新目标,勒索软件威胁向政企机构转移

根据报告显示,2019年勒索软件的攻击呈现出新的态势。首先,攻击频率有所下降。虽然在5月份以前一直保持较高的攻击频率且在3月、5月异常活跃,达到了当年攻击次数最高峰,但6月份开始攻击频率明显降低,2019年攻击呈整体下降趋势。其次,报告显示勒索软件也展现了明显的新目标转换行为。其将过往大量的针对普通用户的攻击转向了更加“精准”的面对政企机构的攻击。

有安全报告表明,自2018年6月以来,全球针对To B的勒索攻击增加了363%。由此可见,现在的勒索病毒攻击目标,已经从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。根据深信服EDR终端软件病毒拦截数据显示,政府、企业、医疗、教育、制造业是受到攻击最多的前5大行业,政府和企业的占比达到了45.77%。

其中,政府机构因为其政治性、权威性、保密性等特点,数据安全具有相对更高的价值,因此更易受到攻击,占据了勒索软件攻击总量的23.32%。除此之外,由于医疗行业数据和信息资料的高价值性,针对医疗系统的网络安全风险和网络攻击也处于活跃状态。

新发展,高发勒索家族威胁持续进阶

近年来新的勒索病毒仍然层出不穷,勒索病毒的威胁也不断发展。国内高发的勒索病毒较多,主要的家族有WannaCry、GlobeImposter、GandCrad等。其中,WannaCry虽然已经爆发许久,但根据深信服云端数据显示,其在2019年高发勒索病毒家族中占比近40%,是国内最高发的勒索病毒,每天依然有大量攻击警报。

在如此多类型的勒索病毒中,RDP暴力破解是攻击者投放勒索的主要方式,占比达到49.59%。但通常来说,勒索软件不会只有一个传播途径。据报告显示,垃圾邮件也是攻击者投放勒索的主要方式之一,占比16.53%。这是因为,很多人在收到邮件的时候都会忍不住点开查看,此时垃圾邮件中携带的病毒就可能会潜入电脑并运行起来。除此之外,社会工程、漏洞利用工具、恶意程序捆绑等也是勒索病毒的主要攻击方式。

以远程监视和管理(RMM)解决方案(例如 Kaseya、ScreenConnect 和 Bomgar)中的漏洞入侵为例,攻击者通过这种方式,轻松地将勒索软件远程分发到网络中。 RMM解决方案通常以高特权运行,一旦遭到破坏,就会为远程攻击者提供“手动操作”访问,从而导致数据劫持的发生。勒索病毒自身及攻击方式的不断发展更新,将带来持续且同样发展进阶的威胁。

新模式,勒索升级防护难度加大

报告显示,勒索软件已经衍生出不交赎金即公开数据新模式。过往勒索软件的勒索模式主要是加密受害者的数据,需要通过支付赎金来换取解密密钥。而近期一些勒索软件在进行攻击时会窃取受害者的私密数据,如果受害者不支付赎金,攻击者就会威胁公开或出售这些被盗数据,这使得受害者还要承担声誉、业务、法律诉讼等多重压力。除这种模式本身带来的威胁以外,它带动其他攻击者的模仿,将会带来更加严峻的威胁。

例如,去年11月,美国Allied Universal公司受到Maze勒索软件攻击,攻击者称其加密并下载了他们的机密文件和数据,要求300个比特币的解密赎金。一周后由于Allied Universal公司未支付赎金,攻击者就在黑客论坛上公布了700MB的数据。不久之后,Sodinokibi也开始效仿Maze,他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接,并称如果该公司不支付赎金,他们将发布更多的数据。

这种利用被盗数据作为砝码的行为将会使事情变得更糟,未来主流勒索团伙很可能选择这种新的勒索攻击方式,并且在这一领域持续“创新”,攻击方式和手段将会变得更加复杂。

面对愈加复杂的网络环境和不断进阶发展的技术手段,勒索病毒对于以政企机构为代表的用户已经展现了新的威胁并呈现继续深化的趋势。深信服建议,首先组织单位可加强对于相关风险的监测,将勒索病毒扼杀在摇篮里;其次,可依据组织单位需求和策略,修补关键性的操作系统和应用;同时,确保杀毒软件处于最新状态,配置定期扫描计划;除此之外,组织单位还可以通过及时对重要文档的备份,以确保业务连续性。未来,深信服愿与国内安全厂商共同努力,一起为网络安全贡献出智慧和力量。