正文内容 评论(0)
6月初,GandCrab勒索病毒运营团队宣称在一年半的时间内获利20亿美元,全球为之震惊。攻击者疯狂敛财的背后,勒索病毒已成时下备受关注的网络安全问题之一,同时GandCrab的“商业成功”引爆黑灰产领域更多的贪欲。可以预见,未来会有越来越多的勒索病毒将持续展开破坏行动,势必会给企业日常生产经营造成极大的损害。
当前,各类勒索病毒以勒索破坏交通、能源、医疗等社会基础服务设施为首要目标,上半年曾先后制造多起大面积的勒索事件,影响力和破坏力显著增强,也再次证明网络安全建设刻不容缓。近日,腾讯安全正式对外发布《2019年上半年勒索病毒专题报告》(以下简称《报告》),该《报告》就勒索病毒形式、常见套路、演变方式以及防御方案等方面给出了详细的剖析,为安全厂商、企业网络管理人员等网络安全从业者了解上半年勒索病毒总体情况提供有益参考。
谁感染了勒索病毒?粤鲁豫川苏、传统行业、密码简单
《报告》显示,各类勒索病毒在整个上半年攻击设备数超250万,整体呈现上升趋势,预计下半年仍将缓慢上升。从感染地域分布来看,目前勒索病毒在全国各地均有不同程度影响,以广东、山东、河南、四川、江苏等地区受害最为严重。同时,其感染行业也有规律可循,以传统行业与教育行业受害最为严重,互联网、医疗、企事业单位紧随其后。
目前,企业服务器已逐渐成为勒索病毒重点“瞄准”的目标之一。近期,腾讯安全御见威胁情报中心监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击,进而植入门罗币挖矿木马及anydesk远程控制软件占有服务器,伺机侵占更多服务器资源谋取暴利。从实际情况来看,近半年攻击者针对弱口令爆破攻击的勒索案例骤增,说明用户对服务器的保护策略有待进一步提高,《报告》建议企业网管使用安全的密码策略和高强度密码,防止类似爆破攻击事件再次发生。
尽管勒索病毒“偏爱”爆破,但事实说明,其他攻击手段也同样不容小觑。《报告》显示,勒索病毒的主要攻击方式依然以弱口令爆破攻击为主,其次为通过海量的垃圾邮件传播,而利用高危漏洞/漏洞工具包主动传播的方式紧随其后,占比依次为34%、20%、18%,整体攻击方式呈现多元化特征。
勒索病毒迈入“家族式”协作时代 五种常见表现形式需提防
伴随着勒索产业的迅速发展壮大,勒索病毒在经历“单打独斗”的发展时期后,已呈现出组织团伙化、产业链条化的显著特征。典型的勒索病毒作案实施过程中,往往包括勒索病毒作者、勒索者、传播渠道商、代理、受害者5个角色,从业人员之间的分工十分明确。
具体来说,勒索病毒作者负责勒索病毒编写制作直接对抗安全软件;勒索者定制专属病毒,并联系传播渠道商进行投放;代理向受害者假称自己能够解密各勒索病毒加密的文件,实则与勒索者合作,共同赚取受害者的赎金。值得一提的是,网络上搜索到的可支持勒索病毒解密的公司,竟然也是参与勒索病毒黑色产业链的中间代理。
从具体作案手法来看,勒索病毒攻击的表现形式也逐渐呈现多样性和差异性,腾讯安全技术专家对此总结了上半年网络勒索的五大套路:第一、数据加密勒索:勒索病毒加密用户数据后索取数字货币;第二、系统锁定勒索:攻击者将用户系统锁定无法登陆,在部分真实攻击场景中结合数据加密勒索方式共同实施;第三、数据泄露勒索:威胁泄露企业商业机密,敲诈企业支付一定金额的赎金;第四、诈骗恐吓式勒索:利用伪造的勒索邮件恐吓用户,进而实施诈骗勒索;第五、破坏性加密数据掩盖入侵真相:以勒索病毒加密数据破坏信息系统为幌子,掩盖攻击者入侵的真实目的,极易将系统直接搞崩溃。
随着互联网的发展和成熟,各类勒索病毒正在快速迭代并迅速传播、开始肆虐全球,国内外勒索病毒攻击事件日渐频发,挖矿木马和勒索病毒一体化趋势明显,网络安全形势依然严峻。《报告》指出,勒索病毒与安全软件的对抗加剧、传播场景多样化、攻击目标锁定企业用户、技术迭代加快、赎金提高、加密对象升级、病毒开发门槛降低、感染趋势不断上升等将会成为勒索病毒未来发展的主要趋势。
如何打击勒索病毒犯罪?腾讯安全这样做
面对未知、突发性的勒索病毒,采取主动事前防御的办法,无疑是保护企业信息安全的的关键所在。因此,依赖高新技术的安全工具已经在网络安全中发挥了重要作用。
目前,国内外安全厂商积极配合执法部分对勒索病毒犯罪进行打击,并且取得了显著的成果。去年底,“12.05”特大新型勒索病毒爆发,在该病毒出现数小时后,腾讯电脑管家接到用户的举报。经过严密追踪和分析,很快破解了病毒的加密机制,并推出多个版本的解密工具。在快速锁定犯罪嫌疑人相关线索后,腾讯安全团队第一时间将案情举报给警方。最终东莞网警在广东省公安厅网警总队的统筹指挥下,24小时内火速侦破此次特大新型勒索病毒破坏计算机信息系统案,并抓获病毒研发制作者1名,缴获木马程序和作案工具一批,防止损失进一步扩大,更好地保护用户支付和财产安全。
此外,针对勒索病毒的危害,腾讯安全在腾讯电脑管家和腾讯御点终端安全管理系统上推出文档守护者功能,提供了一套相对完善的数据备份恢复方案,帮助用户解密数据。2019上半年,有数千万用户启用了内置的文档守护者功能,内置的自研解密方案成功为上千名勒索病毒受害者提供了解密服务,并帮助受害用户成功恢复加密文件。
面对日益猖獗的勒索病毒,对于各企事业单位和政府机构的系统而言,最重要的任务就是对资料进行备份。为此,《报告》提出“三不三要”思路,即标题吸引人的未知邮件不要点开、不随便打开电子邮件附件、不随意点击电子邮件中的附带网址;重要资料要备份、开启电子邮件前确认发件人可信、系统补丁/安全软件病毒库保持实时更新。
同时,需要定期针对网络安全进行安全培训,提高企事业单位及政府机构的网络安全意识,关闭不必要的端口和共享文件;使用腾讯御点终端安全管理系统的漏洞修复功能,及时修复系统高危漏洞;推荐部署腾讯御界高级威胁检测系统检测可能的黑客攻击,该系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。
此外,《报告》还提醒,重要的关键业务系统必须做好“三二一原则”灾备方案,即重要文档资料保存三份,利用至少两种不同的存储载体,其中至少有一份资料保存在异地,以此随时应对意外情况发生。