2021年已過(guò)三分之二,除了應對新冠病毒持續的沖擊外,全球各行業(yè)還在面對一種持續激增、愈發(fā)頑固的“流行病”——勒索病毒。據海外研究團隊Check Point Research統計,2021年5月勒索病毒攻擊次數相對年初增加了41%,相對2020年6月同比增加了 93%。
根據深信服最新頒布的《2021上半年勒索病毒趨勢報告》, 可以從「4大觀(guān)察維度+3大攻擊演變」窺探當前勒索病毒的野蠻生長(cháng)情況:數據顯示,勒索病毒加速進(jìn)化,攻擊手法持續迭代,甚至對特定的行業(yè)、地域具有明顯的針對性。
勒索病毒攻擊手法究竟發(fā)生了哪些變化?病毒對哪些行業(yè)與地域窮追猛打?接下來(lái)帶您一探究竟……
4大觀(guān)察維度
看看你離被勒索病毒感染有多遠?
今年上半年,深信服終端安全團隊持續追蹤國內各大勒索事件,從“感染行業(yè)分布”、“攻擊咨詢(xún)行業(yè)分布”、“感染地域分布”和“病毒活躍家族”四大維度觀(guān)察勒索病毒最新動(dòng)態(tài),并總結出了相應的規律。
1. 勒索病毒感染行業(yè):教育行業(yè)占比創(chuàng )歷史新高
根據云端感染統計數據,部分校園網(wǎng)由于大量設備疏于安全加固與漏洞修復,受Wannacry感染嚴重,因此,教育行業(yè)受感染比例創(chuàng )歷史新高,占據近半壁江山,其影響力和危害性不容忽視。其次,企業(yè)、制造業(yè)、醫療衛生等行業(yè)因數據重要性與經(jīng)濟實(shí)力,依舊成為勒索病毒主要攻擊目標,受到不同程度影響。
2. 勒索攻擊咨詢(xún)行業(yè):能源與地產(chǎn)行業(yè)成新靶
深信服終端安全團隊統計了上半年接到的攻擊事件線(xiàn)下咨詢(xún),數據顯示,醫療、教育、制造業(yè)等行業(yè)延續著(zhù)以往的高頻攻擊。值得關(guān)注的是,能源行業(yè)和地產(chǎn)行業(yè)受到勒索病毒攻擊的頻率正逐步升高。
3. 勒索病毒感染地域:沿海發(fā)達城市為“易感群體”
從感染地域分布來(lái)看,廣東、安徽、浙江、江蘇等沿海城市,因對外貿易往來(lái)較為發(fā)達,受勒索病毒感染最為嚴重。
4. 勒索病毒活躍家族:Wannacry依然讓企業(yè)“想哭”
從深信服云端數據統計來(lái)看,Wannacry仍然依靠“永恒之藍”漏洞(MS17-010)占據勒索病毒感染量榜首。盡管Wannacry勒索病毒已經(jīng)無(wú)法觸發(fā)加密,但其感染數據反映了當前仍存在大量主機沒(méi)有針對常見(jiàn)高危漏洞進(jìn)行合理加固的現象。
深信服終端檢測響應平臺EDR輕補丁功能,無(wú)需重啟打補丁,一鍵防護高危漏洞,拒絕“永恒之藍”
勒索病毒家族 TOP 5 快來(lái)看清真面目
《緊急預警:Globelmposter再次攻擊醫療行業(yè),爆“十二生肖”2.0新變種》
《Globelmposter勒索病毒最新變種預警:從“十二生肖”到“十二主神”,為何國內醫療行業(yè)最受傷?》
《GlobeImposter勒索病毒新變種C4H東山再起》
《Globelmposter勒索病毒最新變種預警:從“十二生肖”到“十二主神”,為何國內醫療行業(yè)最受傷?》
《GlobeImposter勒索病毒新變種C4H東山再起》
《3.25 億!REvil 勒索團伙又出動(dòng),深信服 EDR 來(lái)給用戶(hù)打個(gè)“勒索病毒預防針”》
《技術(shù)揭秘:勒索蘋(píng)果代工廠(chǎng)5000萬(wàn)美元的REvil有什么不同?》
《Sodinokibi新變種呈現定制化,疑似團伙連續作案》
《準備交贖金?當心Phobos勒索病毒二次加密!》
《利用IQY(Excel Web Query)文件分發(fā),Buran勒索病毒又出新變種》
《Hospit勒索變種瞄準制造業(yè),深信服首發(fā)解密工具》
3大攻擊演變
勒索病毒持續翻新 防病毒要打持久戰
盡管勒索病毒活躍家族的格局依然穩定,但在巨大經(jīng)濟利益的驅使下,勒索團伙不斷研究病毒的變種及攻擊形式,使其不斷進(jìn)行自我進(jìn)化。
1. 從“加密數據”到 “三重勒索”的改變
先從最初的單一加密勒索演化到“雙重勒索”,即在加密前攻擊者會(huì )先竊取大量受害者敏感數據,威脅受害者如果不繳納贖金則公開(kāi)數據。而近期演化出的“三重勒索”模式,則是在雙重勒索的基礎上增加了DDoS攻擊威脅。
Avaddon勒索團伙發(fā)布勒索聲明,圖片來(lái)源:Hackread.com
2. 從“散裝攻擊”到“定向攻擊”的轉型
早期的勒索病毒攻擊靠批量掃描發(fā)現薄弱點(diǎn),目標較為分散,主要分布于中小企業(yè),行業(yè)范圍沒(méi)有限制。但近期,勒索攻擊與高級持續性威脅相結合,演化出針對高價(jià)值目標的定向勒索,例如制造業(yè)、金融、醫療等。更有甚者,在攻擊前會(huì )研究企業(yè)的經(jīng)濟狀況,根據其支付能力決定贖金多少。
海外廠(chǎng)商報道勒索團伙會(huì )根據金融時(shí)報決定下個(gè)攻擊目標
3. 從“單一平臺”到“多種平臺”的擴展
目前為止,受勒索病毒影響最普遍的仍然是 Windows 系統,但近年來(lái),逐漸出現了針對 Windows 以外的勒索病毒。早在2018年,深信服終端安全團隊曾報道過(guò)一款名為 Lucky 的跨平臺勒索病毒,利用 Tomcat 漏洞針對 Linux 和 Windows 系統進(jìn)行無(wú)差別攻擊。
深信服千里目報道《國內首例!Lucky勒索病毒攻擊Linux與Windows》
4+7+1勒索病毒防治藥方
科學(xué)抗病毒,深信服奉上“靈丹妙藥”
深信服基于多年來(lái)為1000+各行業(yè)用戶(hù)提供有效的勒索病毒防護,在實(shí)踐中沉淀出系統性解決方案。面對勒索病毒新的變化趨勢,深信服推出「4+7+1勒索病毒防治藥方」,其中全新升級的勒索病毒防護解決方案,將幫助用戶(hù)更有效應對高級勒索威脅。
深信服「4+7+1勒索病毒防治藥方」
- 4個(gè)預防動(dòng)作,提升免疫力
- 7絕句快速響應,病毒來(lái)了不慌張
- 1套勒索病毒防護解決方案,全方位貼心防護
- 防治藥方:4個(gè)預防動(dòng)作,提升免疫力
當“病毒”在進(jìn)化,攻擊團伙在努力,這注定是一場(chǎng)沒(méi)有硝煙的“戰爭”。正如有些人往往等病重了才去看病,多數企業(yè)在被勒索后才“病急亂投醫”,但造成的嚴重損失已無(wú)法挽回。科學(xué)的“防疫藥方”在于事前預防,為企業(yè)網(wǎng)絡(luò )安全“戴緊口罩”。
1.資產(chǎn)管理:管理資產(chǎn)是安全運營(yíng)工作的基礎工作,明確資產(chǎn)對象,形成資產(chǎn)臺賬,是后續安全運營(yíng)工作能夠順利開(kāi)展的關(guān)鍵要素。
2.風(fēng)險排查及修復:定期排查企業(yè)網(wǎng)絡(luò )中的風(fēng)險項,包括高危可利用漏洞、高危端口、設備弱口令以及安全設備策略等,及時(shí)對風(fēng)險項進(jìn)行加固調整,減少暴露面,同時(shí)應關(guān)注安全設備上攻擊事件和勒索事件的實(shí)時(shí)告警,進(jìn)行快速響應。
3.有效備份:針對業(yè)務(wù)類(lèi)型選擇合適的備份,核心數據盡量定期異地備份,若不幸失陷,備份恢復能夠將損失最小化。
4.安全意識:人是企業(yè)安全防范中最薄弱的環(huán)節,很多內部風(fēng)險的起因往往是由于人的安全意識匱乏導致,因此,內部安全意識培養十分重要。
- 防治藥方:7絕句快速響應,病毒來(lái)了不慌張
正如新冠病毒爆發(fā)初期,當事態(tài)發(fā)展到難以控制的局面,在有關(guān)專(zhuān)家的呼吁下,大部分人才開(kāi)始覺(jué)醒:如果在疫情發(fā)展初期足夠重視,可以將風(fēng)險降到可控范圍的最低狀態(tài)。因此如果不慎中了勒索病毒,不用慌張,深信服為你送上“快速響應七絕句”:
- 梳理資產(chǎn),確認災情:盡快判斷影響面,有利于后續工作開(kāi)展及資源投入,確認感染數量、感染終端業(yè)務(wù)歸屬、感染家族等詳情。
- 保留現場(chǎng),斷開(kāi)網(wǎng)絡(luò ):盡快斷網(wǎng),降低影響面,保留現場(chǎng),不要輕易重啟或破壞(若發(fā)現主機還沒(méi)完成加密的情況,可以即刻斷電,交給專(zhuān)業(yè)安全人員處理),避免給后續溯源分析、解密恢復帶來(lái)困難。
- 確認訴求,聚焦重點(diǎn):受害者企業(yè)必須明確核心訴求(數據解密、加固防御、入侵分析、樣本分析、企業(yè)內網(wǎng)安全狀況評估等),應急響應人員必須根據核心訴求,按照緊急程度依次開(kāi)展工作。
- 樣本提取,數據收集:通過(guò)人工排查或工具掃描定位感染設備中是否還有勒索病毒文件、黑客工具文件殘留,進(jìn)行采樣提取,并對勒索信息文件、加密后綴、系統日志等信息進(jìn)行即時(shí)的保存。
- 判斷家族,嘗試解密:根據勒索信息文件和加密后綴進(jìn)行家族搜索,確認是否有解密工具;如果獲取到解密工具,需要將原加密數據備份后再進(jìn)行解密,謹防損壞后永久性丟失數據。
- 溯源取證,封堵源頭:通過(guò)對主機日志、安全產(chǎn)品日志的詳細排查,定位入侵來(lái)源,還原攻擊過(guò)程,盡快對攻擊入口進(jìn)行封堵。
- 加固防御,以絕后患:針對事件暴露的安全風(fēng)險點(diǎn)進(jìn)行較為完整的安全加固。
- 防治藥方:1套勒索病毒防護解決方案,全方位貼心防護
如果說(shuō),遭遇勒索病毒是“天災”, 缺乏常態(tài)化安全防御是“人禍”,那么,為防護企業(yè)數據安全,需要購買(mǎi)一份“醫療健康保險”——深信服勒索病毒防護解決方案。
深信服全新升級的勒索病毒防護解決方案,以“安全設備+勒索預防與響應服務(wù)”為基礎,圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈,全面幫助用戶(hù)補齊在勒索預防、監測、處置能力方面的缺失,構建有效預防、持續監測、高效處置的勒索病毒防護體系。
3大功效,強力對抗勒索病毒
- 全面排查,有效防御:在勒索發(fā)生之前,通過(guò)深信服下一代防火墻AF內置的防勒索策略模板攔截網(wǎng)絡(luò )投毒攻擊,并通過(guò)深信服終端檢測響應平臺EDR對終端提供登錄保護與病毒查殺,同時(shí),安全服務(wù)人員基于大量勒索病毒Checklist協(xié)助消除勒索隱患,并進(jìn)行防御策略調優(yōu),降低被勒索的概率。
- 持續監測,全程保護:深信服安全感知平臺SIP可基于全流量監測分析,快速發(fā)現查殺失敗并在內網(wǎng)開(kāi)始擴散的疫情,同時(shí)安全服務(wù)專(zhuān)家提供7*24h持續監測服務(wù),發(fā)現疫情后主動(dòng)進(jìn)行預警。
- 快速響應,高效處置:一旦新型病毒攔截查殺失敗,開(kāi)始在內網(wǎng)爆發(fā),安服人員可在5分鐘內快速響應,第一時(shí)間聯(lián)動(dòng)SIP和EDR隔離病毒源遏制疫情擴散,同時(shí)通過(guò)網(wǎng)端關(guān)聯(lián)舉證分析,進(jìn)一步定位病毒文件,線(xiàn)上線(xiàn)下協(xié)助用戶(hù)最終完成病毒清除和業(yè)務(wù)恢復,降低業(yè)務(wù)損失。
來(lái)源:深信服科技
《2021上半年勒索病毒趨勢報告》
現已正式發(fā)布!
想看完整版報告?
掃描下方二維碼,添加信服君
即可免費獲取完整報告!
