近日��,騰訊安全正式對外發(fā)布《2020上半年勒索病毒報(bào)告》(以下簡稱“報(bào)告”)�����!秷(bào)告》顯示���,上半年全球大型企業(yè)遭受勒索病毒打擊的事件依然高頻發(fā)生。其中��,最活躍的勒索病毒家族發(fā)起針對性極強(qiáng)的大型“狩獵”活動�,對企業(yè)開出天價(jià)解密贖金;新型勒索病毒層出不窮,技術(shù)上不斷進(jìn)化�。而勒索手段也從單純的贖金換密鑰,升級到不給贖金就公開機(jī)密數(shù)據(jù)��。騰訊安全也提供從威脅情報(bào)到安全產(chǎn)品的整體防護(hù)解決方案��,協(xié)助企業(yè)抵御勒索病毒攻擊。
據(jù)騰訊安全威脅情報(bào)大數(shù)據(jù)顯示���,2020上半年勒索病毒依舊十分活躍����,但總體感染情況較去年略有下降���。從勒索病毒攻擊的地區(qū)分布看�����,廣東�����、浙江�、山東�、河南、上海等經(jīng)濟(jì)較發(fā)達(dá)地區(qū)成為重點(diǎn)目標(biāo)��,其它省份也遭受到不同程度攻擊�����。從勒索病毒影響的行業(yè)看���,數(shù)據(jù)價(jià)值較高的傳統(tǒng)企業(yè)���、教育、醫(yī)療�����、政府機(jī)構(gòu)遭受攻擊最為嚴(yán)重���,互聯(lián)網(wǎng)�、金融��、能源行業(yè)緊隨其后�,也遭到勒索病毒攻擊影響。
攻擊更精準(zhǔn)����,不交贖金立即公開敏感數(shù)據(jù)
由于攻擊政企機(jī)構(gòu)更容易獲得贖金,于是活躍勒索病毒團(tuán)伙越來越多地將高價(jià)值大型政企機(jī)構(gòu)作為重點(diǎn)打擊對象��。據(jù)《報(bào)告》顯示��,為了追求利益最大化���,多數(shù)情況下���,攻擊者在攻陷企業(yè)一臺網(wǎng)絡(luò)資產(chǎn)之后�����,會利用該資產(chǎn)持續(xù)滲透攻陷更多資產(chǎn)�����,之后大量植入文件加密模塊��,從而迫使企業(yè)在業(yè)務(wù)系統(tǒng)大面積癱瘓的情況下繳納贖金�����。
注:上圖的勒索病毒樣本僅針對特定目標(biāo)的IT設(shè)備
此外���,為避免勒索失敗,攻擊者還采取了新的勒索策略����。即,先竊取政企機(jī)構(gòu)敏感數(shù)據(jù)�����,再對企業(yè)資產(chǎn)進(jìn)行加密���。如果企業(yè)拒絕繳納贖金解密����,就在暗網(wǎng)“恥辱墻”頁面公開企業(yè)部分敏感數(shù)據(jù)進(jìn)一步實(shí)施勒索,若企業(yè)依然拒絕繳納贖金���,勒索團(tuán)伙就會直接公開所竊取的企業(yè)敏感數(shù)據(jù)����。對于大型企業(yè)而言���,數(shù)據(jù)泄露帶來的不止有經(jīng)濟(jì)上的損失,還會嚴(yán)重影響企業(yè)形象�,使自身失去公眾信任。因此�,面對這種以泄露數(shù)據(jù)為手段的勒索攻擊,就算企業(yè)有數(shù)據(jù)備份����,也只能被迫選擇支付贖金。
加密�、合作、定制化�,勒索病毒技術(shù)手段升級
經(jīng)過長期的演變�,勒索病毒在“勒索”這件事上越發(fā)成熟。
首先��,為了對攻擊目標(biāo)進(jìn)行精準(zhǔn)打擊�����,很多勒索病毒會利用僵尸網(wǎng)絡(luò)龐大的感染基數(shù)進(jìn)行迅速擴(kuò)張��。例如GandCrab勒索團(tuán)伙就借助Phorpiex僵尸網(wǎng)絡(luò)的持續(xù)投遞獲利超20億美金����。而新開發(fā)出的勒索家族為了快速切入市場,也會選擇與僵尸網(wǎng)絡(luò)進(jìn)行合作以獲得市場知名度���。據(jù)《報(bào)告》顯示�,僵尸網(wǎng)絡(luò)已成為勒索病毒傳播渠道的中堅(jiān)力量����,在勒索病毒事件溯源中的占比越來越高����。
其次,為了提升加密效率降低資源消耗���,勒索病毒作者在加密流程的細(xì)節(jié)上進(jìn)行優(yōu)化���。從早期的單線程文件加密���,升級到針對每個磁盤分區(qū)進(jìn)行多線程加密;從單一的x86可執(zhí)行病毒版本到增加x64可執(zhí)行版本;利用高危漏洞進(jìn)行內(nèi)核提權(quán),或使用壓縮打包的方式進(jìn)行提權(quán)來加密更多文件等等����。此外,勒索病毒還開始擴(kuò)大加密范圍��,不止加密文件����,同時(shí)對文件名也進(jìn)行加密�。
值得一提的是,勒索病毒還開始了“聯(lián)手”合作��。騰訊安全專家觀察發(fā)現(xiàn)���,有攻擊者攜帶不止一種勒索病毒��。據(jù)推測�,這可能是攻擊者為避免單一病毒由于安全環(huán)境等問題導(dǎo)致的加密失敗����,而開始與多個勒索病毒家族合作。同時(shí)����,更多的勒索病毒開始針對國內(nèi)市場做優(yōu)化,例如增加中文版本的勒索信件���,勒索加密擴(kuò)展后綴使用具有國內(nèi)風(fēng)格的命名方式等。由此可見�,國內(nèi)依然為勒索團(tuán)伙關(guān)注最為密切的市場之一。
加強(qiáng)信息安全建設(shè)����,保障企業(yè)不被“勒索”
面對嚴(yán)峻的勒索病毒威脅態(tài)勢,《報(bào)告》中指出可按照“三不三要”思路進(jìn)行日常安全管理�����,以提高企事業(yè)單位及政府機(jī)構(gòu)的網(wǎng)絡(luò)安全意識���。即標(biāo)題吸引人的未知郵件不要點(diǎn)開����、不隨便打開電子郵件附件、不隨意點(diǎn)擊電子郵件中的附帶網(wǎng)址;重要資料要備份�、開啟電子郵件前確認(rèn)發(fā)件人可信���、系統(tǒng)補(bǔ)丁/安全軟件病毒庫保持實(shí)時(shí)更新���。
同時(shí),騰訊安全專家提醒廣大政企用戶�����,可根據(jù)業(yè)務(wù)節(jié)點(diǎn)攔截位置部署專業(yè)的安全產(chǎn)品���,并根據(jù)騰訊安全威脅情報(bào)中心提供的情報(bào)數(shù)據(jù)配置各節(jié)點(diǎn)聯(lián)防聯(lián)動����、統(tǒng)一協(xié)調(diào)管理����,提升整體網(wǎng)絡(luò)抗攻擊能力。
此外,專家還建議個人用戶安裝騰訊電腦管家���、企業(yè)客戶部署騰訊T-Sec終端安全管理系統(tǒng)攔截查殺各類勒索病毒,保護(hù)各終端節(jié)點(diǎn)����。同時(shí)����,啟用騰訊電腦管家「文檔守護(hù)者」,該功能集成針對主流勒索病毒的解密方案��,并提供完善的數(shù)據(jù)備份方案����,為數(shù)千萬用戶提供文檔保護(hù)恢復(fù)服務(wù)。返回搜狐�����,查看更多
文章內(nèi)容僅供閱讀��,不構(gòu)成投資建議���,請謹(jǐn)慎對待���。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)���。
京公網(wǎng)安備 11010502041587號