�����。在工業(yè)企業(yè)場(chǎng)景中���,勒索軟件慣用的攻擊向量主要是弱口令、被盜憑據(jù)�、RDP服務(wù)、USB設(shè)備�����、釣魚(yú)郵件等��,有效防范勒索軟件攻擊�����,仍需要針對(duì)性做好基礎(chǔ)防御工作,構(gòu)建和擴(kuò)張深度防御�����,從而保障企業(yè)數(shù)據(jù)安全���,促進(jìn)業(yè)務(wù)良性發(fā)展���。
1���、強(qiáng)化端點(diǎn)防護(hù)
及時(shí)加固終端���、服務(wù)器,所有服務(wù)器����、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜口令策略,杜絕弱口令;安裝殺毒軟件���、終端安全管理軟件并及時(shí)更新病毒庫(kù);及時(shí)安裝漏洞補(bǔ)丁;服務(wù)器開(kāi)啟關(guān)鍵日志收集功能�,為安全事件的追溯提供基礎(chǔ)。
2���、關(guān)閉不需要的端口和服務(wù)
嚴(yán)格控制端口管理��,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口(RDP服務(wù)的3389端口)���,同時(shí)使用適用的防惡意代碼軟件進(jìn)行安全防護(hù)。
3��、采用多因素認(rèn)證
利用被盜的員工憑據(jù)來(lái)進(jìn)入網(wǎng)絡(luò)并分發(fā)勒索軟件是一種常見(jiàn)的攻擊方式�。這些憑據(jù)通常是通過(guò)網(wǎng)絡(luò)釣魚(yú)收集的,或者是從過(guò)去的入侵活動(dòng)中獲取的����。為了減少攻擊的可能性,務(wù)必在所有技術(shù)解決方案中采用多因素身份驗(yàn)證(MFA)�����。
4��、全面強(qiáng)化資產(chǎn)細(xì)粒度訪問(wèn)
增強(qiáng)資產(chǎn)可見(jiàn)性�,細(xì)化資產(chǎn)訪問(wèn)控制。員工����、合作伙伴和客戶均遵循身份和訪問(wèn)管理為中心�����。合理劃分安全域���,采取必要的微隔離。落實(shí)好最小權(quán)限原則�����。
5�、深入掌控威脅態(tài)勢(shì)
持續(xù)加強(qiáng)威脅監(jiān)測(cè)和檢測(cè)能力,依托資產(chǎn)可見(jiàn)能力����、威脅情報(bào)共享和態(tài)勢(shì)感知能力����,形成有效的威脅早發(fā)現(xiàn)、早隔離��、早處置的機(jī)制��。
6、制定業(yè)務(wù)連續(xù)性計(jì)劃
強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份����,對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份,并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案��。同時(shí)���,做好備份系統(tǒng)與主系統(tǒng)的安全隔離���,避免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊,影響業(yè)務(wù)連續(xù)性���。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)解決方案應(yīng)成為在發(fā)生攻擊時(shí)維持運(yùn)營(yíng)的策略的一部分���。
7、加強(qiáng)安全意識(shí)培訓(xùn)和教育
員工安全意識(shí)淡漠��,是一個(gè)重要問(wèn)題��。必須經(jīng)常提供網(wǎng)絡(luò)安全培訓(xùn)���,以確保員工可以發(fā)現(xiàn)并避免潛在的網(wǎng)絡(luò)釣魚(yú)電子郵件�,這是勒索軟件的主要入口之一。將該培訓(xùn)與網(wǎng)絡(luò)釣魚(yú)演練結(jié)合使用�����,以掌握員工的脆弱點(diǎn)�����。確定最脆弱的員工��,并為他們提供更多的支持或安全措施�����,以降低風(fēng)險(xiǎn)��。
8�、定期檢查
每三到六個(gè)月對(duì)網(wǎng)絡(luò)衛(wèi)生習(xí)慣、威脅狀況���、業(yè)務(wù)連續(xù)性計(jì)劃以及關(guān)鍵資產(chǎn)訪問(wèn)日志進(jìn)行一次審核。通過(guò)這些措施不斷改善安全計(jì)劃�。及時(shí)了解風(fēng)險(xiǎn),主動(dòng)防御勒索軟件攻擊并減輕其影響。
此外��,無(wú)論是企業(yè)還是個(gè)人受害者���,都不建議支付贖金��。支付贖金不僅變相鼓勵(lì)了勒索攻擊行為����,而且解密的過(guò)程還可能會(huì)帶來(lái)新的安全風(fēng)險(xiǎn)����。
更多新聞,請(qǐng)關(guān)注
粵公網(wǎng)安備 44010602001889號(hào)