北京2020年7月10日 /美通社/ -- 勒索軟件近年來一直是黑客組織牟取暴利的絕佳手段,也是發(fā)展最快的網(wǎng)絡(luò)安全威脅之一。之前Wannacry、NotPeya全球肆掠、攻城掠地的景象,尚未完全消除。如今勒索軟件攻擊目標(biāo)多元化、攻擊手段復(fù)雜化、解密數(shù)據(jù)難度大、危害影響難估量等,被稱為安全業(yè)界最頭疼的軟件,也成為政府、企業(yè)、個(gè)人最為關(guān)注的安全風(fēng)險(xiǎn)之一,它幾乎成為與APT齊名的攻擊類型。破財(cái)消災(zāi),幾乎成了多數(shù)被勒索者不得已而為之的選擇。根據(jù)COVEWARE公司的報(bào)告,2020年一季度,企業(yè)平均贖金支付增加至111,605美元,比2019年第四季度增長了33%。目前勒索軟件主要的攻擊傳播方式仍然以RDP(遠(yuǎn)程桌面服務(wù))和釣魚郵件為主。因?yàn)槠渥儸F(xiàn)方式更為粗暴直接,正被越來越多的網(wǎng)絡(luò)“灰黑”產(chǎn)采用。品嘗過“勒索”帶來的巨大且輕而易舉的利益后,勒索軟件的演變與發(fā)展更加迅猛異常。
天地和興總結(jié)梳理的上半年工業(yè)企業(yè)10起典型攻擊事件中,有7起是勒索攻擊。2月,勒索攻擊殃及美國天然氣管道公司,CISA未透露勒索軟件名稱。勒索軟件Nefilim攻擊澳大利亞Toll集團(tuán);3月,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機(jī)構(gòu),包括加拿大和美國的鋼鐵生產(chǎn)廠;4月,Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal),并且索要1580個(gè)比特幣贖金(折合約1090萬美元/990萬歐元);5月,勒索軟件Nefilim襲擊了臺(tái)灣石油、汽油和天然氣公司CPC公司及其競爭對手臺(tái)塑石化公司(FPCC)。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機(jī)車制造商Stadler;6月,勒索軟件EKANS/Snake攻擊了本田汽車制造商。
天地和興工業(yè)網(wǎng)絡(luò)安全研究院對所監(jiān)測到的眾多勒索軟件攻擊事件進(jìn)行梳理,注意到勒索攻擊的目標(biāo)正向石油、天燃?xì)?、能源、制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)展。本文篩選10個(gè)典型的、比較活躍的勒索軟件,通過簡要分析其攻擊的目標(biāo)、路徑、手段及主要特征,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施利益相關(guān)方,警鐘常鳴,防患未然。
典型勒索軟件
1、勒索軟件Maze
Maze勒索軟件是ChaCha的一個(gè)變種,最早出現(xiàn)于2019年5月。最初,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網(wǎng)站進(jìn)行傳播,該工具包利用Flash Player漏洞。后續(xù)Maze勒索軟件增加了利用Windows VBScript Engine遠(yuǎn)程代碼執(zhí)行漏洞等能力。
Maze(迷宮)通過大量混淆代碼來對抗靜態(tài)分析,使用ChaCha20和RSA兩種算法加密文件,被加密的文檔在未得到密鑰時(shí)暫無法解密。加密完成后對文件添加隨機(jī)擴(kuò)展后綴,并留下名為DECRYPT-FILES.html的勒索說明文檔,并修改桌面壁紙。值得一提的是,該病毒聲稱,解密贖金額度取決于被感染電腦的重要程度,包括個(gè)人電腦、辦公電腦、服務(wù)器,這意味著高價(jià)值目標(biāo)受攻擊后解密付出的代價(jià)也會(huì)相應(yīng)的更高。
2、勒索軟件Ryuk
Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn),它是由俄羅斯黑客團(tuán)伙GrimSpider幕后操作運(yùn)營。GrimSpider是一個(gè)網(wǎng)絡(luò)犯罪集團(tuán),使用Ryuk勒索軟件對大型企業(yè)及組織進(jìn)行針對性攻擊。Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進(jìn)行傳播,因?yàn)門rickBot銀行木馬傳播渠道的運(yùn)營者是俄羅斯黑客團(tuán)伙WIZARD SPIDER,GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD SPIDER的部門之一。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù),同時(shí)充當(dāng)下載器功能,提供下載其它勒索病毒服務(wù)。這款勒索病在國外比較流行,主要針對一些大型企業(yè)進(jìn)行定向攻擊勒索。Ryuk特別狡詐的一個(gè)功能是可以禁用被感染電腦上的Windows系統(tǒng)還原Windows System Restore選項(xiàng),令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)。鑒于攻擊者針對的是高價(jià)值受害者,贖金目標(biāo)也轉(zhuǎn)為大型企業(yè)。
安全分析師認(rèn)為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團(tuán)伙的Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的,邁克菲認(rèn)為其代碼基礎(chǔ)由俄語區(qū)供應(yīng)商提供,因?yàn)樵摾账鬈浖粫?huì)在系統(tǒng)語言設(shè)置為俄語、白俄羅斯語和烏克蘭語的計(jì)算機(jī)上執(zhí)行。
3、勒索軟件Sodinokibi/ REvil
Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發(fā)現(xiàn)。在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個(gè)月的時(shí)間內(nèi),已經(jīng)在全球大范圍傳播,這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián),Sodinokibi勒索病毒是一種勒索即服務(wù)(RAAS)的模式進(jìn)行分發(fā)和營銷的,并采用了一些免殺技術(shù)避免安全軟件檢測。主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網(wǎng)絡(luò)釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊,這款勒索病毒最新的版本為2.2,增加了自啟動(dòng)注冊表項(xiàng)等,同時(shí)還發(fā)現(xiàn)一批最新的采用PowerShell腳本進(jìn)行無文件攻擊的變種樣本。
該勒索軟件最特別的一點(diǎn)就是,不僅告訴人們“不付贖金就拿不回?cái)?shù)據(jù)”,還會(huì)威脅稱“將在網(wǎng)上公開或在地下論壇競拍這些機(jī)密數(shù)據(jù)”。這種新的勒索方式將此商業(yè)模式推升到了新的高度。高針對性、強(qiáng)定制化的勒索軟件新時(shí)代似乎正走向危險(xiǎn)新深淵。
4、勒索軟件DoppelPaymer
DoppelPaymer代表了勒索軟件攻擊的新趨勢—勒索文件加密和數(shù)據(jù)竊取雙管齊下。根據(jù)安全研究人員的說法,此類惡意軟件首先會(huì)竊取數(shù)據(jù),然后向受害者發(fā)送贖金勒索消息,而不是像傳統(tǒng)勒索軟件一樣就地加密鎖死數(shù)據(jù)。2019年中期以來一直活躍,今年3月美國精密零件制造商Visser遭此勒索軟件攻擊,意外泄漏特斯拉、波音、SpaceX等公司有關(guān)的敏感文件。DoppelPaymer 勒索軟件最早于2019年6月被發(fā)現(xiàn),主要通過RDP暴力破解和垃圾郵件進(jìn)行傳播,郵件附件中帶有一個(gè)自解壓文件,運(yùn)行后釋放勒索軟件程序并執(zhí)行。公開資料顯示,DoppelPaymer是BitPaymer 勒索軟件的一類新變種。DoppelPaymer至少有8種變體,它們逐漸擴(kuò)展各自的特征集。
自解壓文件運(yùn)行后在%Users%目錄下創(chuàng)建gratemin文件夾,釋放名為p1q135no. exe的勒索軟件程序并執(zhí)行,加密文件后,在原文件名后追加名為“.locked”的后綴,并在每個(gè)被加密文件的目錄中創(chuàng)建名為原文件名后追加“.readme2unlock.txt”格式的勒索信,勒索信中包含勒索說明、TOR下載地址、支付地址、DATA 數(shù)據(jù)信息和郵箱聯(lián)系方式等。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件,利用多線程快速加密文件,使用命令A(yù)RP–A以解析受害系統(tǒng)的地址解析協(xié)議(ARP)表,具體操作為刪除卷影副本、禁用修復(fù)、刪除本地計(jì)算機(jī)的備份目錄等。目前被加密的文件在未得到密鑰前暫時(shí)無法解密。
5、勒索軟件NetWalker
NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發(fā)現(xiàn),Mailto是基于加密文件名格式的勒索軟件的名稱,Netwalker是基于勒索軟件的勒索信內(nèi)容給出的名稱,目前針對的目標(biāo)是企業(yè)和政府機(jī)構(gòu),近期開始活躍。Netwalker活動(dòng)背后的攻擊者使用常見的實(shí)用程序、開發(fā)后工具包和living-off-The-land,LOTL策略來探索一個(gè)受到破壞的環(huán)境,并盡可能多地獲取數(shù)據(jù)。這些工具可以包括mimikatz(及其變體)、各種PSTools、AnyDesk、TeamViewer、NLBrute等。勒索軟件利用PowerShell編寫,直接在內(nèi)存中執(zhí)行,沒有將實(shí)際的勒索軟件二進(jìn)制文件存儲(chǔ)到磁盤中。惡意軟件利用了反射動(dòng)態(tài)鏈接庫(DLL)注入的技術(shù),也稱reflective DLL加載,可以從內(nèi)存注入DLL,不需要實(shí)際DLL文件,也不需要任何Windows加載程序即可注入。這讓此勒索病毒成為了無檔案病毒(fileless malware),能夠保持持續(xù)性,并利用系統(tǒng)內(nèi)的工具來進(jìn)行攻擊而不被偵測到和殺軟查殺。
在加密完成后,進(jìn)程退出前最后會(huì)彈出勒索信,勒索提示信息文件[加密后綴]-Readme.txt,加密后的文件后綴名為隨機(jī)字符串。
6、勒索軟件CLOP
Clop勒索軟件于2019年2月出現(xiàn)在公眾視野中,Clop背后團(tuán)隊(duì)的主要目標(biāo)是加密企業(yè)的文件,收到贖金后再發(fā)送解密器。目前Clop仍處于快速發(fā)展階段。該惡意軟件暫無有效的解密工具,致受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重。
與其他勒索病毒不同的是,Clop勒索軟件部分情況下攜帶了有效的數(shù)字簽名,數(shù)字簽名濫用和冒用在以往情況下多數(shù)發(fā)生在流氓軟件和竊密類木馬程序中。勒索軟件攜帶有效簽名的情況極為少見,這意味著該軟件在部分?jǐn)r截場景下更容易獲取到安全軟件的信任,進(jìn)而感染成功,造成無法逆轉(zhuǎn)的損失。
Clop勒索軟件通過多種途徑感染受害者的計(jì)算機(jī)設(shè)備。主感染文件會(huì)利用隨機(jī)腳本提取惡意可執(zhí)行文件,惡意Java腳本被設(shè)置為通過誘使受害者訪問或被重定向至惡意站點(diǎn)將惡意可執(zhí)行文件下載并安裝至受害者計(jì)算機(jī)上。另一種分發(fā)傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼。這些文檔常以垃圾郵件附件的形式發(fā)送給受害者。
此惡意軟件旨在通過附加“.Clop ”擴(kuò)展名來加密受害計(jì)算機(jī)上的數(shù)據(jù)并重命名每個(gè)文件。例如,“sample.jpg”被重命名為“sample.jpg.Clop”。成功加密后,Clop會(huì)生成一個(gè)文本文件“ClopReadMe.txt”并在每個(gè)現(xiàn)有文件夾中放置一個(gè)副本,文本文件包含贖金通知消息。
7、勒索軟件EKANS
EKANS勒索軟件(也稱Snake),于2020年1月首次被發(fā)現(xiàn),是一種新的勒索軟件,專門針對工業(yè)控制系統(tǒng)。EKANS代碼中包含一系列特定用于工業(yè)控制系統(tǒng)功能相關(guān)的命令與過程,可導(dǎo)致與工業(yè)控制操作相關(guān)的諸多流程應(yīng)用程序停滯。EKANS勒索軟件是用Golang編寫的,將整個(gè)網(wǎng)絡(luò)作為目標(biāo),并且存在大量混淆。其中,包含了一種常規(guī)混淆,這種混淆在以前并不常見,通常是與目標(biāo)方法結(jié)合使用。
EKANS在執(zhí)行時(shí)會(huì)刪除計(jì)算機(jī)的卷影副本,還會(huì)停止與SCADA系統(tǒng)、虛擬機(jī)、工業(yè)控制系統(tǒng)、遠(yuǎn)程管理工具、網(wǎng)絡(luò)管理軟件等相關(guān)的眾多進(jìn)程。然后,EKANS還會(huì)加密系統(tǒng)上的文件,從而跳過Windows系統(tǒng)文件和文件夾。在文件擴(kuò)展名后面還會(huì)附加一個(gè)勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)。該惡意軟件在每個(gè)加密文件后附加了“EKANS”文件標(biāo)記。加密過程完成后,勒索軟件將在C:\Users\Public\Desktop文件夾中創(chuàng)建一個(gè)勒索記錄(名為“Fix Your Files.txt”),其中包含要聯(lián)系以接收付款指示的電子郵件地址。EKANS目前的主要感染媒介似乎是釣魚附件。
8、勒索軟件Nefilim
Nefilim出現(xiàn)于2020年3月,可能是通過公開的RDP(遠(yuǎn)程桌面服務(wù))進(jìn)行分發(fā)。Nefilim與Nemty共享許多相同的代碼,主要的不同之處在于,Nefilim移除了勒索軟件即服務(wù)(RaaS)的組件,依靠電子郵件進(jìn)行支付,而不是Tor支付網(wǎng)站。Nefilim使用AES-128加密文件,每個(gè)加密的文件都將附加.NEFILIM擴(kuò)展名,加密完成后,調(diào)用cmd命令進(jìn)行自我刪除。釋放的勒索信中包含不同的聯(lián)系電子郵件,并且威脅如果在7天內(nèi)未支付贖金,將會(huì)泄漏數(shù)據(jù)。
從技術(shù)上講,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務(wù)。一旦攻擊者通過RDP進(jìn)入了網(wǎng)絡(luò),他們就會(huì)繼續(xù)建立持久化,在可能的情況下查找和竊取其他憑證,然后將勒索軟件的payload傳播給潛在目標(biāo)。
9、勒索軟件Ragnar Locker
RagnarLocker勒索軟件在2019年12月底首次出現(xiàn),是一種新的勒索軟件,將惡意軟件部署為虛擬機(jī)(VM),以逃避傳統(tǒng)防御。勒索軟件的代碼較小,在刪除其自定義加殼程序后僅有48KB,并且使用高級(jí)編程語言(C/C++)進(jìn)行編碼。
RagnarLocke是使用GPO任務(wù)執(zhí)行Microsoft Installer(msiexec.exe),傳遞參數(shù)從遠(yuǎn)程Web服務(wù)器下載并以靜默方式安裝制作的122 MB未經(jīng)簽名的MSI軟件包。MSI軟件包包含一個(gè)Oracle VirtualBox虛擬機(jī)管理程序和一個(gè)名為micro.vdi的虛擬磁盤映像文件(VDI),該文件是Windows XP SP3操作系統(tǒng)的精簡版本映像。由于vrun.exe勒索軟件應(yīng)用程序在虛擬客戶機(jī)內(nèi)部運(yùn)行,因此其過程和行為可以不受阻礙地運(yùn)行,物理主機(jī)上的安全軟件是無能為力的。
RagnarLocker在選擇受害者時(shí)是很有選擇性的。目標(biāo)往往是公司,而不是個(gè)人用戶。該惡意軟件的目標(biāo)是對可以加密的所有文件進(jìn)行加密,并提出勒索,要求用戶支付贖金以進(jìn)行解密。
10、勒索軟件PonyFinal
一種新型的人工勒索軟件“PonyFinal”,通過手動(dòng)啟動(dòng)有效載荷來部署攻擊。它對目標(biāo)公司的系統(tǒng)管理服務(wù)器使用“暴力手段”,無需依靠誘騙用戶通過網(wǎng)絡(luò)釣魚鏈接或電子郵件來啟動(dòng)有效負(fù)載。主要針對在COVID-19危機(jī)中的醫(yī)療衛(wèi)生機(jī)構(gòu)。
PonyFinal的入侵點(diǎn)通常是公司系統(tǒng)管理服務(wù)器上的一個(gè)賬戶,PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來攻擊該帳戶。一旦黑客進(jìn)入內(nèi)部系統(tǒng)后,他們會(huì)部署Visual Basic腳本,該腳本會(huì)運(yùn)行PowerShell反向外殼程序以轉(zhuǎn)儲(chǔ)和竊取本地?cái)?shù)據(jù)。
此外,PonyFinal勒索軟件還會(huì)部署遠(yuǎn)程操縱器系統(tǒng)以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標(biāo)網(wǎng)絡(luò),他們便會(huì)傳播到其他本地系統(tǒng)并部署實(shí)際的PonyFinal勒索軟件。PonyFinal是用Java語言編寫的,攻擊者還會(huì)將目標(biāo)鎖定在安裝了Java Runtime Environment(JRE)的工作站上。攻擊者使用從系統(tǒng)管理服務(wù)器竊取的信息來鎖定已安裝JRE的端點(diǎn)。勒索軟件是通過包含兩個(gè)批處理文件的MSI文件交付的,其中包括將由攻擊者激活的有效負(fù)載。通常會(huì)在每個(gè)加密文件的末尾會(huì)被添加一個(gè)“.enc”文件擴(kuò)展名。而贖金記錄通常名為README_files.txt,會(huì)包含贖金付款說明的簡單文本文件。
2020上半年典型勒索軟件一覽表 |
|||||||||
序號(hào) |
勒索軟件 名稱 |
首次發(fā)現(xiàn) 時(shí)間 |
所屬家族 |
編寫語言 |
攻擊方式 |
攻擊目標(biāo) |
幕后運(yùn)營者 |
攻擊事件 |
備注 |
1 |
MAZE |
2019年5月29日 |
ChaCha |
極其復(fù)雜的代碼,反逆向 |
利用漏洞、網(wǎng)絡(luò)釣魚、RDP |
技術(shù)提供商和公共服務(wù)(政府機(jī)構(gòu)、教育、衛(wèi)生) |
屬于俄羅斯聯(lián)邦的所有C2域 |
4月1日,石油公司 Berkine 遭受勒索攻擊 |
數(shù)據(jù)泄露 |
2 |
Ryuk |
2018年8月 |
Hermes |
未知 |
通過垃圾郵件傳播Emotet銀行木馬 |
大型工控企業(yè)、組織、機(jī)構(gòu)等 |
俄羅斯黑客團(tuán)伙GrimSpider |
3月鋼鐵制造商EVRAZ遭受勒索攻擊 |
導(dǎo)致大多數(shù)工廠都已停止生產(chǎn) |
3 |
Sodinokibi/REvil |
2019年5月24日 |
GandCrab |
未知 |
通過 RDP爆破進(jìn)行傳播、社會(huì)工程 |
MSP和其他組織(例如地方政府) |
未知 |
巴西電力公司Light S.A.遭受勒索攻擊 |
Salsa20流密碼加密;索要1400萬美元贖金 |
4 |
DoppelPaymer |
2019 年 6 月 |
BitPaymer |
未知 |
RDP、惡意附件、漏洞利用等 |
大型企業(yè)、組織 |
朝鮮 |
3月美國精密零件制造商Visser遭此勒索攻擊 |
數(shù)據(jù)泄露 |
5 |
NetWalker |
2019年8月 |
NEMTY |
PowerShell |
無文件勒索軟件 |
醫(yī)療和教育機(jī)構(gòu) |
未知 |
6月,美國醫(yī)療系統(tǒng)Crozer-Keystone最近遭受勒索攻擊 |
因未支付比特幣贖金,其數(shù)據(jù)在暗網(wǎng)上被拍賣 |
6 |
CLOP |
2019年2月 |
CryptoMix |
未知 |
以垃圾郵件附件的形式 |
大型企業(yè) |
未知 |
3月美國生物制藥公司ExecuPharm遭受勒索攻擊 |
數(shù)據(jù)泄露 |
7 |
EKANS/SNAKE |
2020年1月 |
未知 |
Golang |
利用釣魚附件 |
針對工業(yè)控制系統(tǒng)環(huán)境 |
未知 |
6月本田汽車Honda遭受勒索攻擊 |
造成部分工廠停工,損失十分嚴(yán)重 |
8 |
Nefilim |
2020年3月 |
未知 |
未知 |
利用RDP服務(wù) |
企業(yè)、組織等 |
未知 |
5月臺(tái)灣石油、汽油和天然氣公司CPC公司及其競爭對手臺(tái)塑石化公司(FPCC)遭受勒索攻擊 |
導(dǎo)致服務(wù)中斷,其IT和計(jì)算機(jī)系統(tǒng)關(guān)閉 |
9 |
RagnarLocker |
2019年12月 |
未知 |
C/C++ |
惡意軟件部署為虛擬機(jī)(VM) |
針對托管服務(wù)提供商的常用軟件 |
未知 |
4月葡萄牙跨國能源公司EDP遭受攻擊 |
索要1580的比特幣贖金(折合約1090萬美元) |
10 |
PonyFinal |
2020年4月 |
未知 |
Java |
人為操縱,使用暴力攻擊 |
醫(yī)療衛(wèi)生、教育 |
未知 |
4月美國最大ATM 供應(yīng)商 Diebold Nixdorf遭受勒索攻擊 |
未支付贖金 |
思考及建議
2020年,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險(xiǎn)的網(wǎng)絡(luò)安全威脅。針對性、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征。勒索軟件不僅數(shù)量增幅快,而且危害日益嚴(yán)重,特別是針對關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛。被勒索機(jī)構(gòu)既有巨額經(jīng)濟(jì)損失,又有數(shù)據(jù)無法恢復(fù)甚至被惡意泄露的風(fēng)險(xiǎn),雙重勒索的陰影揮之不去。勒索攻擊的危害遠(yuǎn)不止贖金造成的經(jīng)濟(jì)損失,更嚴(yán)重的是會(huì)給企業(yè)和組織機(jī)構(gòu)帶來額外的復(fù)雜性,造成數(shù)據(jù)損毀或遺失、生產(chǎn)力破壞、正常業(yè)務(wù)中斷、企業(yè)聲譽(yù)損害等多方面的損失。比如3月初,美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊,攻擊者入侵了Visser的電腦對其文件進(jìn)行加密,并要求Visser在3月底支付贖金,否則將把機(jī)密文件內(nèi)容公開到網(wǎng)絡(luò)上。由于沒有收到勒索款項(xiàng),DoppelPaymer在網(wǎng)上公開了關(guān)于SpaceX、Lockheed-Martin、特斯拉、波音等公司的機(jī)密信息,被泄露的資訊包括Lockheed-Martin設(shè)計(jì)的軍事裝備的細(xì)節(jié),比如反迫擊炮防御系統(tǒng)中的天線規(guī)格、賬單和付款表格、供應(yīng)商資訊、數(shù)據(jù)分析報(bào)告以及法律文書等。此外,Visser與特斯拉 SpaceX之間的保密協(xié)議也在泄露文件中。
毫無疑問,勒索軟件攻擊在今后很長一段時(shí)間內(nèi)仍然是政府、企業(yè)、個(gè)人共同面對的主要安全威脅。勒索軟件的攻擊方式隨著新技術(shù)的應(yīng)用發(fā)展不斷變化,有針對性的勒索軟件事件給不同行業(yè)和地區(qū)的企業(yè)帶來了破壞性攻擊威脅,勒索攻擊產(chǎn)業(yè)化、場景多樣化、平臺(tái)多元化的特征會(huì)更加突出。在工業(yè)企業(yè)場景中,勒索軟件慣用的攻擊向量主要是弱口令、被盜憑據(jù)、RDP服務(wù)、USB設(shè)備、釣魚郵件等,有效防范勒索軟件攻擊,仍需要針對性做好基礎(chǔ)防御工作,構(gòu)建和擴(kuò)張深度防御,從而保障企業(yè)數(shù)據(jù)安全,促進(jìn)業(yè)務(wù)良性發(fā)展。
1、強(qiáng)化端點(diǎn)防護(hù)
及時(shí)加固終端、服務(wù)器,所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜口令策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時(shí)更新病毒庫;及時(shí)安裝漏洞補(bǔ)??;服務(wù)器開啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ)。
2、關(guān)閉不需要的端口和服務(wù)
嚴(yán)格控制端口管理,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口(RDP服務(wù)的3389端口),同時(shí)使用適用的防惡意代碼軟件進(jìn)行安全防護(hù)。
3、采用多因素認(rèn)證
利用被盜的員工憑據(jù)來進(jìn)入網(wǎng)絡(luò)并分發(fā)勒索軟件是一種常見的攻擊方式。這些憑據(jù)通常是通過網(wǎng)絡(luò)釣魚收集的,或者是從過去的入侵活動(dòng)中獲取的。為了減少攻擊的可能性,務(wù)必在所有技術(shù)解決方案中采用多因素身份驗(yàn)證(MFA)。
4、全面強(qiáng)化資產(chǎn)細(xì)粒度訪問
增強(qiáng)資產(chǎn)可見性,細(xì)化資產(chǎn)訪問控制。員工、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域,采取必要的微隔離。落實(shí)好最小權(quán)限原則。
5、深入掌控威脅態(tài)勢
持續(xù)加強(qiáng)威脅監(jiān)測和檢測能力,依托資產(chǎn)可見能力、威脅情報(bào)共享和態(tài)勢感知能力,形成有效的威脅早發(fā)現(xiàn)、早隔離、早處置的機(jī)制。
6、制定業(yè)務(wù)連續(xù)性計(jì)劃
強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份,對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份,并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案。同時(shí),做好備份系統(tǒng)與主系統(tǒng)的安全隔離,避免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊,影響業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)解決方案應(yīng)成為在發(fā)生攻擊時(shí)維持運(yùn)營的策略的一部分。
7、加強(qiáng)安全意識(shí)培訓(xùn)和教育
員工安全意識(shí)淡漠,是一個(gè)重要問題。必須經(jīng)常提供網(wǎng)絡(luò)安全培訓(xùn),以確保員工可以發(fā)現(xiàn)并避免潛在的網(wǎng)絡(luò)釣魚電子郵件,這是勒索軟件的主要入口之一。將該培訓(xùn)與網(wǎng)絡(luò)釣魚演練結(jié)合使用,以掌握員工的脆弱點(diǎn)。確定最脆弱的員工,并為他們提供更多的支持或安全措施,以降低風(fēng)險(xiǎn)。
8、定期檢查
每三到六個(gè)月對網(wǎng)絡(luò)衛(wèi)生習(xí)慣、威脅狀況、業(yè)務(wù)連續(xù)性計(jì)劃以及關(guān)鍵資產(chǎn)訪問日志進(jìn)行一次審核。通過這些措施不斷改善安全計(jì)劃。及時(shí)了解風(fēng)險(xiǎn),主動(dòng)防御勒索軟件攻擊并減輕其影響。
此外,無論是企業(yè)還是個(gè)人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵(lì)了勒索攻擊行為,而且解密的過程還可能會(huì)帶來新的安全風(fēng)險(xiǎn)。