近日,騰訊安全正式對(duì)外發布《2020上半年勒索病毒報告》(以下(xià)簡稱“報告”)。《報告》顯示,上半年全球大(dà)型企業遭受勒索病毒打擊的(de)事件依然高(gāo)頻(pín)發生。其中,最活躍的(de)勒索病毒家族發起針對(duì)性極強的(de)大(dà)型“狩獵”活動,對(duì)企業開出天價解密贖金;新型勒索病毒層出不窮,技術上不斷進化(huà)。而勒索手段也(yě)從單純的(de)贖金換密鑰,升級到不給贖金就公開機密數據。騰訊安全也(yě)提供從威脅情報到安全産品的(de)整體防護解決方案,協助企業抵禦勒索病毒攻擊。
據騰訊安全威脅情報大(dà)數據顯示,2020上半年勒索病毒依舊(jiù)十分(fēn)活躍,但總體感染情況較去年略有下(xià)降。從勒索病毒攻擊的(de)地區(qū)分(fēn)布看,廣東、浙江、山東、河(hé)南(nán)、上海等經濟較發達地區(qū)成爲重點目标,其它省份也(yě)遭受到不同程度攻擊。從勒索病毒影(yǐng)響的(de)行業看,數據價值較高(gāo)的(de)傳統企業、教育、醫療、政府機構遭受攻擊最爲嚴重,互聯網、金融、能源行業緊随其後,也(yě)遭到勒索病毒攻擊影(yǐng)響。
攻擊更精準,不交贖金立即公開敏感數據
由于攻擊政企機構更容易獲得(de)贖金,于是活躍勒索病毒團夥越來(lái)越多(duō)地将高(gāo)價值大(dà)型政企機構作爲重點打擊對(duì)象。據《報告》顯示,爲了(le)追求利益最大(dà)化(huà),多(duō)數情況下(xià),攻擊者在攻陷企業一台網絡資産之後,會利用(yòng)該資産持續滲透攻陷更多(duō)資産,之後大(dà)量植入文件加密模塊,從而迫使企業在業務系統大(dà)面積癱瘓的(de)情況下(xià)繳納贖金。
注:上圖的(de)勒索病毒樣本僅針對(duì)特定目标的(de)IT設備
此外,爲避免勒索失敗,攻擊者還(hái)采取了(le)新的(de)勒索策略。即,先竊取政企機構敏感數據,再對(duì)企業資産進行加密。如果企業拒絕繳納贖金解密,就在暗網“恥辱牆”頁面公開企業部分(fēn)敏感數據進一步實施勒索,若企業依然拒絕繳納贖金,勒索團夥就會直接公開所竊取的(de)企業敏感數據。對(duì)于大(dà)型企業而言,數據洩露帶來(lái)的(de)不止有經濟上的(de)損失,還(hái)會嚴重影(yǐng)響企業形象,使自身失去公衆信任。因此,面對(duì)這(zhè)種以洩露數據爲手段的(de)勒索攻擊,就算(suàn)企業有數據備份,也(yě)隻能被迫選擇支付贖金。
加密、合作、定制化(huà),勒索病毒技術手段升級
經過長(cháng)期的(de)演變,勒索病毒在“勒索”這(zhè)件事上越發成熟。
首先,爲了(le)對(duì)攻擊目标進行精準打擊,很多(duō)勒索病毒會利用(yòng)僵屍網絡龐大(dà)的(de)感染基數進行迅速擴張。例如GandCrab勒索團夥就借助Phorpiex僵屍網絡的(de)持續投遞獲利超20億美(měi)金。而新開發出的(de)勒索家族爲了(le)快(kuài)速切入市場(chǎng),也(yě)會選擇與僵屍網絡進行合作以獲得(de)市場(chǎng)知名度。據《報告》顯示,僵屍網絡已成爲勒索病毒傳播渠道的(de)中堅力量,在勒索病毒事件溯源中的(de)占比越來(lái)越高(gāo)。
其次,爲了(le)提升加密效率降低資源消耗,勒索病毒作者在加密流程的(de)細節上進行優化(huà)。從早期的(de)單線程文件加密,升級到針對(duì)每個(gè)磁盤分(fēn)區(qū)進行多(duō)線程加密;從單一的(de)x86可(kě)執行病毒版本到增加x64可(kě)執行版本;利用(yòng)高(gāo)危漏洞進行内核提權,或使用(yòng)壓縮打包的(de)方式進行提權來(lái)加密更多(duō)文件等等。此外,勒索病毒還(hái)開始擴大(dà)加密範圍,不止加密文件,同時(shí)對(duì)文件名也(yě)進行加密。
值得(de)一提的(de)是,勒索病毒還(hái)開始了(le)“聯手”合作。騰訊安全專家觀察發現,有攻擊者攜帶不止一種勒索病毒。據推測,這(zhè)可(kě)能是攻擊者爲避免單一病毒由于安全環境等問題導緻的(de)加密失敗,而開始與多(duō)個(gè)勒索病毒家族合作。同時(shí),更多(duō)的(de)勒索病毒開始針對(duì)國内市場(chǎng)做(zuò)優化(huà),例如增加中文版本的(de)勒索信件,勒索加密擴展後綴使用(yòng)具有國内風格的(de)命名方式等。由此可(kě)見,國内依然爲勒索團夥關注最爲密切的(de)市場(chǎng)之一。
加強信息安全建設,保障企業不被“勒索”
面對(duì)嚴峻的(de)勒索病毒威脅态勢,《報告》中指出可(kě)按照(zhào)“三不三要”思路進行日常安全管理(lǐ),以提高(gāo)企事業單位及政府機構的(de)網絡安全意識。即标題吸引人(rén)的(de)未知郵件不要點開、不随便打開電子郵件附件、不随意點擊電子郵件中的(de)附帶網址;重要資料要備份、開啓電子郵件前确認發件人(rén)可(kě)信、系統補丁/安全軟件病毒庫保持實時(shí)更新。
同時(shí),騰訊安全專家提醒廣大(dà)政企用(yòng)戶,可(kě)根據業務節點攔截位置部署專業的(de)安全産品,并根據騰訊安全威脅情報中心提供的(de)情報數據配置各節點聯防聯動、統一協調管理(lǐ),提升整體網絡抗攻擊能力。
