美创安全实验室威胁平台显示,2022年勒索病毒的攻击次数在8月份最多,主要是由于TellYouThePass勒索病毒家族利用安全漏洞针对国内中小微企业发起大规模勒索攻击造成的。
勒索病毒影响行业分布
美创安全实验室威胁平台显示,2022年国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。其中,部分传统行业的企业由于大量设备疏于安全加固与漏洞修复,受勒索病毒感染严重。
Phobos
Phobos勒索软件从2019年开始在全球流行,并一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。
Mallox
Mallox(又被称作Target Company)最早出现于2021年7月中旬,并在2021年11月开始进入国内。其采用RaaS(勒索软件即服务)模式运营,将企业作为其攻击目标。Mallox病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。
TellYouThePass
Tellyouthepass勒索病毒出现于2020年7月,主要以集成各种漏洞利用工具来进行传播,曾经利用过MS16-032内核提权、“永恒之蓝”等漏洞,在2021年底Apache Log4j2组件漏洞曝光后,迅速集成了武器库,发动了大批量的攻击。
Makop
Makop勒索病毒出现于2020年1月下旬,目前已知主要通过恶意邮件渠道传播。Makop病毒加密的方式,是通过本地生成一个随机的AES BLOB,使用RSA公钥对其进行加密后放到被加密文件尾部,同时用上述随机AES密码对文件内容进行加密,全盘加密完成后对内存中使用到的随机AES BLOB进行了清理。
BeijingCrypt
BeijingCrypt勒索家族最早出现于2020年7月初,主要通过暴力破解远程桌面口令后手动投毒。该病毒早期传播因修改文件后缀为“.beijing”而被命名为BeijingCrypt,之后出现的变种会将被加密文件后缀修改为“.520”和“.360”。攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。
位于天津的某企业披露其在2022年4月初遭到RushQL勒索病毒攻击,导致部分数据库被加密。RushQL是针对数据库的勒索病毒 ,相比其他勒索病毒而言,RushQL专门针对数据库设计、并且具备一定潜伏期和隐蔽性,危害极大。
2022年5月中旬,浙江某厂商遭遇勒索软件攻击。该企业服务器上的软件无法正常启动,服务器上的文件也被加密锁定,并增加了“.bozon”后缀。根据后缀可以判断此次病毒为Mallox勒索家族的一个变种。Mallox勒索家族在今年不断变种,每一个变种都在升级改变加密算法。
山东某企业遭TellYouThePass勒索家族攻击,该企业内部人员透露:2022年8月末,其部分服务器和员工电脑被攻击后中毒,中毒计算机的文件全部被锁定为“.locked”后缀结尾,并在文件夹自动生成“READ_ME.html”文件。从病毒攻击者留下的勒索信来看,需要支付0.2个比特币。根据此次的加密后缀,初步判断为TellYouThePass勒索病毒的变种。TellYouThePass勒索家族针对某厂商软件存在的0day漏洞进行批量利用,导致2022年8月28日起,大量用户计算机文件被该病毒加密。
2022年10月,河南某企业遭遇Phobos勒索软件攻击,导致数十台服务器沦陷。在该企业发现攻击并采取措施加以遏制之后,攻击者也要求大笔赎金以帮助受害者恢复被加密的数据。据该企业内部人士称,此次攻击影响了部分业务的运行,因为部分重要数据存储在该数据库系统中无法获得。
2022年11月初,辽宁某企业遭到勒索病毒攻击,服务器大面积沦陷。在攻击期间,勒索软件操控者设法获得对内部服务器的控制权后,在服务器上安装了Monster勒索软件。为了防止攻击进一步蔓延,该企业关闭了部分系统。据悉,Monster 勒索软件于 2022 年 7 月初采用 Raas模式在俄罗斯黑客论坛 Ramp 发布。
“间歇性加密”策略
越来越多的勒索软件组织正在采用“间歇性加密”策略,这种加密方法可更快地加密受害者系统,同时有助于勒索软件组织逃避检测系统,并减少被阻止的几率。间歇性加密只加受害者文件的部分内容,但如果不使用有效的解密程序或密钥,仍然无法恢复数据。LockFile勒索软件是首批使用间歇性加密来逃避检测机制的主要勒索软件之一,每隔16个字节加密一次文件。此后越来越多的勒索软件组织都应用了这一策略。
跨平台勒索软件日益流行
Rust 和 Golang 编写的跨平台勒索软件成为“新一代”勒索软件群体的武器。使用跨平台语言可以提升勒索软件的灵活性,有助于在实施攻击时快速调整其策略,使其目标多样化,便于进行更大规模、跨平台的攻击。
从“单次勒索”到“双重勒索”再到“三重勒索”
先从最初的单一加密勒索演化到“双重勒索”,即在加密前攻击者会先窃取大量受害者敏感数据,威胁受害者如果不缴纳赎金则公开数据。而近期演化出的“三重勒索”模式,则是在双重勒索的基础上增加了DDoS攻击威胁。
勒索软件生态系统正在变得更加“工业化”
就像合法的软件公司一样,网络犯罪组织也在不断地为自己和他们的客户开发“工具包”:例如,使数据泄露的过程更快、更容易。目前网络上有非常多成熟的“工具”可以提供给攻击者使用,这使得攻击者在编写勒索软件时非常高效和快捷,这也是勒索软件层出不穷的原因。
(一)隔离中招主机
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
(三)联系专业人员
面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑩ 安装诺亚防勒索软件,防御未知勒索病毒。
为了更好地应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加统一的异常后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。
原文始发于微信公众号(第59号):美创科技发布《2022勒索病毒威胁年度报告》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论