行業(yè)資訊

勒索病毒“野蠻生長(zhǎng)” 火絨構(gòu)建終端矩陣防御模式

2021/4/8 15:58:50 來(lái)源：中國(guó)企業(yè)新聞網(wǎng) 評(píng)論：(0)

導(dǎo)言：從漏洞攻擊到弱口令攻擊，從加密文件到泄露數(shù)據(jù)，從單一擴(kuò)散到成立供應(yīng)商集中擴(kuò)散，在網(wǎng)絡(luò)和數(shù)字世界里，勒索這門(mén)生意通過(guò)不斷的轉(zhuǎn)型升級(jí)，在這幾年中正“野蠻生長(zhǎng)”。

　　從漏洞攻擊到弱口令攻擊，從加密文件到泄露數(shù)據(jù)，從單一擴(kuò)散到成立供應(yīng)商集中擴(kuò)散，在網(wǎng)絡(luò)和數(shù)字世界里，勒索這門(mén)生意通過(guò)不斷的轉(zhuǎn)型升級(jí)，在這幾年中正“野蠻生長(zhǎng)”。

　　3月份，勒索病毒REvil攻擊了計(jì)算機(jī)巨頭宏碁(Acer)并勒索贖金5000萬(wàn)美元，創(chuàng)下勒索贖金數(shù)額之最;而一款名為Sarbloh的新勒索軟件正在通過(guò)惡意Word文檔進(jìn)行傳播，其竟還包含了支持印度農(nóng)民抗議的信息;大洋洲另一邊，荷蘭電子票務(wù)平臺(tái)Ticketcounter190萬(wàn)條用戶(hù)郵件信息被盜，由于勒索未遂，黑客在論壇上公開(kāi)了數(shù)據(jù)庫(kù)…這些，也只是勒索病毒惡行的冰山一角。

　　1989年，黑客還在以人工投遞軟盤(pán)的方式傳播勒索病毒，而隨著數(shù)字貨幣興起，數(shù)年之間，加密+索要比特幣的攻擊方式成為勒索病毒的標(biāo)配，并瘋狂增長(zhǎng)，同時(shí)也導(dǎo)致傳播方式被拓展。

　　2013年勒索病毒進(jìn)入成型期，開(kāi)始大面積以郵件、網(wǎng)頁(yè)掛馬的方式借助互聯(lián)網(wǎng)進(jìn)行定向傳播;而通過(guò)漏洞無(wú)定向的擴(kuò)散，則更是輕易便在全球范圍內(nèi)掀起一場(chǎng)勒索恐慌。2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球150多個(gè)國(guó)家和地區(qū)。直至目前，通過(guò)RDP弱口令暴破等方式實(shí)現(xiàn)病毒精準(zhǔn)投放，也已經(jīng)不是新鮮案例了。

　　更意想不到的是，除了贖金，數(shù)據(jù)泄露勒索也已經(jīng)成為一門(mén)生意。

　　勒索者通過(guò)入侵并控制目標(biāo)用戶(hù)電腦，要求企業(yè)支付一定的金額進(jìn)行數(shù)據(jù)贖回，否則將在指定的時(shí)間公布這些機(jī)密數(shù)據(jù)。勒索運(yùn)營(yíng)者甚至在接受采訪的時(shí)候表示：“進(jìn)入勒索軟件行業(yè)以來(lái)，它帶來(lái)了豐厚的利潤(rùn)�！�

　　無(wú)論是精準(zhǔn)投放病毒，還是數(shù)據(jù)泄漏，顯然，企業(yè)已經(jīng)成為勒索病毒的主要攻擊目標(biāo)。而從火絨統(tǒng)計(jì)數(shù)據(jù)來(lái)看，也可以進(jìn)一步佐證這一結(jié)論。

　　根據(jù)"火絨威脅情報(bào)系統(tǒng)"監(jiān)測(cè)和和評(píng)估，從2018年初到9月中旬，勒索病毒總計(jì)對(duì)超過(guò)200萬(wàn)臺(tái)終端發(fā)起過(guò)攻擊，攻擊次數(shù)高達(dá)1700萬(wàn)余次，勒索病毒主要通過(guò)三種途徑傳播：漏洞、郵件和廣告推廣，其中，通過(guò)漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。(具體數(shù)據(jù)如下圖)

　　時(shí)間來(lái)到2019年，根據(jù)火絨報(bào)告《2019勒索事件回顧：RDP弱口令滲透愈演愈烈》顯示：在過(guò)去的一年里，勒索病毒的攻擊方式從漏洞、郵件、激活工具等大比例轉(zhuǎn)變?yōu)镽DP弱口令滲透。據(jù)“火絨在線支持和響應(yīng)中心”平臺(tái)統(tǒng)計(jì)，在火絨2019年處理的勒索事件中，高達(dá)61%的勒索攻擊選擇使用RDP弱口令滲透進(jìn)行傳播。(具體數(shù)據(jù)如下圖)

　　而在2020年火絨跟進(jìn)響應(yīng)的主要勒索病毒現(xiàn)場(chǎng)中，企業(yè)問(wèn)題高居不下，且企業(yè)終端被黑客入侵植入勒索病毒的情況屢見(jiàn)不鮮。經(jīng)過(guò)火絨分析統(tǒng)計(jì)，有高達(dá)79%的勒索病毒攻擊事件是由黑客入侵引發(fā)，在被黑客入侵的勒索病毒事件中，又有78%的現(xiàn)場(chǎng)為黑客通過(guò)RDP(Remote Desktop Protocol，即遠(yuǎn)程桌面協(xié)議)遠(yuǎn)程登錄的方式植入、執(zhí)行勒索病毒。(具體數(shù)據(jù)如下圖)

　　勒索病毒的傳播途徑和方式日益復(fù)雜，隨著勒索病毒轉(zhuǎn)型升級(jí)的不斷加碼，帶給安全行業(yè)的挑戰(zhàn)也日益增大，傳統(tǒng)的防守方式已經(jīng)不足以完全應(yīng)對(duì)勒索病毒的威脅�；鸾q在自研反病毒引擎基礎(chǔ)上，再構(gòu)建一個(gè)縱深防御體系，多角度、多維度應(yīng)對(duì)勒索病毒不同的攻擊方式，做到“防守反擊”，將威脅拒之終端外，為用戶(hù)帶來(lái)良好安全環(huán)境。

　　對(duì)于郵件、文檔、網(wǎng)頁(yè)等傳播方式，火絨配置了【常規(guī)掃描查殺】、【文件實(shí)時(shí)監(jiān)控】、【惡意行為監(jiān)控】、【勒索誘捕】等基礎(chǔ)查殺功能;對(duì)于漏洞這種大面積無(wú)定向傳播的病毒，則在【系統(tǒng)加固】、【郵件監(jiān)控】之外，推出【網(wǎng)絡(luò)入侵?jǐn)r截】、【橫向滲透防護(hù)】等功能，有效阻止病毒從外部入侵或在內(nèi)部流竄。

　　對(duì)于近幾年常見(jiàn)的RDP弱口令入侵，則及時(shí)推出【暴破攻擊防護(hù)】、【遠(yuǎn)程登錄防護(hù)】、【終端動(dòng)態(tài)認(rèn)證】等功能，通過(guò)可疑動(dòng)作識(shí)別、白名單設(shè)置、以及二次驗(yàn)證等方式，對(duì)企業(yè)用戶(hù)進(jìn)行多重角度的防護(hù)。

　　總的來(lái)說(shuō)，勒索病毒目前呈現(xiàn)出的是：攻擊方式的多樣化、攻擊目標(biāo)的精準(zhǔn)化、攻擊開(kāi)展的制度化。這也意味著勒索病毒與終端安全的攻防戰(zhàn)勢(shì)必會(huì)更加激烈，而對(duì)于勒索病毒的防御，在做好充分的可查殺之外，更重要的是在終端各個(gè)角落提前布置防線。

免責(zé)聲明：

※ 以上所展示的信息來(lái)自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本網(wǎng)站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問(wèn)題需要同本網(wǎng)聯(lián)系的，請(qǐng)?jiān)?0日內(nèi)進(jìn)行。
※ 有關(guān)作品版權(quán)事宜請(qǐng)聯(lián)系中國(guó)企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時(shí)內(nèi)審核并處理。

分享到：

[責(zé)任編輯：劉怡伽]