近日,騰訊安全聯(lián)合南方都市報(bào)正式對(duì)外發(fā)布《2021上半年勒索病毒趨勢(shì)報(bào)告及防護(hù)方案建議》(以下簡(jiǎn)稱“報(bào)告”)?!秷?bào)告》顯示,盡管2021年上半年相比去年同時(shí)期,勒索病毒的攻擊態(tài)勢(shì)稍有下降,但勒索事件仍然頻發(fā),僅2021年第一季度,就發(fā)生了多起國(guó)際知名企業(yè)被勒索的案件,并且贖金持續(xù)刷新紀(jì)錄。就在今天,美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline受到勒索軟件攻擊,被迫關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。
2020/2021勒索病毒1-4月攻擊態(tài)勢(shì)對(duì)比圖
值得關(guān)注的是,目前尚未出現(xiàn)對(duì)付勒索病毒的“銀彈”,應(yīng)對(duì)勒索病毒的核心原則仍然是以事前防范為主。騰訊安全也對(duì)全球勒索病毒深入分析及研判,挖掘其中涉及的安全漏洞、入侵手法和攻擊工具,為個(gè)人及企業(yè)用戶提供網(wǎng)絡(luò)安全防護(hù)。
勒索病毒不斷活躍 全球損失高達(dá)數(shù)十億美元
2017年5月12日,WannaCry勒索病毒在全球范圍爆發(fā),形成一場(chǎng)影響全球的蠕蟲(chóng)病毒風(fēng)暴。此后四年間,勒索病毒頻繁將魔爪伸向企業(yè)及個(gè)人用戶。
從《報(bào)告》顯示數(shù)據(jù)可以看出,在2021年上半年,GlobeImposter家族和具有系列變種的Crysis家族等老牌勒索病毒依然活躍,而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有著廣泛流行的趨勢(shì)。其中大部分勒索病毒都有著變種多、針對(duì)性高、感染量上升快等特點(diǎn),像Sodinokibi、Medusalocker等病毒甚至呈現(xiàn)針對(duì)國(guó)內(nèi)系統(tǒng)定制化的操作。毫無(wú)疑問(wèn),不斷數(shù)字化轉(zhuǎn)型升級(jí)的國(guó)內(nèi)企業(yè)已經(jīng)成為諸多勒索病毒攻擊的重點(diǎn)目標(biāo)。
從區(qū)域上來(lái)看,國(guó)內(nèi)遭受勒索病毒攻擊中,廣東、浙江、山東、湖北、河南、上海、天津較為嚴(yán)重,其它省份也有遭受到不同程度攻擊。而數(shù)據(jù)價(jià)值較高的傳統(tǒng)行業(yè)、醫(yī)療、政府機(jī)構(gòu)遭受攻擊較為嚴(yán)重,占比依次為37%、18%、14%,總計(jì)占比高達(dá)69%。例如在2020年的8月和11月,多家傳統(tǒng)企業(yè)就先后遭到勒索病毒的攻擊,勒索團(tuán)伙均要求企業(yè)支付高額贖金,否則將把盜竊數(shù)據(jù)在暗網(wǎng)出售。
2021年1-4月勒索病毒受災(zāi)地域分布圖
但目前不少企業(yè)機(jī)構(gòu)均升級(jí)了網(wǎng)絡(luò)安全措施,有效防止了勒索軟件損失的擴(kuò)大化,也從一定程度上,反映了“支付贖金”的應(yīng)對(duì)策略正在失效。
針對(duì)企業(yè)用戶定向攻擊 未來(lái)勒索病毒將更加多樣化、高頻化
從最初的零星惡作劇,到現(xiàn)在頻發(fā)的惡意攻擊,勒索病毒為何能夠如“野草”般生命力頑強(qiáng),肆意生長(zhǎng)?
首先,勒索病毒加密手段復(fù)雜,解密成本高;其次,使用電子貨幣支付贖金,變現(xiàn)快、追蹤難;最后,勒索軟件服務(wù)化的出現(xiàn),讓攻擊者不需要任何知識(shí),只要支付少量的租金就可以開(kāi)展勒索軟件的非法勾當(dāng),大大降低了勒索軟件的門(mén)檻,推動(dòng)了勒索軟件大規(guī)模爆發(fā)。
勒索病毒作案實(shí)施過(guò)程圖
根據(jù)市面較為高發(fā)的勒索病毒特征,《報(bào)告》將勒索病毒的傳播手段分為6個(gè)方向:弱口令攻擊、U盤(pán)蠕蟲(chóng)、軟件供應(yīng)鏈攻擊、系統(tǒng)/軟件漏洞、“無(wú)文件”攻擊技術(shù)、RaaS。勒索病毒團(tuán)伙在利用這些傳播手段入侵目標(biāo)系統(tǒng)后,會(huì)利用工具將失陷網(wǎng)絡(luò)的機(jī)密數(shù)據(jù)上傳到服務(wù)器,然后實(shí)施勒索。
隨著全球數(shù)字化的不斷加速,越來(lái)越多企業(yè)將業(yè)務(wù)遷移到云端。由于企業(yè)用戶數(shù)據(jù)價(jià)值較高,但很多企業(yè)對(duì)于云上網(wǎng)絡(luò)安全態(tài)勢(shì)并沒(méi)有足夠的準(zhǔn)備。因此在未來(lái)一段時(shí)間,針對(duì)企業(yè)用戶進(jìn)行定向攻擊,將是勒索病毒的重要目標(biāo)之一,而且隨著技術(shù)的普及、勒索病毒產(chǎn)業(yè)鏈的成熟,病毒也將變得更加多樣化、高頻化。同時(shí),《報(bào)告》還指出,目前Mac OS和Android等平臺(tái)也已陸續(xù)出現(xiàn)勒索病毒,隨著Windows的防范措施完善,未來(lái)不法黑客也可能轉(zhuǎn)向攻擊其他平臺(tái)。
升級(jí)網(wǎng)絡(luò)安全措施,做好事前防范是關(guān)鍵
面對(duì)層出不窮的勒索病毒,無(wú)論是企業(yè)還是個(gè)人用戶,都應(yīng)該重視網(wǎng)絡(luò)安全措施,做好事前防范。在《報(bào)告》中提出了“三不三要”思路,即不上鉤、不打開(kāi)、不點(diǎn)擊、要備份、要確認(rèn)、要更新。提醒所有用戶面對(duì)未知郵件要確認(rèn)發(fā)件人可信,否則不要點(diǎn)開(kāi)、不要隨便打開(kāi)電子郵件附件,更不要隨意點(diǎn)擊電子郵件中的附帶網(wǎng)址;同時(shí)重要的資料要備份,并保持系統(tǒng)補(bǔ)丁/安全軟件病毒庫(kù)的實(shí)時(shí)更新。
騰訊安全解決方案體系結(jié)構(gòu)圖
此外,《報(bào)告》建議企業(yè)用戶全網(wǎng)安裝部署終端安全管理軟件,推薦使用騰訊零信任無(wú)邊界訪問(wèn)控制系統(tǒng)(iOA);針對(duì)一些大中型企業(yè),建議采用騰訊高級(jí)威脅檢測(cè)系統(tǒng)(NTA)監(jiān)測(cè)內(nèi)網(wǎng)風(fēng)險(xiǎn)。同時(shí),企業(yè)用戶還可通過(guò)訂閱騰訊安全威脅情報(bào)產(chǎn)品,讓全網(wǎng)所有安全設(shè)備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。針對(duì)個(gè)人用戶,《報(bào)告》推薦使用騰訊電腦管家并啟用文檔守護(hù)者,目前該功能已集成針對(duì)主流勒索病毒的解密方案,并提供完善的數(shù)據(jù)備份方案,為數(shù)千萬(wàn)用戶提供文檔保護(hù)恢復(fù)服務(wù)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )