网络攻击在当今数字化时代愈发频繁,与勒索软件攻击的联系也日益紧密。勒索软件如今已成为增长最快的网络安全攻击之一,其背后往往伴随着各种网络攻击手段。
报告显示,全球新型恶意软件激增 70%,每分钟的网络攻击达 26 次。在该季度,金融行业是受攻击频率最高的行业,其次为医疗保健行业。这些行业数据价值高,成为网络攻击的首要目标。而勒索软件攻击也常常瞄准这些行业,一旦得手,受害者将面临巨大损失。
2021 年上半年,勒索软件攻击达到 3 亿多次,创历史纪录。美国、英国、德国等国家受勒索软件影响严重。政府、教育、医疗保健、零售等行业成为勒索软件攻击的主要对象。例如,2021 年上半年,美国政府部门遭受的攻击数量是去年的三倍,教育行业增长了 615%,医疗保健行业增长了 594%。
网络攻击不仅直接导致勒索软件的入侵,还可能通过窃取敏感数据等方式,为勒索软件攻击提供更多筹码。一些勒索软件团伙在锁住受害者系统前,先窃取大量敏感数据,然后以公开披露或卖给竞争对手为威胁,索要赎金。这种双重勒索手段使得受害者面临更大的压力和损失。
总之,网络攻击与勒索软件攻击紧密相关,给个人、企业和国家带来了严重的安全威胁和经济损失。
二、常见的引发勒索软件攻击的网络攻击方式
(一)利用安全漏洞传播
攻击者常常利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络。目前,攻击者通常利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备。据统计,约有 30% 的勒索软件攻击是通过这种方式进行传播的。一旦攻击者利用漏洞攻击入侵,就会获取管理员权限,进而主动传播勒索病毒,实施勒索行为。
(二)利用钓鱼邮件传播
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中。他们会利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件。一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行。例如,勒索病毒分析中提到的通过钓鱼邮件传播的 Sodinokibi 勒索病毒,利用伪装邮件主题、文件名称、文件图标等带有迷惑性的内容诱导用户进行点击,主要攻击方向包括商贸、科技、机关等公司或单位的人员。
(三)利用网站挂马传播
攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码。当用户浏览挂有木马病毒的网站时,上网终端计算机系统极可能被植入木马并感染上勒索病毒。据相关数据显示,约有 20% 的勒索软件攻击是通过网站挂马传播的。
(四)利用移动介质传播
攻击者通过隐藏 U 盘、移动硬盘等移动介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式。一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序。这种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所,也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的 U 盘、光盘。
(五)利用软件供应链传播
攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备。在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。例如,攻击者可能会在软件更新时,将勒索病毒嵌入其中,当用户下载安装软件时,就会感染勒索病毒。
(六)利用远程桌面入侵传播
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。据统计,约有 15% 的勒索软件攻击是通过远程桌面入侵传播的。
三、勒索软件攻击的严重后果
(一)经济损失巨大
勒索软件攻击往往给受害者带来巨大的经济损失。例如,宏碁电脑遭勒索攻击,赎金高达 3.25 亿元创下最高纪录;英国皇家邮政遭 LockBit 勒索软件攻击,威胁方索要 8000 万美元赎金;台积电遭 LockBit 勒索软件攻击,被索要 7000 万美元赎金。这些高额赎金让企业面临沉重的经济负担。此外,企业在遭受勒索软件攻击后,还可能面临业务中断带来的间接经济损失。美国技术企业卡西亚公司遭勒索软件攻击后,全球 800 至 1500 家企业受到影响,难以估计确切损失。Atento 公司在 2021 年 10 月遭受的网络攻击造成的损失高达 4210 万美元,包括收入损失 3480 万美元和缓解事件影响的 730 万美元额外成本。
(二)业务中断与声誉受损
勒索软件攻击会导致企业业务停机、服务受限。越南邮政通信集团信息技术系统遭到勒索软件非法攻击后,邮政投递服务相关活动受到直接影响,网站和相关应用程序暂时中断。瑞典最大连锁超市之一库普超市因收银系统无法运行,一度关闭全国大约 800 家门店。企业的业务中断不仅影响自身运营,还可能影响客户和合作伙伴。同时,勒索软件攻击会使企业声誉受到严重影响。一旦企业成为网络勒索的受害者,外界可能会对其安全防护能力产生质疑,进而影响企业的市场地位和品牌形象。客户和合作伙伴可能会对企业的信任度降低,导致业务合作受到影响。
(三)下游效应与客户信任下降
勒索软件攻击具有下游效应,影响范围广。它不仅会影响被攻击的企业,还可能影响与该企业有业务往来的其他企业和个人。例如,哥斯达黎加政府机构遭勒索软件攻击后,政府付款延迟,贸易放缓和停止,服务受到限制,影响了整个国家的经济运行。此外,勒索软件攻击还会导致客户信任度下降。如果勒索软件攻击涉及暴露客户的个人信息,这可能是一个特别麻烦的问题。信任问题还可以扩展到业务合作伙伴,如供应商、服务提供商、顾问等。客户可能无法访问客户支持、销售或业务中的任何其他功能,从而导致销售损失、让客户感到沮丧,并认为企业的业务根本不可靠。即使客户在短时间内失去信任感,也可能造成损害。这种信任的丧失不仅会影响现有客户,还会影响潜在的新客户。
四、防范勒索软件攻击的措施
(一)个人层面
- 及时打补丁:按时安装操作系统和应用软件的安全补丁,可有效防范蠕虫病毒利用已知漏洞传播勒索软件。2017 年 5 月份 WannaCry 勒索病毒就是利用微软 WINDOWS 操作系统的 SMB 服务漏洞进行传播,而这个漏洞在微软年初发布的安全补丁中已被修复。
- 干掉弱口令:Windows 的弱口令可能被蠕虫病毒传播利用,如 WannaCry 和 Petya 勒索病毒的一些变种在传播过程中就用到了 windows 的弱口令。千万不要忽视空口令和 123456 这类口令的危害。
- 开启防火墙:个人电脑上的防火墙可将有漏洞的服务端口遮盖起来,不暴露出去,防范蠕虫病毒感染。例如 WannaCry 利用的 445 端口的漏洞,若启用防火墙且未对外暴露该端口,可在一定程度上避免被感染。
- 安装杀毒软件:大规模爆发的蠕虫病毒在刚开始传播时可能会做成免杀的,但各大杀软厂商会在第一时间推出针对当前爆发病毒的查杀升级包或专杀工具。安装并开启杀软的实时更新,对防范各类已知病毒有一定作用。
- 谨慎处理陌生邮件:发件人的邮箱可以伪造,邮件内容也可能虚构。对于非等待的邮件,其中的链接、图片或者附件都不要点击。若觉得可能比较重要想点击,务必先电话问一下发件人。
- 定期备份:养成定期备份重要数据的习惯,可大大降低数据丢失时的损失。建议至少每月备份一次个人电脑上的重要数据,特别重要的数据日常可不保存在个人电脑上,利用 IT 系统或在共享文件服务器上直接进行处理。
(二)企业层面
- 资产管理:
-
- 资产台账:针对内部所有设备,建立资产台账,从主机 IP / 网段、系统版本、部署位置、承载服务、责任人、联系方式等维度进行记录,便于资产的统筹分配以及快速定位。
-
- 互联网映射:检查负载均衡(AD)、防火墙(AF)的互联网映射策略,收缩边缘资产,禁止将测试(不成熟)业务、不必要业务映射至互联网,收敛互联网暴露面,避免遭受更大范围的攻击。
-
- 弱口令巡检:定期开展弱口令巡检,通过安全态势感知(SIP)的弱口令感知模块,或生成社工弱口令尝试扫描,定期检查网络环境中弱口令状况。使密码复杂度在符合 “四分之三” 原则基础之上,摒弃具有明显身份特征或社工特征的密码。
-
- 收敛应用层资产威胁:定期使用终端防护软件(CWPP)或终端防护软件(EDR),监测应用层端口开放、账户信息、主机服务、web 框架等内容。杜绝危险端口开放、隐藏账户或异常账户新增、异常服务、异常进程或脆弱 web 框架等潜在威胁。
- 风险管理:
-
- 网络安全自查:积极开展网络安全自查,开展基线检查和风险评估,对圈定的、优先级较高的检查项进行重点关注。不断自查,检视问题,提升软件层面抵抗风险能力。
-
- 组织应急演练:结合单位实际情况,设计不同场景的应急处置环境,模拟不同突发情况下的应急处置流程,反复锻炼并提升应急的实践及协作水平,提升应急处置的抗风险能力。
- 网络设备配置:各项网络设备、安全设备升级到最新版本,将特征库、病毒库更新到最新。负载均衡(AD)、防火墙(AF)等出口设备,严格控制映射策略。内网及外网防火墙,封堵 445、135 - 139、3389 等敏感端口。安全感知设备,可开启弱密码感知策略,定期收集弱密码。交换机、路由器做好网段划分,逻辑隔离。终端杀毒软件,定期开展病毒扫描。
- 备份管理:
-
- 数据备份:敏感数据定期备份,尤其是承载用户数据、重要生产数据。可选择增量备份、全量备份等形式,便于数据的回溯。存储数据的介质需满足可用性、可靠性要求,妥善存放。
-
- 日志备份:网络环境中部署的各大终端、服务器、应用程序,应及时做好日志记录和备份留存,且应至少留存 6 个月日志记录。
-
- 应用备份:对应用的代码、包、配置环境等项目材料进行备份。
- 完善流程:完善一系列流程,如指导运维工作的运维规章制度、指导安全生产的流程规章制度、应用 PDCERF 方法学的应急响应预案等,打通生产到管理等各个环节的枢纽。
- 加强安全意识:通过安全讲座、案例分析,不定时开展不同场景不同方式的钓鱼演练,提升员工安全意识。安全生产最大的隐患在于人员,钓鱼、社工、投毒、弱密码这些关键因素都与人员的安全意识息息相关。
(三)国家层面
- 提升防护意识,降低攻击风险:谨慎打开可疑电子邮件,不从不受信任的来源下载使用各类软件,避免 “误入圈套”,遭受网络勒索攻击。
- 强化防控措施,筑牢安全防线:可通过配置高强度访问策略、及时升级软件版本、修复技术漏洞,全面提升网络安全技术防护能力。
- 树牢底线思维,制定应对预案:提高重要核心数据备份频次,实施异地数据备份或隔离部署。提前制定应急处置预案,以便在发生勒索攻击事件时,迅速采取有效行动,并第一时间向国家安全机关等职能部门报告。
- 配合核查取证,打击违法犯罪:支持协助国家安全机关依法打击处置境外网络勒索攻击活动,积极配合核查取证,妥善保护 “案发现场”,主动反馈可疑情况,共同维护国家安全。
总之,个人、企业和国家都应高度重视勒索软件攻击的威胁,采取有效的防范措施,共同维护数据安全和网络安全。
墨者安全 防护盾
墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。