近年来,勒索软件已经成为全球企业和组织面临的主要网络安全威胁之一,是攻击者用作牟取非法经济利益的犯罪工具。一旦被勒索软件攻击,企业和组织的正常运营将受到严重影响,往往会导致业务中断、数据被加密和被窃取。本月,勒索病毒攻击形势依旧严峻,企业被勒索病毒攻击的事件层出不穷。
受害者所在地区分布
美创安全实验室威胁平台显示,1月份国内遭受勒索病毒的攻击中,江苏、上海、浙江、广东最为严重,其它地区也遭受到不同程度的攻击。
勒索病毒影响行业分布
从行业划分来看,数据价值较高的传统行业、医疗、教育、政府机构、互联网等行业仍是勒索病毒的主要攻击目标。
勒索病毒家族分布
勒索病毒传播方式
下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出,可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。
Phobos
TellYouThePass
BeijingCrypt
上海某企业遭受BeijingCrypt攻击
1月初,上海某企业遭受BeijingCrypt勒索病毒攻击,此次攻击事件导致多台服务器遭到了破坏,多个服务受到影响。据悉,该企业服务器上的文件被加密锁定,文件名也被篡改为“.360”后缀,并且已无法正常打开,通过后缀可确定该病毒为BeijingCrypt勒索病毒。
2.BeijingCrypt勒索病毒的攻击目标依然是Windows服务器。当BeijingCrypt勒索病毒成功入侵服务器之后,会将服务器作为僵尸机,然后对网络中存在漏洞的其它计算机进行扫描并尝试入侵。
Phobos勒索病毒攻击浙江某企业
浙江某企业披露其在1月中旬遭到勒索病毒攻击,其内部服务器上的所有文件都被加密,并添加了“.[[email protected]].Devos”后缀,这也导致了部分业务的瘫痪。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Phobos勒索病毒旗下的最新变种。该勒索病毒主要通过爆破远程桌面,入侵后进行手动执行加密程序。
2.企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁。
江苏某公司遭遇Mallox勒索病毒攻击
1月下旬,位于江苏省的某公司遭受Mallox勒索病毒攻击,攻击者对多台机器设备进行了数据加密。该公司内部人员表示,在发现问题后,处于高度谨慎,已中断了部分网络进行隔离,并立即开始调查和解决问题。
2.Mallox 勒索病毒从2022年发展至今,不断更新变种,且异常活跃。
(一)隔离中招主机
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
(三)联系专业人员
面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑩ 安装诺亚防勒索软件,防御未知勒索病毒。
为了更好地应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加统一的异常后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。
原文始发于微信公众号(第59号):美创科技发布《2023年1月勒索病毒威胁报告》
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论