针对全球关键公司的勒索软件和数据黑客的兴起似乎是网络犯罪的一种趋势。目前从全球勒索软件攻击的角度来看,2021年5月份非常引人注目。
全球勒索软件攻击5月的大图如下(按行业和受害者数量分组):
带来这些见解的目的是更好地揭露和理解识别全球勒索行业模式,我们无意强调任何特定的违规行为。
一些主要发现是:
Avaddon和Conti是最活跃的勒索软件组织
总共超过 2400 名受害企业或机构(自 2019 年以来)
参见:全球目前约有2445个组织受到勒索软件攻击(附组织名单)
勒索软件组织的主要目标是制造、建筑和金融服务。
受影响最严重的地区排名前三是美国、德国和英国。
建议:
-
CISA已发布详细文档以解决与勒索软件相关的风险。(见参考2)
-
为远程访问 OT 和 IT 网络启用多因素身份验证。
-
启用强大的垃圾邮件过滤器以防止网络钓鱼电子邮件到达最终用户。过滤包含可执行文件的电子邮件,防止其到达最终用户。
-
针对鱼叉式网络钓鱼实施用户培训计划和模拟攻击,以阻止用户访问恶意网站或打开恶意附件,并加强用户对鱼叉式网络钓鱼电子邮件的适当响应。
-
过滤网络流量以禁止与已知恶意 IP 地址的进出通信。通过实施 URL 阻止列表和/或许可名单来防止用户访问恶意网站。
-
及时更新软件,包括 IT 网络资产上的操作系统、应用程序和固件。考虑使用集中式补丁管理系统;使用基于风险的评估策略来确定哪些 OT 网络资产和区域应参与补丁管理计划。
-
限制对网络资源的访问,尤其是通过限制 RDP。在评估风险后,如果认为 RDP 在操作上是必要的,则限制原始来源并要求进行多因素身份验证。
-
设置防病毒/反恶意软件程序,以使用最新签名定期扫描 IT 网络资产。使用基于风险的资产清单策略来确定如何识别和评估 OT 网络资产是否存在恶意软件。
-
从通过电子邮件传输的 Microsoft Office 文件中禁用宏脚本。考虑使用 Office Viewer 软件打开通过电子邮件传输的 Microsoft Office 文件,而不是完整的 Microsoft Office 套件应用程序。
-
实现应用程序允许列表,只允许系统执行安全策略已知和允许的程序。实施软件限制策略 (SRP) 或其他控制措施,以防止程序从常见勒索软件位置执行,例如支持流行网络浏览器的临时文件夹或压缩/解压缩程序,包括 AppData/LocalAppData 文件夹。
-
监控和/或阻止从 Tor 出口节点和其他匿名化服务到不需要外部连接的IP地址和端口(即除了 VPN 网关、邮件端口、Web 端口)的入站连接。
参考:
1.https://cybleinc.com/2021/06/09/ransomware-attacks-trends-may-2021-snapshot
2.https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf
原文始发于微信公众号(红数位):全球勒索软件攻击趋势2021年5月快照
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论