本月,勒索病毒感染趋势有所下降,主要为各勒索家族活跃度降低导致,但同时Mallox勒索家族的活跃度有所上升。
2022年1月
勒索病毒状况总览
美创安全实验室威胁平台显示,勒索病毒攻击在地区分布方面,依然是经济活跃地区的威胁比其他地区要严重。
根据美创安全实验室威胁平台统计的数据显示,数据价值较高的传统行业、医疗、教育、政府机构遭受攻击较为严重。这一现象可能与这些行业的性质有关:受影响的头部行业往往资金规模较大且业务对信息系统的依赖程度较高,同时勒索病毒对企业声誉的影响也愈加明显。并且由于大量设备疏于安全加固与漏洞修复,进而让勒索的赎金和成功率均获得显著增加。
下图是美创安全实验室对勒索病毒监测后所计算出的1月份勒索病毒家族流行度占比分布图。Phobos家族占比22%居首位,其次是占比15%的Globeimposter,Mallox家族以12%位居第三。
下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出,可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。
2022年1月
勒索病毒排行榜
Phobos勒索软件从2019年开始在全球流行,并一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。
GlobeImposter 勒索者病毒出现的时间较早,最开始出现于2017年8月。与那些只着眼于大规模企业的勒索者病毒不同,GlobeImposter 勒索者病毒的开发团伙近期开始袭击各种不同规模的目标企业,甚至包括一些小型企业。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件,且加密手法也是勒索病毒中常见的RSA+AES加密算法。
Mallox勒索病毒从去年10月开始活跃,并已经开始对国内目标进行攻击,中毒后主机文件会被加密上“.mallox”后缀。Mallox勒索病毒首先会加一层C#外壳并使用apt攻击中常见的“白加黑”技术绕过安全软件;其次该病毒具备主动传播能力,中毒后可通过文件共享实现蠕虫式传播;最后病毒使用了与“秒搜神器”everything相同的文件检索技术,实现对文件的快速检索及加密。基于以上特点,如果企业内部不慎感染了Mallox勒索病毒,将有可能在短时间内造成大面积文件加密,造成不可挽回的损失。
2022年1月
国内大型勒索事件回顾
1月4日,内蒙古某企业遭BeijingCrypt勒索病毒攻击。在攻击期间,勒索软件操纵者设法获得对内部域管理的控制权后,在服务器上安装了BeijingCrypt勒索软件,并添加了“beijing”扩展名,同时在文件夹自动生成“!RECOVER.txt”文件。该企业在发现攻击后,立刻采取相关措施防止病毒进一步扩散。
在线点评:
1. 主机在感染勒索病毒后,除了自身会被加密,勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机,所以当发现一台主机已被感染,应尽快采取响应措施,以尽可能减少损失。
2. 企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁。
1月6日,位于浙江的某药企遭勒索病毒攻击,感染了其内部多台重要服务器,服务器中的所有文件都被添加了“.id[XXX].[webweb321@firemail.cc].eking”后缀,并且无法正常打开。通过后缀可确定该病毒为Phobos勒索病毒,该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
在线点评:
1. Phobos勒索病毒近期异常活跃。
2. Phobos勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。
1月26日,南京某企业遭遇勒索病毒攻击,攻击者设法渗透了其IT网络,用恶意软件感染其数据库服务器。据了解,此次攻击的病毒为Mallox勒索病毒,该病毒会将数据库、文档等重要文件进行加密,严重危害业务安全。并且,为了绕过杀软及增加分析难度,该病毒加上了一层C#外壳程序隐藏其恶意行为。
在线点评:
1. Mallox勒索病毒近期在国内有所活跃,其特点为加密后的文件将添加“.mallox”扩展后缀。
2. Mallox勒索病毒会在桌面留下勒索信息文件,要求受害者支付巨额的赎金以恢复其加密文件。
攻击北京某企业
1月28日,北京某企业受到Makop勒索家族攻击,此次攻击导致1台服务器中招,服务器上的文件都被添加了“.[XXX].[uSuppor@privatemail.com].mkp”后缀。该企业内部人员表示,在发现问题后,处于高度谨慎,已中断了部分网络进行隔离,以避免威胁的扩散。
在线点评:
1. makop勒索病毒主要通过恶意邮件渠道传播。
2. Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程,以独占文件完成加密;排除部分加密白名单文件不加密;病毒会尝试加密有写权限的网络共享文件;加密结束后,会删除系统卷影信息,以防止用户通过文件恢复功能找回文件。
勒索病毒发展趋势
2022年,勒索病毒威胁早已不再是什么新兴网络安全威胁,它已成为企业日常必需要面对的安全风险之一。而勒索攻击的危害也已经不单单是数据受损、业务中断这么简单。数据泄露和勒索事件给企业和客户带来的声誉损失,以及给企业未来发展埋下的安全隐患等各种不确定的风险,都扩大了企业的损失程度。而这些有形经济损失与无形损失也是其它网络安全风险所无法比拟的。
勒索病毒主要通过钓鱼邮件、网络共享文件、恶意内部人员、社交网络、弹窗和可移动存储介质等进行传播。随着威胁行为者不断对其攻击媒介进行改进,通过电子邮件传播的勒索软件攻击数量正在逐步减少。现在勒索病毒更多利用曝出的各种技术漏洞,以及人员的漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播,乃至通过软件供应链传播,都大大加大了入侵成功率和病毒影响面。
回顾 2021 年勒索攻击事件,可以看到供应链攻击与针对云服务商的攻击。虽然此类攻击在绝对数量上不是最多的,但影响范围却是最广泛的。对云服务商的攻击,往往会造成动辄数百甚至上万家企业受到波及,赎金金额上千万美元也不算罕见。使用供应链攻击与针对云服务商的攻击,将成为未来一段时间内勒索攻击的一个重要风向。
勒索病毒
自救措施介绍
勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结 束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。
(一)隔离中招主机
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1) 物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2) 访问控制
加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
勒索病毒
防御方法总结介绍
面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染。
1. 针对个人用户的安全建议
1)养成良好的安全习惯
①使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
②重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
③使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。不使用弱口令,以防止攻击者破解。
④安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易才去放行操作。
⑤及时给电脑打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。
⑥尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被攻击的风险。
2)减少危险的上网操作
⑦浏览网页时提高警惕,不浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
⑧不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。
⑨电脑连接移动存储设备(如U盘、移动硬盘)时,应首先使用安全软件检测其安全性。
⑩对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
2. 针对企业用户的安全建议
①及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
②尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时定期检查账户情况,做好登记管理。
⑤数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥敏感数据隔离,对敏感业务及其相关数据做好网络隔离,如有必要甚至建议做好设备之间的物理隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦尽量关闭不必要的文件共享。
⑧提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑩安装诺亚防勒索软件,防御未知勒索病毒。
美创诺亚防勒索
防护能力介绍
为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.TIYSV”加密后缀,并且无法正常打开。
开启诺亚防勒索的情况下:双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。
