2021勒索病毒危机
2021年,新冠疫情反复又起,新变异毒株接连爆发,赶不走,驱不散;另一个世界,“流行病”勒索病毒也在狂掀疫情风暴:有国家为此进入紧急状态;有巨头无奈支付4000万美元赎金;有IT主管因此遭公司辞退并索要赔偿,法庭相见……
教训总是惨痛,今天就让我们穿越勒索病毒年度危机,了解勒索病毒演进态势,盘点2021年那些值得注意的勒索事件之最。
年度最高的勒索病毒赎金
2021年,勒索病毒赎金记录持续刷新,支付成本大幅UP⇧⇧
前有电脑巨头宏碁被索要5000万美元;后有攻击团伙对美科企Kaseya开出7000万美元赎金要求。
而根据目前已公开的勒索病毒付款事件,CNA Financial以4000万美元赎金“强势登顶”,创下迄今为止已知的最大勒索软件赎金支付。
今年3月底,美国最大的保险公司之一CNA Financial被勒索软件攻击,在试图恢复文件无果之后,他们开始与攻击者谈判。刚开始的时候,黑客要求的赎金高达6000万美元。最后,CNA Financial在事件发生两周后支付了4000万美元赎金。
美国财政部在10月的一项统计报告中指出,2021 年上半年勒索事件支付的赎金总额将近 6 亿美元,轻松超过 2020 年全年的总额。
年度最猖狂的勒索病毒集团
勒索组织有多猖狂,REvil(又称Sodinokibi)露出“Super爱豆”的笑容。
REvil犯案频率之高,仅 2021 年就以每月至少一起的作案频率常年占据头版头条:
-
6月,REvil在成功勒索了全球最大的牛肉供应商JBS 1100万美元赎金后;
-
7月攻击勒索基于Kaseya云的 MSP 平台,殃及全球800到1500家企业,勒索金额高达7000万美元。
-
此前,REvil还因试图勒索美国前总统唐纳德·特朗普并声称从这单业务中获得1亿美元的收入而名噪一时。
-
5月,我国国内某大型地产公司遭其攻击,窃取并加密了约3TB数据。
高调的行事风格也使得REvil成为重点打击对象,遭到多国安全部门联合执法,其部分服务器遭到入侵和控制,其支付渠道和数据泄露站点已被匿名劫持。
年度影响力最大的勒索攻击事件
2021年,全球也首次出现一个国家因勒索攻击而宣布进入紧急状态的事件。
今年5月,美国最大的成品油管道运营商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击,被迫关闭东部沿海各州供油的关键燃油网络,美国政府宣布东部17个州以及华盛顿进入紧急状态。
据了解,受影响的管道长约5500英里,为美国东部提供了45%的燃料供应,每天可将250万桶石油从墨西哥湾经过美国东部运送至新泽西州,为从休斯顿到纽约等大城市的燃料分销商提供汽油、柴油和燃料,受攻击影响,纽交所汽油期货上涨1.32美分,收于每加仑2.1269美元。
由于影响恶劣,此次勒索攻击已经引起美国立法者的呼吁,要求加强对美国关键能源基础设施的保护,以防止黑客攻击。在连续发生多起规模巨大的勒索攻击之后,白宫表示,他们将把勒索软件攻击视同于恐怖主义。
年度加密最快的勒索软件
万物皆可卷,勒索病毒也秉承着“宁可累死自己,也要饿死同行”的心态,加速进化。
今年,老牌病毒Lockbit更新2.0版本,并宣称这是世界上加密最快的勒索软件,其新版本在20分钟之内就可窃取100GB数据,是普通勒索病毒加密速度的3倍以上,且具备在域控内自动传播的能力。
窃取数据是当今勒索病毒攻击的重点,加密速度越快,上传速度越快,在此过程中被用户发现和阻止的机会就越少。该勒索软件推出不久,全球各地超过50个组织受害,受害者遍及多种产业,全球IT咨询行业巨头埃森哲也遭到LockBit的网络攻击,6TB的内部数据被窃取,2500台计算机遭遇宕机。
Lockbit之所以能够在全球多地同期传播,还因采用的RaaS模式,具备大量传播分销商与多个攻击传播团伙。Lockbit不仅国外十分泛滥,在国内同样横行肆虐,其针对不同企业会采用不同的攻击手法:例如,针对中小企业,善用RDP的弱口令攻击;在大型网络中,则会通过使用Active Directory组策略自动批量下发病毒,加密Windows域。
年度最毒的勒索家族
2021年,勒索病毒家族前扑后涌,主流团伙退位,新兴团伙替换,更有5大顶流毒性拉满,稳坐头排。
美创科技59号安全实验室基于对勒索病毒的持续追踪,显示:Phobos、Globelmposter、Zepplin、Lockbit、REvil稳居TOP5,受害者占比合计达到69%。在此其中,Phobos以22%的受害者占比更胜一筹,成为年度最“毒”的勒索病毒家族。
年度最受勒索病毒青睐的行业
2021年以来,美国频繁遭遇勒索病毒攻击,医院、交通、食品、管道运输行业领域连番沦陷,影响之深,损失之大,前所未有。
在我国,勒索病毒攻击事件也不容乐观,59号安全实验室检测,2021年前11个月受勒索病毒影响的行业排名前三的依次是传统行业、医疗行业、政府行业。此外教育、互联网、金融、能源也遭到勒索病毒攻击影响。
值得注意的是,随着医疗行业数字化程度提高、安全防护能力薄弱以及自身所拥有高价值数据信息,这导致医疗卫生机构已成为勒索病毒的重点攻击对象。美国Check Point公司安全报告指出,自2020年11月份以来,平均每个医疗机构每周遭到626次网络攻击,全球针对医疗机构的攻击数量增加了45%,是同期全球其他行业遭受网络攻击次数的两倍之多。
迈入2.0时代,我们应如何提升安全免疫力
过去,精通编程是成为一名合格黑客的前提,但今天,RaaS模式兴起,低技术门槛傻瓜式操作正催生大量“低代码黑客”出现;而多重勒索方式的进化,更是在企业最核心的资产——数据头上悬起了一把达摩克利斯之剑;今年以来,勒索病毒对大宗型商品和社会基础设施频频下手,也意味着其不单是黑产谋利的最佳工具,或许已成为国与国之间竞争的高端武器……
勒索病毒正如新冠疫情,带来持续性的困扰。如何防御,需要从意识、管理、技术等全方位提升安全免疫力。
今年美国国土安全部CISA发布《保护敏感信息和个人信息免受勒索软件导致的数据泄露》指出,为防止成为勒索软件攻击的受害者,企业应采取如下步骤:解决面向互联网的漏洞和错误配置,减少攻击者利用这一攻击面的可能性;制定、维护和行使基本的网络事件响应计划、弹性战略和相关的通信计划;保持数据的离线、加密副本,并定期验证备份;减少收到网络钓鱼邮件的可能性;坚持正确的网络健康准则。
我国国家互联网应急中心8月发布《勒索软件防范指南》,提出:
防范勒索软件要做到以下“九要”:1.要做好资产梳理与分级分类管理。2.要备份重要数据和系统。3.要设置复杂密码并保密。4.要定期安全风险评估。5.要常杀毒、关端口。6.要做好身份验证和权限管理。7.要严格访问控制策略。8.要提高人员安全意识。9.要制定应急响应预案。
防范勒索软件要做到以下“四不要”:1.不要点击来源不明邮件。2.不要打开来源不可靠网站。3.不要安装来源不明软件。4.不要插拔来历不明的存储介质。
机器感染勒索软件后,可立即开展隔离网络、分类处置、及时报告、排查加固、专业恢复等应急工作,降低勒索软件产生的危害。
三位一体组合拳,打好勒索病毒防御战
为有效抵御勒索病毒威胁,美创科技全方位剖析勒索病毒行业链、行为链,从防范实践出发,以“零信任”安全理念为基础,推出“勒索防御产品+安全保险+容灾备份”三位一体的勒索病毒风险解决方案。
以零信任构建数据资产主动防御能力:
以零信任为理念,以数据资产防护为核心,美创诺亚防勒索系统集合内核级别防护机制、主机防护、基线防护、威胁情报、诱捕机制、智能模型等技术,可在不关心漏洞传播方式的情况下,抵御任何已知或未知的勒索病毒,满足文档、数据库、哑终端等复杂场景下的主动防护需求。
以灾备体系建立筑起最后一公里保障:
美创数据级容灾、数据复制、全业务容灾、CDP灾备一体机、灾备集中管控等完善的灾备产品,通过离线备份、异地实时备份,以及建立异地容灾站点等服务保证生产库和备份库分离,确保二者不被同时勒索,即使勒索后依然有数据可以恢复,最大程度减少对业务的影响。
以安全保险实现前中后风险防控:
此外,为提高用户安全风险治理能力,美创科技推出“网络勒索损失保险”的风险解决方案,包括事前全方位的风险排查,安全加固;投保期间的勒索威胁情报、意识培训;事后的损失补偿。
正如一句话所说,“在勒索病毒面前,没有一家企业能独善其身”,在勒索病毒“常态化防疫”阶段,避免成为下一个受害者,加强勒索病毒防御能力已成为各行各业必做的课题,美创科技也在持续进化产品与方案能力,帮助更多的用户主动抵御勒索威胁,提升安全免疫力,守护数据安全价值。
浙公网安备 33010502006954号 
