B站知名UP主被攻击、德国医院遭勒索导致病患死亡、富士康1200台服务器沦陷……纵观已经过去的2020年,除了“新冠”疫情给全行业带来的冲击外,勒索病毒威胁再次领跑了2020年最热门的网络安全话题,结合数据泄露的“二次勒索”模式更是成为年度热点。
近日,360安全大脑发布了《2020年勒索病毒疫情分析报告》(以下简称《报告》),从勒索病毒攻击态势、受害者及攻击者分析、勒索病毒发展趋势和安全建议等维度,总结了2020年度勒索病毒的活动情况。
《报告》显示,2020年中,360反勒索服务共接收并处理勒索病毒攻击求助3800余例,其中超过3700例确认遭受勒索病毒攻击。其中,企业大量设备“中毒”的情况较多,加之“二次勒索”模式的流行,所造成的安全风险和经济损失较往年更为严重。可以说,无论是对个人用户、还是企业用户,勒索病毒依然是网络安全领域最主要的安全威胁。
传统勒索病毒家族依然活跃,广东“中招”案例排名第一
根据360反勒索服务数据,PC端Windows系统下phobos、GlobeImposter、Crysis这三大勒索病毒家族的受害者占比最多,合计占到了52.46%。TOP10的勒索病毒家族中,仅BeijingCrypt勒索病毒为本年新增家族,其他勒索病毒均在去年甚至几年前便一直活跃。
尽管勒索病毒家族传统格局依然稳固,但以数据泄露为要挟的“二次勒索”模式还是流行了起来。通过对黑客发布泄露数据网站进行跟踪统计,2020年全年涉及数据泄露的勒索病毒家族占比前三依次为:Maze家族占比22.67%、Egregor家族占比16.12%、Conti家族占比14.05%。其中Egregor家族是在Maze逐渐退出历史舞台时才出现的一个家族,该家族被猜测为Maze家族的“继承者 ”。
从勒索病毒的投递方式来看,远程桌面入侵仍然是用户计算机被感染的最主要方法。共享文件夹被加密,成为危害用户数据安全的第二大因素。在这里,360安全团队提醒用户,设置共享文件需谨慎,可通过其他方式来实现文件同步、协作。尤其需要注意的是,在运行激活、破解工具之前,应在有安全软件防护状态下进行,不应轻易将其加入信任区。
该报告还针对勒索病毒感染的地域、系统、行业、人群和赎金支付情况进行了详细的数据解读,多维度呈现2020年勒索病毒疫情受害者群像。从受害者地域分布来看,依旧是以信息产业发达和人口密集的地区为主,其中广东以19.06%的比例排名第一;从受攻击系统分布来看,Windows 10系统以31.14%的比例跃居首位,与往年数据有较大的变化——2019年受勒索病毒攻击的系统中超过四成是Windows 7系统。
从受害者行业分布来看,服务业以21.8%的比例居首位,其中又以律师行业被攻击的概率最高;从求助者性别分布来看,男性占比高达93.83%,远远高于女性,这或许与IT技术行业以男性员工为主体有很大的关系。在勒索病毒受害者中,有98%的受害者在受到勒索病毒攻击时不会支付赎金,这其中主要是因为不相信攻击者会守信解密,不愿向黑客低头这一原因次之。
“新冠疫情”成为诱饵,供应链威胁升级
《报告》显示,目前流行的勒索病毒家族几乎都是采用内嵌密钥以及直接投毒的方式进行传播;在黑客的联系方式上,则更多地使用了电子邮箱、洋葱网络聊天室以及Telegram;黑客攻击的主要手段是对设备直接进行入侵或横向移动入侵,其中远程桌面弱口令攻击是最常见攻击手段。
从勒索病毒入侵来源国家或地区占比来看,美国、法国、俄罗斯分别以28.18%、17.21%、12.10%的比例位居前三;从勒索联系邮箱的供应商分布来看,勒索病毒作者更偏爱ProtonMail、Tutanota、Aol三家网站所提供的邮箱服务,而这或许是出于自身习惯、隐藏信息、注册便捷度等几方面综合考虑后的结果。
从攻击手段来看,弱口令攻击——即有限口令暴破攻击,依然是今年最为流行的攻击手段。使用过于简单的口令、已经泄露的口令或一些内置的固定口令是造成设备被攻陷的最常见原因。其中,针对企业的勒索病毒攻击,是企业当前最为担忧的一类安全问题,对企业的勒索也贡献了绝大部分的赎金收入。
受疫情影响,钓鱼软件攻击也变得活跃起来。例如今年就出现使用COVID-19相关内容主题做为钓鱼诱饵的攻击,使用的主题有:“疫苗、口罩供应不足”、“健康调查报告”、“冠状病毒最新信息”等,攻击者总是能找到最引人关注的话题,诱骗被攻击者打开钓鱼邮件。
值得一提的是,供应链攻击也在最近几年的安全事件中频频发生,其隐蔽性较高、发现难度大、影响范围广、时间跨度长,经常被APT组织用来作为攻击工具。比如2020年底震动整个安全圈的SolarWinds供应链攻击——手法隐蔽,攻击持续了近一年时间,受影响大型公司、政府部门有上千家之多,足见其威力巨大。
此外,利用系统与软件漏洞攻击、网站挂马攻击和破解软件与激活工具攻击也是攻击者常用的“投毒”方式。
勒索病毒深刻影响现实生活秩序 360安全大脑利剑出击
2020年,新冠疫情深刻影响了大众的生活、工作方式,线上办公、远程会议、各类智能识别技术等信息技术手段都参与到了我们现实生活的世界中。在我们享受信息技术带来的便利的同时,伴随而来的网络攻击——尤其是勒索病毒攻击,对现实生活秩序的影响力也越来越大。
在勒索病毒威胁面前,没有人能够置身事外。例如今年9月,德国杜塞多夫大学医院遭勒索软件攻击之后转院的病人因抢救不及时死亡。而国内的情况也不容乐观,企业、医院、政府部门因勒索病毒原因停工、停产、业务暂停的情况也有发生。可以说,勒索病毒不再只是一个安全行业的词汇,也更多的影响着普通大众。
关于未来的发展趋势,根据报告预测可以得知,勒索病毒的攻击形式随着技术发展不断变化,其传播方式、攻击目标突破传统局限性,向多元化、低门槛、广分发等方向传播。其中,信息泄露加剧、攻击手段升级、变现渠道拓宽、勒索软件扩散,都是值得密切关注的发展方向。在此基础上,勒索病毒对政企和个人用户带来的安全威胁将不可同日而语。
对此,报告着重介绍了360安全大脑的反勒索防护能力,综合360安全大脑驱动下的360解密大师、360安全卫士和反勒索服务的整体实力,对抗勒索病毒这一首要威胁。在360安全大脑强势赋能下,360解密大师作为全球规模最大、最有效的勒索病毒解密工具,2020年全年共计更新版本19次,新增25个家族及变种的解密,累计支持解密勒索病毒超过345种,2020年全年服务用户超20651台次,解密文件近1354万次,挽回损失超4亿元人民币。
与此同时,针对令暴破攻击和系统或软件服务漏洞攻击,360安全卫士提供了“远程桌面暴破防护”、RPC暴破防护、SMB协议暴破防护、SQL Server暴破防护、VNC暴破防护、Tomcat暴破防护等一系列防护,同时还增加了对金万维、瑞友的防护支持;在漏洞保护方面,增加有WebLogic、JBoss、Tomcat等多种服务器常见软件的漏洞防护,以及大量系统漏洞的防护能力。而针对企业内网被渗透的问题,360安全卫士新增了横向渗透防护、无文件攻击防护、常用软件保护等安全能力,结合漏洞防护保障企业内网不被轻易拿下。
最后,面对严峻的勒索病毒威胁态势,360安全团队分别为个人用户和企业用户给出有针对性的安全建议,希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
对于个人用户来说,养成良好的安全习惯,是免遭勒索病毒攻击的关键:
1、电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作;
2、可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑;
3、尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险;
4、重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回;
5、电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解;
6、一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失;
对于企业用户来说,做好企业信息系统的保护是重中之重:
1、应及时修复办公终端和服务器漏洞、打补丁;
2、尽量关闭不必要的服务与对应端口,做到不对外提供服务的设备不暴露于公网,降低对外服务系统的权限;
3、用复杂的登录口令并定期更换十分重要,可及时避免受到当下流行的弱口令攻击;
4、注意提升安全运维人员的职业素养,时刻保持其警惕性;
5、发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件;同时联系安全厂商,对内部网络进行排查处理;公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
最后,360安全团队提醒用户——无论是个人用户还是企业用户,一定不要支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。
围绕《2020年勒索病毒疫情分析报告》,360安全大脑全面、深刻地分析了本年度勒索病毒现状,并通过数据分析和趋势预判,帮助广大互联网用户深入了解当前勒索病毒发展态势。未来,360安全大脑将继续专注于流行病毒木马的监测、防御、处置和新安全威胁研究,在此基础上为用户提供横向渗透防护、无文件攻击防护、软件劫持防护、挖矿木马防护等多项防护功能,保护广大网民与企业的上网安全。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )