正文

美创科技发布《2022年11月勒索病毒威胁报告》

admin
admin V管理员 /0 评论 /269 阅读
0110
此篇文章发布距今已超过683天,您需要注意文章的内容或图片是否可用!
#勒索病毒威胁报告 18个
勒索病毒是一种极具传播性、破坏性的恶意软件,利用多种密码算法加密用户数据,并恐吓、胁迫用户缴纳高额赎金。本月,勒索病毒攻击形势依旧严峻,企业被勒索病毒攻击的事件层出不穷。
勒索病毒状况总览

2022年11月

 0
受害者所在地区分布

美创安全实验室威胁平台显示,11月份国内遭受勒索病毒的攻击中,江苏、上海、浙江、广东、北京最为严重,其它地区也遭受到不同程度的攻击。

 0
勒索病毒影响行业分布

从行业划分来看,数据价值较高的传统行业、医疗、教育、政府机构等行业仍是感染勒索病毒的重灾区。

 0
勒索病毒家族分布

下图是美创安全实验室对勒索病毒监测后所计算出的11月份勒索病毒家族流行度占比分布图,Mallox勒索病毒家族占比21%居首位,其次是占比18%的Phobos家族,BeijingCrypt家族以14%位居第三。

 0

勒索病毒传播方式

下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出,可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。

勒索病毒TOP榜

2022年11月

 0
Mallox

Mallox(又被称作Target Company)最早出现于2021年7月中旬,并在2021年11月开始进入国内。其采用RaaS(勒索软件即服务)模式运营,将企业作为其攻击目标。Mallox病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。

 0
Phobos

Phobos勒索软件从2019年开始在全球流行,并一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。

 0
BeijingCrypt
BeijingCrypt勒索家族最早出现于2020年7月初,主要通过暴力破解远程桌面口令后手动投毒。该病毒早期传播因修改文件后缀为“.beijing”而被命名为BeijingCrypt,之后出现的变种会将被加密文件后缀修改为“.520”和“.360”。攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。
国内大型勒索事件回顾

2022年11月

 01 
辽宁某企业遭Monster勒索软件攻击

11月初,辽宁某企业遭到勒索病毒攻击,在攻击期间,勒索软件操控者设法获得对内部服务器的控制权后,在服务器上安装了Monster勒索软件。为了防止攻击进一步蔓延,该企业关闭了部分系统。据悉,Monster 勒索软件于 2022 年 7 月初采用 Raas模式在俄罗斯黑客论坛 Ramp 发布。

在线点评:

1.Monster 是一个采用 Delphi 语言编写的跨平台勒索软件,并以可选参数的方式启动后便会执行加密勒索操作。

2.Monster勒索软件为加密后的文件默认添加后缀名“Deep in Web”,提示信息文件名为“WE CAN RECOVER YOUR DATA.txt”。

 02 
Mallox勒索病毒攻击四川某企业

四川某企业反馈其遭遇Mallox勒索病毒攻击,服务器中的数据库文件均被加密,并在文件名后添加“.mallox”后缀,导致数据库文件不可用,影响了部分业务的运行。该企业内部人员还表示在发现攻击后,立即采取措施加以遏制。

在线点评:

1.Mallox勒索病毒运行后迅速加密数据库文件,导致文件不可用,影响业务运行,同时还会尝试在内网中横向移动,获取更多设备的权限并进一步扩散。

2.Mallox勒索病毒混合应用了Chacha20和AES-128算法,可在短时间内加密主机中的文件。

 03 
浙江某企业感染Phobos勒索病毒

浙江某企业遭遇勒索软件攻击。该企业服务器上的软件无法正常启动,服务器上的文件也被加密锁定,并增加了“.[[email protected]].Elbie”后缀。根据后缀可以判断此次攻击的病毒为Phobos勒索家族旗下的变种。该勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。

在线点评:

1.Phobos作为国内老牌勒索家族,流行热度一直比较高,主要通过爆破远程桌面传播。

2.企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁。
自救措施介绍

勒索病毒

勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。

(一)隔离中招主机

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)  物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)  访问控制
加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。

(二)排查业务系统

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

(三)联系专业人员

在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。

防御方法介绍

勒索病毒

面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:

① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。

⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

⑦ 尽量关闭不必要的文件共享。

⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。

⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。

⑩ 安装诺亚防勒索软件,防御未知勒索病毒。
美创诺亚防勒索

防护能力介绍

为了更好地应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下:

在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加统一的异常后缀,并且无法正常打开。

开启诺亚防勒索的情况下:

双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。



宙飒天下