騰訊安全發(fā)布《2020上半年勒索病毒報告》 政企機構仍是勒索“頭號目標”

  • 人閱讀
  • 2020-07-24 14:09:14

  • 來源:西盟科技資訊

  • 相關關鍵詞

近日,騰訊安全正式對外發(fā)布《2020上半年勒索病毒報告》(以下簡稱“報告”)?!秷蟾妗凤@示,上半年全球大型企業(yè)遭受勒索病毒打擊的事件依然高頻發(fā)生。其中,最活躍的勒索病毒家族發(fā)起針對性極強的大型“狩獵”活動,對企業(yè)開出天價解密贖金;新型勒索病毒層出不窮,技術上不斷進化。而勒索手段也從單純的贖金換密鑰,升級到不給贖金就公開機密數(shù)據(jù)。騰訊安全也提供從威脅情報到安全產(chǎn)品的整體防護解決方案,協(xié)助企業(yè)抵御勒索病毒攻擊。

據(jù)騰訊安全威脅情報大數(shù)據(jù)顯示,2020上半年勒索病毒依舊十分活躍,但總體感染情況較去年略有下降。從勒索病毒攻擊的地區(qū)分布看,廣東、浙江、山東、河南、上海等經(jīng)濟較發(fā)達地區(qū)成為重點目標,其它省份也遭受到不同程度攻擊。從勒索病毒影響的行業(yè)看,數(shù)據(jù)價值較高的傳統(tǒng)企業(yè)、教育、醫(yī)療、政府機構遭受攻擊最為嚴重,互聯(lián)網(wǎng)、金融、能源行業(yè)緊隨其后,也遭到勒索病毒攻擊影響。

騰訊安全發(fā)布《2020上半年勒索病毒報告》 政企機構仍是勒索“頭號目標”

攻擊更精準,不交贖金立即公開敏感數(shù)據(jù)

由于攻擊政企機構更容易獲得贖金,于是活躍勒索病毒團伙越來越多地將高價值大型政企機構作為重點打擊對象。據(jù)《報告》顯示,為了追求利益最大化,多數(shù)情況下,攻擊者在攻陷企業(yè)一臺網(wǎng)絡資產(chǎn)之后,會利用該資產(chǎn)持續(xù)滲透攻陷更多資產(chǎn),之后大量植入文件加密模塊,從而迫使企業(yè)在業(yè)務系統(tǒng)大面積癱瘓的情況下繳納贖金。

騰訊安全發(fā)布《2020上半年勒索病毒報告》 政企機構仍是勒索“頭號目標”

注:上圖的勒索病毒樣本僅針對特定目標的IT設備

此外,為避免勒索失敗,攻擊者還采取了新的勒索策略。即,先竊取政企機構敏感數(shù)據(jù),再對企業(yè)資產(chǎn)進行加密。如果企業(yè)拒絕繳納贖金解密,就在暗網(wǎng)“恥辱墻”頁面公開企業(yè)部分敏感數(shù)據(jù)進一步實施勒索,若企業(yè)依然拒絕繳納贖金,勒索團伙就會直接公開所竊取的企業(yè)敏感數(shù)據(jù)。對于大型企業(yè)而言,數(shù)據(jù)泄露帶來的不止有經(jīng)濟上的損失,還會嚴重影響企業(yè)形象,使自身失去公眾信任。因此,面對這種以泄露數(shù)據(jù)為手段的勒索攻擊,就算企業(yè)有數(shù)據(jù)備份,也只能被迫選擇支付贖金。

加密、合作、定制化,勒索病毒技術手段升級

經(jīng)過長期的演變,勒索病毒在“勒索”這件事上越發(fā)成熟。

首先,為了對攻擊目標進行精準打擊,很多勒索病毒會利用僵尸網(wǎng)絡龐大的感染基數(shù)進行迅速擴張。例如GandCrab勒索團伙就借助Phorpiex僵尸網(wǎng)絡的持續(xù)投遞獲利超20億美金。而新開發(fā)出的勒索家族為了快速切入市場,也會選擇與僵尸網(wǎng)絡進行合作以獲得市場知名度。據(jù)《報告》顯示,僵尸網(wǎng)絡已成為勒索病毒傳播渠道的中堅力量,在勒索病毒事件溯源中的占比越來越高。

其次,為了提升加密效率降低資源消耗,勒索病毒作者在加密流程的細節(jié)上進行優(yōu)化。從早期的單線程文件加密,升級到針對每個磁盤分區(qū)進行多線程加密;從單一的x86可執(zhí)行病毒版本到增加x64可執(zhí)行版本;利用高危漏洞進行內核提權,或使用壓縮打包的方式進行提權來加密更多文件等等。此外,勒索病毒還開始擴大加密范圍,不止加密文件,同時對文件名也進行加密。

值得一提的是,勒索病毒還開始了“聯(lián)手”合作。騰訊安全專家觀察發(fā)現(xiàn),有攻擊者攜帶不止一種勒索病毒。據(jù)推測,這可能是攻擊者為避免單一病毒由于安全環(huán)境等問題導致的加密失敗,而開始與多個勒索病毒家族合作。同時,更多的勒索病毒開始針對國內市場做優(yōu)化,例如增加中文版本的勒索信件,勒索加密擴展后綴使用具有國內風格的命名方式等。由此可見,國內依然為勒索團伙關注最為密切的市場之一。

騰訊安全發(fā)布《2020上半年勒索病毒報告》 政企機構仍是勒索“頭號目標”

加強信息安全建設,保障企業(yè)不被“勒索”

面對嚴峻的勒索病毒威脅態(tài)勢,《報告》中指出可按照“三不三要”思路進行日常安全管理,以提高企事業(yè)單位及政府機構的網(wǎng)絡安全意識。即標題吸引人的未知郵件不要點開、不隨便打開電子郵件附件、不隨意點擊電子郵件中的附帶網(wǎng)址;重要資料要備份、開啟電子郵件前確認發(fā)件人可信、系統(tǒng)補丁/安全軟件病毒庫保持實時更新。

同時,騰訊安全專家提醒廣大政企用戶,可根據(jù)業(yè)務節(jié)點攔截位置部署專業(yè)的安全產(chǎn)品,并根據(jù)騰訊安全威脅情報中心提供的情報數(shù)據(jù)配置各節(jié)點聯(lián)防聯(lián)動、統(tǒng)一協(xié)調管理,提升整體網(wǎng)絡抗攻擊能力。

此外,專家還建議個人用戶安裝騰訊電腦管家、企業(yè)客戶部署騰訊T-Sec終端安全管理系統(tǒng)攔截查殺各類勒索病毒,保護各終端節(jié)點。同時,啟用騰訊電腦管家「文檔守護者」,該功能集成針對主流勒索病毒的解密方案,并提供完善的數(shù)據(jù)備份方案,為數(shù)千萬用戶提供文檔保護恢復服務。

(免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )