提交需求
*
*

*
*
*
立即提交
點(diǎn)擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產(chǎn)品與服務(wù)
    解決方案
    技術(shù)支持
    合作發(fā)展
    關(guān)于美創(chuàng)
    申請(qǐng)?jiān)囉?/ul>
      美創(chuàng)科技發(fā)布《2023年8月勒索病毒威脅報(bào)告》
      發(fā)布時(shí)間:2023-09-08 閱讀次數(shù): 1185 次

      勒索病毒是一種極具傳播性、破壞性的惡意軟件,主要利用多種密碼算法加密用戶數(shù)據(jù),恐嚇、脅迫、勒索用戶高額贖金。本月,破壞性勒索事件依舊高發(fā),勒索攻擊形勢(shì)嚴(yán)峻,企業(yè)被勒索病毒攻擊的事件層出不窮。

      2023年8月
      勒索病毒狀況總覽

       0
      受害者所在地區(qū)分布

      從受害者所在地域分布來(lái)看,經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是被攻擊的主要對(duì)象,與前幾個(gè)月采集到的數(shù)據(jù)相比,總體無(wú)較大波動(dòng)。

       0
      勒索病毒影響行業(yè)分布

      從行業(yè)劃分來(lái)看,數(shù)據(jù)價(jià)值較高的教育、互聯(lián)網(wǎng)、醫(yī)療、制造業(yè)遭受的攻擊較為嚴(yán)重。

       0
      勒索病毒家族分布

      下圖是美創(chuàng)第59號(hào)實(shí)驗(yàn)室對(duì)勒索病毒監(jiān)測(cè)后所計(jì)算出的8月份勒索病毒家族流行度占比分布圖。Phobos家族占比17%居首位,TellYouThePass家族占比16%位居第二,LockBit家族以13%位居第三,均為過(guò)往的流行家族。

       0

      勒索病毒傳播方式

      下圖為勒索病毒傳播的各種方式的占比情況。根據(jù)統(tǒng)計(jì)可以看出,勒索病毒的主要攻擊方式依然以遠(yuǎn)程桌面入侵為主,其次利用網(wǎng)站掛馬和高危漏洞等方式傳播,整體攻擊方式呈現(xiàn)多元化的特征。

      2023年8月
      勒索病毒TOP榜

       01 
      Phobos

      Phobos勒索軟件從2019年開始在全球流行,并一直保持著很高的活躍度,并常年占據(jù)勒索病毒榜單前三,其不斷推出新變種,并頻繁通過(guò)RDP暴破、釣魚郵件等方式對(duì)企業(yè)單位及個(gè)人用戶進(jìn)行攻擊,使受害者遭受數(shù)據(jù)財(cái)產(chǎn)的嚴(yán)重?fù)p失,影響十分惡劣。

       02 
      TellYouThePass

      Tellyouthepass勒索病毒最早于2019年3月出現(xiàn)。Tellyouthepass勒索家族慣于在高危漏洞被披露后的短時(shí)間內(nèi)利用漏洞修補(bǔ)的時(shí)間差,對(duì)暴露于網(wǎng)絡(luò)上并存在有漏洞的機(jī)器發(fā)起攻擊。其曾經(jīng)使用過(guò)的代表性漏洞有:“永恒之藍(lán)”系列漏洞、WebLogic應(yīng)用漏洞、Log4j2漏洞、用友OA漏洞、暢捷通漏洞等。

       03 
      LockBit

      LockBit勒索病毒出現(xiàn)于2019年末,并于2021年6月推出了LockBit 2.0版本。2.0版本引入了卷影復(fù)制和日志文件刪除等新功能,使受害者更難恢復(fù)。2022年6月,LockBit勒索病毒家族再次完成升級(jí),并于2022年7月推出LockBit3.0正式版本。最新版的病毒主要在免殺方式又做了更進(jìn)一步的加強(qiáng),持續(xù)優(yōu)化了安全軟件的對(duì)抗能力。

      2023年8月
      國(guó)內(nèi)大型勒索事件回顧

       0
      浙江某企業(yè)遭BeijingCrypt勒索家族攻擊

      來(lái)自浙江的一家企業(yè)近日受到了勒索病毒的攻擊,企業(yè)內(nèi)的一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器中招,服務(wù)器中的重要數(shù)據(jù)被篡改為“.360”后綴,一時(shí)之間業(yè)務(wù)都被擱置。通過(guò)對(duì)被加密樣本的分析檢測(cè),可判斷此次攻擊的病毒為BeijingCrypt勒索家族旗下的病毒變種。該企業(yè)在發(fā)現(xiàn)攻擊后,立即采取措施加以遏制。

      在線點(diǎn)評(píng):
      1.BeijingCrypt勒索病毒的攻擊目標(biāo)依然是Windows服務(wù)器。當(dāng)BeijingCrypt勒索病毒成功入侵服務(wù)器之后,會(huì)將服務(wù)器作為僵尸機(jī),然后對(duì)網(wǎng)絡(luò)中存在漏洞的其它計(jì)算機(jī)進(jìn)行掃描并嘗試入侵。
      2.BeijingCrypt在完成數(shù)據(jù)加密后,會(huì)顯示一個(gè)勒索信息,要求用戶支付一定數(shù)量的加密貨幣才能恢復(fù)文件。
       0
      國(guó)內(nèi)某企業(yè)遭到Lockbit 3.0勒索病毒攻擊

      國(guó)內(nèi)某企業(yè)遭到勒索病毒攻擊,感染了1臺(tái)服務(wù)器,系統(tǒng)中的重要文件都被加密,并且無(wú)法正常打開,影響了部分業(yè)務(wù)的運(yùn)行。根據(jù)對(duì)被加密樣本的分析,可以確定此次攻擊的病毒為L(zhǎng)ockbit 3.0勒索病毒。Lockbit 3.0在執(zhí)行加密時(shí),使用了AES-256和RSA-2048兩種加密算法來(lái)加密服務(wù)器上的重要文件,后綴由隨機(jī)的字母+數(shù)字組成。加密完成后,會(huì)在每個(gè)目錄下生成勒索信息文件,提示受害者如何繳納贖金獲取解密工具。

      在線點(diǎn)評(píng):

      1.LockBit勒索軟件團(tuán)伙自 2019 年 9 月推出勒索軟件即服務(wù) (RaaS) 模式以來(lái)一直十分活躍,并在各大俄語(yǔ)黑客論壇招募威脅行為者進(jìn)行破壞和攻擊,并為他們提供技術(shù)支持。

      2.隨著LockBit病毒3.0版本的發(fā)布,該行動(dòng)引入了勒索軟件團(tuán)伙提供的第一個(gè)漏洞賞金計(jì)劃,要求安全研究人員提交漏洞報(bào)告以換取獎(jiǎng)勵(lì)。
       0
      Mallox勒索病毒攻擊山東某企業(yè)

      位于山東省的某企業(yè)稱其遭到Mallox勒索病毒攻擊。在攻擊期間,勒索軟件操縱者設(shè)法獲得對(duì)內(nèi)部域管理的控制權(quán)后,在服務(wù)器上安裝了Mallox勒索軟件,然后對(duì)目標(biāo)文件進(jìn)行加密并將其擴(kuò)展名更改為“.xollam”,使得用戶無(wú)法再正常打開這些文件。同時(shí),Mallox勒索病毒還留下了文件名為“FILE RECOVERY.txt”的贖金票據(jù)。

      在線點(diǎn)評(píng):

      1.Mallox勒索病毒傳播渠道有多個(gè),包括匿隱僵尸網(wǎng)絡(luò)、橫向滲透以及數(shù)據(jù)庫(kù)弱口令爆破。

      2.Mallox勒索病毒運(yùn)行后迅速加密數(shù)據(jù)庫(kù)文件,導(dǎo)致文件不可用,影響業(yè)務(wù)運(yùn)行,同時(shí)還會(huì)嘗試在內(nèi)網(wǎng)中橫向移動(dòng),獲取更多設(shè)備的權(quán)限并進(jìn)一步擴(kuò)散。
      勒索病毒
      自救措施介紹

      勒索軟件具有強(qiáng)破壞性。一旦運(yùn)行起來(lái),用戶很快就會(huì)發(fā)現(xiàn)其特征,如部分進(jìn)程突然結(jié)束、文件不能打開、文件后綴被篡改、屏保壁紙被更換等。
      當(dāng)我們已經(jīng)確認(rèn)感染勒索病毒后,應(yīng)當(dāng)及時(shí)采取必要的自救措施。之所以要進(jìn)行自救,主要是因?yàn)椋旱却龑I(yè)人員的救助往往需要一定的時(shí)間,采取必要的自救措施,可以減少等待過(guò)程中,損失的進(jìn)一步擴(kuò)大。

      (一)隔離中招主機(jī)

      當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,應(yīng)立即隔離被感染主機(jī),防止病毒繼續(xù)感染其他服務(wù)器,造成無(wú)法估計(jì)的損失。隔離主要包括物理隔離和訪問(wèn)控制兩種手段,物理隔離主要為斷網(wǎng)或斷電;訪問(wèn)控制主要是指對(duì)訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。
      1)  物理隔離
      物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。斷網(wǎng)主要操作步驟包括:拔掉網(wǎng)線、禁用網(wǎng)卡,如果是筆記本電腦還需關(guān)閉無(wú)線網(wǎng)絡(luò)。
      2)  訪問(wèn)控制
      加策略防止其他主機(jī)接入,關(guān)閉感染主機(jī)開放端口如 445、135、139、3389 等。修改感染主機(jī)及同局域網(wǎng)下所有主機(jī)密碼,密碼采用大小寫字母、數(shù)字、特殊符號(hào)混合的長(zhǎng)密碼。

      (二)排查業(yè)務(wù)系統(tǒng)

      在已經(jīng)隔離被感染主機(jī)后,應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查,檢查核心業(yè)務(wù)系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍。

      (三)聯(lián)系專業(yè)人員

      在應(yīng)急自救處置后,建議第一時(shí)間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者,對(duì)事件的感染時(shí)間、傳播方式、感染家族等問(wèn)題進(jìn)行排查。
      勒索病毒
      防御方法介紹

      面對(duì)嚴(yán)峻的勒索病毒威脅態(tài)勢(shì),美創(chuàng)第59號(hào)實(shí)驗(yàn)室提醒廣大用戶,勒索病毒以防為主,注意日常防范措施,以盡可能免受勒索病毒感染:

      ① 及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁,修復(fù)漏洞,包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁,防止攻擊者通過(guò)漏洞入侵系統(tǒng)。

      ② 盡量關(guān)閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關(guān)閉高危端口,降低被漏洞攻擊的風(fēng)險(xiǎn)。

      ③ 不對(duì)外提供服務(wù)的設(shè)備不要暴露于公網(wǎng)之上,對(duì)外提供服務(wù)的系統(tǒng),應(yīng)保持較低權(quán)限。

      ④ 企業(yè)用戶應(yīng)采用高強(qiáng)度且無(wú)規(guī)律的密碼來(lái)登錄辦公系統(tǒng)或服務(wù)器,要求包括數(shù)字、大小寫字母、符號(hào),且長(zhǎng)度至少為8位的密碼,并定期更換口令。

      ⑤ 數(shù)據(jù)備份保護(hù),對(duì)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份,如離線備份,異地備份,云備份等, 避免因?yàn)閿?shù)據(jù)丟失、被加密等造成業(yè)務(wù)停擺,甚至被迫向攻擊者妥協(xié)。

      ⑥ 敏感數(shù)據(jù)隔離,對(duì)敏感業(yè)務(wù)及其相關(guān)數(shù)據(jù)做好網(wǎng)絡(luò)隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù),對(duì)公司業(yè)務(wù)和機(jī)密信息造成重大威脅。

      ⑦ 盡量關(guān)閉不必要的文件共享。

      ⑧ 提高安全運(yùn)維人員職業(yè)素養(yǎng),定期進(jìn)行木馬病毒查殺。

      ⑨ 部署美創(chuàng)數(shù)據(jù)庫(kù)防火墻,可專門針對(duì)RushQL數(shù)據(jù)庫(kù)勒索病毒進(jìn)行防護(hù)。

      ⑩ 安裝諾亞防勒索軟件,防御未知勒索病毒。

      防護(hù)能力介紹
      美創(chuàng)諾亞防勒索

      為了更好地應(yīng)對(duì)已知或未知勒索病毒的威脅,美創(chuàng)通過(guò)對(duì)大量勒索病毒的分析,基于零信任、守白知黑原則,創(chuàng)造性地研究出針對(duì)勒索病毒的終端產(chǎn)品【諾亞防勒索系統(tǒng)】。諾亞防勒索在不關(guān)心漏洞傳播方式的情況下,可防護(hù)任何已知或未知的勒索病毒。以下為諾亞防勒索針對(duì)勒索病毒的防護(hù)效果。

      美創(chuàng)諾亞防勒索可通過(guò)服務(wù)端統(tǒng)一下發(fā)策略并更新。默認(rèn)策略可保護(hù)office文檔【如想保護(hù)數(shù)據(jù)庫(kù)文件可通過(guò)添加策略一鍵保護(hù)】。

      無(wú)諾亞防勒索防護(hù)的情況下:

      在test目錄下,添加以下文件,若服務(wù)器中了勒索病毒,該文件被加密,增加統(tǒng)一的異常后綴,并且無(wú)法正常打開。

      開啟諾亞防勒索的情況下:

      雙擊執(zhí)行病毒文件,當(dāng)勒索病毒嘗試加密被保護(hù)文件,即test目錄下的文件時(shí),諾亞防勒索提出警告并攔截該行為。

      查看系統(tǒng)上被測(cè)試的文件,可被正常打開,成功防護(hù)惡意軟件對(duì)被保護(hù)文件的加密行為。

      開啟堡壘模式的情況下:

      為保護(hù)系統(tǒng)全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對(duì)亞終端,例如ATM機(jī),ATM機(jī)的終端基本不太會(huì)更新,那么堡壘模式提供一種機(jī)制:任何開啟堡壘模式之后再進(jìn)入終端的可執(zhí)行文件都將被阻止運(yùn)行,從而實(shí)現(xiàn)諾亞防勒索的最強(qiáng)防護(hù)模式。

      運(yùn)行在堡壘模式下,執(zhí)行該病毒,立刻被移除到隔離區(qū),因此可阻止任何已知或未知勒索病毒的執(zhí)行。


      上一條:每周安全速遞2??|時(shí)裝公司Forever 21泄露了超539000客戶個(gè)人信息
      下一條:每周安全速遞2??|Lockbit 3.0勒索軟件構(gòu)建器泄露導(dǎo)致多個(gè)新變種出現(xiàn)
      免費(fèi)試用
      服務(wù)熱線

      馬上咨詢

      400-811-3777

      回到頂部