勒索病毒再度成为全球焦点。5月8日,美国最大成品油的管道运营商ColonialPipeline受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。事实上,这并不是偶然,自从2017年WannaCry席卷全球以来,勒索病毒已经成为全球性的安全难题。
勒索病毒到底是什么?
最新态势如何?
除了石油企业,勒索病毒还瞄向了哪些地方?
以及,一个最核心的企业担忧:
如何才能狙击勒索病毒?
在近日腾讯安全联合南方都市报发布的《2021上半年勒索病毒趋势报告及防护方案建议》(以下简称“报告”)中,我们似乎能找到一些答案。
“尽管2021年上半年相比去年同时期,勒索病毒的攻击态势稍有下降,但勒索事件仍然频发,仅2021年第一季度,就发生了多起国际知名企业被勒索的案件,并且赎金持续刷新纪录。”
2020/2021勒索病毒1-4月攻击态势对比图
2017年5月12日,WannaCry勒索病毒在全球范围爆发,形成一场影响全球的蠕虫病毒风暴。此后四年间,勒索病毒频繁将魔爪伸向企业及个人用户。
从《报告》显示数据可以看出,在2021年上半年,GlobeImposter家族和具有系列变种的Crysis家族等老牌勒索病毒依然活跃,而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有着广泛流行的趋势。其中大部分勒索病毒都有着变种多、针对性高、感染量上升快等特点,像Sodinokibi、Medusalocker等病毒甚至呈现针对国内系统定制化的操作。毫无疑问,不断数字化转型升级的国内企业已经成为诸多勒索病毒攻击的重点目标。
从区域上来看,国内遭受勒索病毒攻击中,广东、浙江、山东、湖北、河南、上海、天津较为严重,其它省份也有遭受到不同程度攻击。而数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重,占比依次为37%、18%、14%,总计占比高达69%。例如在2020年的8月和11月,多家传统企业就先后遭到勒索病毒的攻击,勒索团伙均要求企业支付高额赎金,否则将把盗窃数据在暗网出售。
2021年1-4月勒索病毒受灾地域分布图
但目前不少企业机构均升级了网络安全措施,有效防止了勒索软件损失的扩大化,也从一定程度上,反映了“支付赎金”的应对策略正在失效。
从最初的零星恶作剧,到现在频发的恶意攻击,勒索病毒为何能够如“野草”般生命力顽强,肆意生长?
首先,勒索病毒加密手段复杂,解密成本高;其次,使用电子货币支付赎金,变现快、追踪难;最后,勒索软件服务化的出现,让攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当,大大降低了勒索软件的门槛,推动了勒索软件大规模爆发。
勒索病毒作案实施过程图
根据市面较为高发的勒索病毒特征,《报告》将勒索病毒的传播手段分为6个方向:弱口令攻击、U盘蠕虫、软件供应链攻击、系统/软件漏洞、“无文件”攻击技术、RaaS。勒索病毒团伙在利用这些传播手段入侵目标系统后,会利用工具将失陷网络的机密数据上传到服务器,然后实施勒索。
随着全球数字化的不断加速,越来越多企业将业务迁移到云端。由于企业用户数据价值较高,但很多企业对于云上网络安全态势并没有足够的准备。因此在未来一段时间,针对企业用户进行定向攻击,将是勒索病毒的重要目标之一,而且随着技术的普及、勒索病毒产业链的成熟,病毒也将变得更加多样化、高频化。同时,《报告》还指出,目前Mac OS和Android等平台也已陆续出现勒索病毒,随着Windows的防范措施完善,未来不法黑客也可能转向攻击其他平台。
面对层出不穷的勒索病毒,无论是企业还是个人用户,都应该重视网络安全措施,做好事前防范。在《报告》中提出了“三不三要”思路,即不上钩、不打开、不点击、要备份、要确认、要更新。提醒所有用户面对未知邮件要确认发件人可信,否则不要点开、不要随便打开电子邮件附件,更不要随意点击电子邮件中的附带网址;同时重要的资料要备份,并保持系统补丁/安全软件病毒库的实时更新。
腾讯安全解决方案体系结构图
此外,《报告》建议企业用户全网安装部署终端安全管理软件,推荐使用腾讯零信任无边界访问控制系统(iOA);针对一些大中型企业,建议采用腾讯高级威胁检测系统(NTA)监测内网风险。同时,企业用户还可通过订阅腾讯安全威胁情报产品,让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。针对个人用户,《报告》推荐使用腾讯电脑管家并启用文档守护者,目前该功能已集成针对主流勒索病毒的解密方案,并提供完善的数据备份方案,为数千万用户提供文档保护恢复服务。