国内外最新研究数据显示,随着安全研究人员和安全厂商对勒索软件的长期分析和研究、以及安全软件/网关设备对勒索软件拦截率的提升,导致无差别恶意勒索的利润持续走低,也倒逼攻击者进行了攻击思路的调整。具体包括弱化无差别的攻击,挑选拥有重要数据和高支付能力的组织和企业进行攻击,通过较高的支付成功率达成高额赎金的获取。
本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,受害者主要包括医疗、教育、制造等行业。
2021年8月
勒索病毒状况总览
01
2021年8月
勒索病毒受害者所在地区
8月份国内遭受勒索病毒攻击的地区分布图如下所示,总体来看,经济发达地区仍是被攻击的主要对象。
02
2021年8月
勒索病毒影响行业分布
美创安全实验室威胁平台显示,勒索病毒行业影响范围越来越广,行业排名前三的是传统行业、医疗行业、教育行业。
03
2021年8月
勒索病毒家族分布
下图是美创安全实验室对勒索病毒监测后所计算出的8月份勒索病毒家族流行度占比分布图。攻击活动最为频繁的是Phobos组织,占8月份攻击事件的24%。
04
2021年8月
勒索病毒传播方式
下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。
2021年8月
勒索病毒排行榜
01phobos
Phobos勒索软件家族主要针对企业。它以勒索软件即服务(RaaS)包的形式在黑市出售。也就是说,没有任何技术知识的犯罪分子也可以借助于工具包创建自己的勒索软件变种,并对他们的目标发起攻击。Phobos勒索软件从2019年开始在全球流行,在近期的活跃力度逐渐加大,多个行业受到不同程度的影响。该病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。
02Globeimposter
GlobeImposter勒索者病毒出现的时间较早,最开始出现于2017年8月。与那些只着眼于大规模企业的勒索者病毒不同,GlobeImposter 勒索者病毒的开发团伙近期开始袭击各种不同规模的目标企业,甚至包括一些小型企业。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件,且加密手法也是勒索病毒中常见的RSA+AES加密算法,以下是勒索信息文件示例之一:
03Lockbit
Lockbit勒索病毒出现于2019年末,主要利用PDP爆破传播。该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。此外,该病毒此前主要活跃在国外,目前其已将狩猎目标拓展到国内。
2021年8月
国内大型勒索事件盘点
01某发动机厂商遭Globelmposter勒索软件攻击
8月6日,某发动机生产厂商遭到GlobeImposter勒索团建团伙的袭击,该公司报告说,攻击者设法渗透了其IT网络,用恶意软件感染了四台重要服务器,导致部分生产线暂停。该公司内部人员表示,在发现问题后,处于高度谨慎,关闭了外部系统的接入点,并立即开始调查和解决问题。
在线点评:
1. GlobeImposter勒索病毒是目前非常流行的勒索病毒,它主要通过RDP爆破入侵用户计算机,之后进行手动投毒。然后,勒索软件会在桌面留下勒索信息文件,要求受害者支付巨额的赎金以恢复其加密文件。
2. 国内各行业饱受Globelmposter勒索病毒的侵害,涉及行业有医疗、政府、能源、贸易等。美创安全实验室提醒广大用户,警防此病毒攻击。
02南京某企业遭勒索软件攻击
南京某企业披露,该企业在8月14日遭遇勒索软件攻击,6台数据库服务器中招,该企业在发现该攻击后,立即隔离受影响的网络,并聘请外部供应商提供帮助。经过排查,备份服务器并未受到勒索软件的影响。目前,大部分数据都已从备份中成功恢复,企业业务也并未受到此次勒索软件攻击的影响。
在线点评:
1. 主机在感染勒索病毒后,除了自身会被加密,勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机,所以当发现一台主机已被感染,应尽快采取响应措施,以尽可能减少损失。
2. 企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁。
03福建某企业遭勒索重创,被勒巨额赎金
8月21日,福建某企业勒索团伙宣布遭到勒索软件攻击,攻击者渗透了其内部网络后,用恶意软件感染了多台服务器,并索要上百万的巨额赎金。该企业在发现攻击后,立即采取措施加以遏制。经过排查,确认至少20-30台机器被感染。被感染的机器中的所有文件都被添加了“.lockbit”后缀,并且已无法正常打开,通过后缀可确定该病毒为Lockbit勒索病毒。
在线点评:
1. LockBit 家族采用自动化的传播方式。执行后,会发送ARP请求,判断其他的设备,并使用SMB协议连接以进行传播。
2. LockBit勒索软件在近期内异常活跃,其受害者急剧增加,且针对行业扩大化,造成的危害较严重。
04Makop勒索软件攻击某医药企业
8月23日,位于南京的某医药企业惨遭Makop勒索软件洗劫,部分业务被迫“罢工”。Makop勒索软件出现于2020年1月下旬,该勒索软件加密时会尝试结束后台应用的进程,以独占文件完成加密;排除部分加密白名单文件不加密;病毒会尝试加密有写权限的网络共享文件;加密结束后,会删除系统卷影信息,以防止用户通过文件恢复功能找回文件。
在线点评:
1. Makop勒索软件加密文件完成后会添加.makop扩展后缀,目前已知主要通过恶意邮件渠道传播。
2. Makop勒索软件近期更新频繁,由于该勒索软件使用RSA+AES的方式加密文件,暂无有效的解密工具,因此,我们提醒各政企机构提高警惕,做好安全防范措施。
2021年8月
勒索病毒状况攻击趋势
01三重勒索策略或将成为主流
勒索团伙一直在尝试使用各种方法对受害公司施加压力,以增加其获取赎金的可能性,除了常见的二重勒索策略(文件加密和数据泄露)之外,还有另外一种危害极大,但易于发起,且攻击成本极低的勒索策略,也就是所谓的分布式拒绝服务攻击(DDOS)。由文件加密、数据泄露操作、DDOS攻击组成的三重勒索策略,不仅能加密受害者电脑文件,还能对外出售敏感数据,并利用被感染电脑发送恶意网络流量,以此影响受害者系统的带宽或运行速度,若同时实施这三种攻击,所带来的后果将是非常严重且不可逆转的。
02无文件攻击成为新趋势
2020年新增的勒索样本大多数采用无文件攻击技术,据不完全统计,2020年成功入侵的攻击事件中,80%都是通过无文件攻击完成,传统的防病毒工具对此攻击收效甚微。
03定向攻击,迫使受害者就范
活跃的勒索软件团伙,越来越多地将高价值的大型政企机构作为重点打击对象。为了追求利益最大化,多数情况下,攻击者并不满足于加密企业内的一台机器。攻击者往往在攻陷企业一台网络资产之后,会利用该资产持续渗透攻陷更多资产,之后大量植入文件加密模块,从而迫使企业在系统大面积瘫痪的情况下缴纳赎金。
04僵尸网络与勒索病毒互相勾结
僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。
05勒索病毒多平台扩散
目前受到的勒索病毒攻击主要是windows系统,但也陆续出现了针对MacOS、Linux、Android等平台的勒索病毒。随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增加,相关安全问题不容小觑。
勒索病毒
自救措施介绍
勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结 束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。
(一)隔离中招主机
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1) 物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2) 访问控制
加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
勒索病毒
防御方法总结介绍
面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染。
1. 针对个人用户的安全建议
1)养成良好的安全习惯
①使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
②重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
③使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。不使用弱口令,以防止攻击者破解。
④安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易才去放行操作。
⑤及时给电脑打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。
⑥尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被攻击的风险。
2)减少危险的上网操作
⑦浏览网页时提高警惕,不浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
⑧不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。
⑨电脑连接移动存储设备(如U盘、移动硬盘)时,应首先使用安全软件检测其安全性。
2. 针对企业用户的安全建议
①及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
②尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
⑤对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
⑥尽量关闭不必要的文件共享。
⑦提高安全运维人员职业素养,定期进行木马病毒查杀。
⑧部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑨安装诺亚防勒索软件,防御未知勒索病毒。
美创诺亚防勒索
防护能力介绍
为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.TIYSV”加密后缀,并且无法正常打开。
开启诺亚防勒索的情况下:双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。
浙公网安备 33010502006954号 
