安全動(dòng)態(tài)

RSA 2017:勒索軟件成熱點(diǎn) 收了贖金還撕票

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-02-17    瀏覽次數(shù):
 

信息來(lái)源:比特網(wǎng)

年度峰會(huì)RSA2017已于美國(guó)時(shí)間2月13日盛大開(kāi)幕,按照慣例,RSA組委會(huì)會(huì)根據(jù)參會(huì)組織所屬領(lǐng)域及發(fā)言人提報(bào)議題內(nèi)容提煉相關(guān)的熱門(mén)詞,本屆大會(huì)也不例外。DATA、CLOUD、THREAT、INTELLIGENCE等一直是近幾年的熱點(diǎn)領(lǐng)域,從過(guò)去兩天的大會(huì)議題來(lái)看,今年又多了一個(gè)熱點(diǎn)——Ransomware(勒索軟件)。

為什么勒索軟件會(huì)成為今年熱點(diǎn)

根據(jù)FBI發(fā)布的來(lái)看,2016年Q1發(fā)生的勒索事件中,被攻擊者向黑客支付的贖金就超過(guò)2億美元,而2015年一整年僅有2400萬(wàn)美元??ò退够鶎?shí)驗(yàn)室IT威脅演化2016第三季度報(bào)告顯示,遭受加密勒索軟件攻擊的用戶數(shù)量增長(zhǎng)了超過(guò)2倍,達(dá)到821865人。賽門(mén)鐵克按照年份統(tǒng)計(jì)的勒索軟件,上漲趨勢(shì)也非常明顯。

說(shuō)明: http://oa.nsfocus.com/resource/fckeditor/editor/filemanager/download?fdId=15a21c0b4e7f95c01e299e54e0784a27

(賽門(mén)鐵克按照年份統(tǒng)計(jì)的勒索軟件)

勒索軟件能夠如此猖獗,很大一部分原因在于它采用社交工程迷惑用戶,病毒借助惡意郵件對(duì)受害者狂轟濫炸以達(dá)到非法侵入目的。從目前來(lái)看,有99%的勒索病毒來(lái)源于電子郵件的傳播,犯罪者往往能夠抓住公眾或者目標(biāo)受眾所關(guān)心的話題,打著“最新消息”、“中獎(jiǎng)”、“緋聞探秘”、“免費(fèi)送iPhone”等旗號(hào)引誘用戶點(diǎn)擊病毒鏈接,誘使用戶下載執(zhí)行惡意程序,從而加密用戶、文件乃至分區(qū)等等,對(duì)受害者實(shí)施敲詐勒索,有些勒索甚至危及性命。

勒索軟件正在向大數(shù)據(jù)/云計(jì)算/物聯(lián)網(wǎng)等平臺(tái)擴(kuò)散

綜合Datto和SentinelOne的數(shù)據(jù)來(lái)看,Ransomware事件普遍發(fā)生在醫(yī)療、交通、政府、酒店等行業(yè),并開(kāi)始有向IOT、工控,以及公有云領(lǐng)域擴(kuò)散的趨勢(shì)。

對(duì)勒索軟件的作者而言,哪種方式能夠得到更多勒索贖,哪種方式更容易黑入,他們就會(huì)潛入??梢韵胂螅绻袎蚨嗟睦嬲T惑,他們甚至敢勒索一個(gè)國(guó)家。

勒索軟件大量利用漏洞進(jìn)行滲透

勒索軟件慣用伎倆是利用漏洞進(jìn)行惡意軟件安裝,下面這張表,列出了每年勒索軟件進(jìn)行漏洞利用的數(shù)量。出現(xiàn)新的漏洞利用時(shí),勒索軟件的作者會(huì)立刻進(jìn)行相應(yīng)更新,這樣就能感染到更多的設(shè)備,會(huì)有更多受害者,也就有更多贖金的可能。是的,他們很“勤奮”。

說(shuō)明: http://oa.nsfocus.com/resource/fckeditor/editor/filemanager/download?fdId=15a21c4cc5c666e2967ab404b2aa3c0c

漏洞方式不靈就用釣魚(yú)作為突破手段

“ GoldenEye ”是勒索軟件 Petya 的一個(gè)變種系列,惡意宏代碼可執(zhí)行、加密計(jì)算機(jī)上的文件。加密完成后,代碼會(huì)修改主引導(dǎo)記錄( MBR ),重新啟動(dòng)電腦并加密磁盤(pán)文件。此類釣魚(yú)郵件專門(mén)針對(duì)人力資源部門(mén),HR需要大量打開(kāi)陌生人的電子郵件和附件去了解求職者情況的特性就讓不法分子鉆了空子,,

通常,釣魚(yú)郵件中包含兩個(gè)附件,其中一個(gè)附件是正常的PDF 求職信,目的是為了迷惑受害者讓她相信這確實(shí)是一個(gè)求職者。此后,受害者會(huì)打開(kāi)另外一個(gè)帶有惡意宏功能的 Excel 文件。 Excel 會(huì)顯示一個(gè)正在加載的圖片并請(qǐng)求受害者啟用內(nèi)容,以便繼續(xù)加載宏文件。一旦受害者單擊“啟用內(nèi)容”宏內(nèi)的代碼將被執(zhí)行并啟動(dòng)加密文件進(jìn)程,使受害者無(wú)法訪問(wèn)文件。

勒索軟件“ GoldenEye ”會(huì)以 8 個(gè)字符的隨機(jī)擴(kuò)展名加密文件,所有文件加密后,將會(huì)顯示一個(gè)勒索信“你的文件已被加密.txt”。

而用戶中招后 往往是付了贖金還被撕票

黑客攻破主機(jī),通常會(huì)加密鎖定用戶的關(guān)鍵文件、文件夾等(比如Windows的用戶目錄、My Documents、相片、工作有關(guān)的docx/xlsx等),讓受害者不能訪問(wèn),并向受害者發(fā)出或者留下勒索信息,勒索的贖金通常通過(guò)比特幣來(lái)支付,通常是半個(gè)到1個(gè)比特幣。從調(diào)研數(shù)據(jù)來(lái)看,接近一半的受害者會(huì)支付贖金想要恢復(fù)數(shù)據(jù),但不幸的是四分之一的受害者依然得不到恢復(fù)——“付贖金,依然被撕票”。

所以防范勒索軟件攻擊 是個(gè)系統(tǒng)化工程

會(huì)議中來(lái)自于Stanford University的CISO、Datto的Chief Technology Officer、SentinelOne的Chief of Security Strategy、DataGravity的CISO等專家一致表示當(dāng)前針對(duì)勒索軟件的防護(hù)沒(méi)有“銀彈”,是一個(gè)系統(tǒng)化的工程,重點(diǎn)是:

1、 需要從人員的安全意識(shí)培訓(xùn)入手,降低人為引入的威脅。

小編:勒索軟件大多通過(guò)釣魚(yú)郵件方式撒網(wǎng),用戶不小心接收打開(kāi)后中招。所以,提高用戶的安全意識(shí)很重要。從源頭上進(jìn)行的防護(hù)。

2、 做好數(shù)據(jù)備份與持續(xù)更新,在關(guān)鍵時(shí)刻可以發(fā)揮作用。

小編:備份、備份、備份,重要的事情說(shuō)三遍。另外,備份需要3-2-1的原則:至少3份拷貝,存放在2個(gè)地方(異地備份),1個(gè)離線備份。事實(shí)上,還出現(xiàn)過(guò)這種“意外”,個(gè)別用戶做了備份,卻是在線的,結(jié)果也被勒索軟件一起給加密了,真是哭笑不得。

3、 保證操作系統(tǒng)更新到最新的版本,降低受攻擊的可能性。

4、 應(yīng)用防病毒、未知威脅檢測(cè)等技術(shù)對(duì)勒索軟件進(jìn)行檢測(cè)與防護(hù)。

提升安全意識(shí) 不僅需要培訓(xùn)更需要培養(yǎng)

事實(shí)上,安全意識(shí)培養(yǎng)在ISO27001信息安全管理體系標(biāo)準(zhǔn)要求中也占據(jù)一個(gè)獨(dú)立的控制項(xiàng),,足以說(shuō)明他的重要程度。

說(shuō)明: http://oa.nsfocus.com/resource/fckeditor/editor/filemanager/download?fdId=15a21dccd10e3a1e0383a5e40aaa50db

因?yàn)榘踩庾R(shí)不是簡(jiǎn)單一次兩次培訓(xùn)就能提升的,它需要一個(gè)較長(zhǎng)的時(shí)期來(lái)滲透,所以用“培養(yǎng)”更為貼切些。在安全意識(shí)培養(yǎng)方面,綠盟科技結(jié)合國(guó)內(nèi)近期大規(guī)模出現(xiàn)的勒索軟件攻擊事件(如locky勒索軟件等),推出了“釣魚(yú)郵件測(cè)試平臺(tái)”及相關(guān)服務(wù)。

平臺(tái)還可以通過(guò)自定義郵件模擬最新的勒索變種,定向了解單位某部門(mén)或某部分員工的意識(shí)形態(tài);通過(guò)反復(fù)測(cè)試的方式,輔助以安全教育,提升安全警惕性和辨別能力,防患于未然。

當(dāng)然還需要從技術(shù)層面抵御勒索軟件

已知勒索軟件比較好查殺,但往往攻擊者為了躲避查殺,會(huì)繞開(kāi)“已知”想盡各種“未知”招數(shù)。這個(gè)時(shí)候,動(dòng)態(tài)分析引擎就起到?jīng)Q定性作用,它會(huì)在系統(tǒng)中動(dòng)態(tài)跟蹤目標(biāo)樣本的執(zhí)行動(dòng)作,一旦“不軌”,立刻“抓獲”。

2016年年底,綠盟威脅分析系統(tǒng)(NSFOCUS TAC)幫助華中某大型煙草公司的客戶檢測(cè)到勒索軟件,通過(guò)部署的NSFOCUS TAC產(chǎn)品,動(dòng)態(tài)分析引擎發(fā)現(xiàn)了這個(gè)惡意軟件,工程同事在虛擬機(jī)里驗(yàn)證,分析了勒索軟件的最新趨勢(shì),并給出解決方案。

說(shuō)明: http://oa.nsfocus.com/resource/fckeditor/editor/filemanager/download?fdId=15938c0bfb7c726330a5e2545cfb4c41&original=true

用綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)RSAS 應(yīng)對(duì)勒索軟件攻擊大數(shù)據(jù)平臺(tái)

近期,部分黑客組織針對(duì)ElasticSearch、MongoDB、Hadoop集群等大數(shù)據(jù)平臺(tái)進(jìn)行了勒索攻擊。統(tǒng)計(jì)結(jié)果顯示,已有至少34000多臺(tái)MongoDB數(shù)據(jù)庫(kù)被黑客組織入侵。超過(guò)了2711臺(tái)ElasticSearch服務(wù)器受到黑攻擊,數(shù)據(jù)庫(kù)中的數(shù)據(jù)均被黑客加密并索要贖金。緊隨這兩個(gè)攻擊事件,目前已經(jīng)有黑客將目標(biāo)指向Hadoop集群。目前綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)(NSFOCUS RSAS)已開(kāi)發(fā)相關(guān)原理檢測(cè)插件,即將于本周發(fā)布相關(guān)插件升級(jí)包:rsas-vulsys-V6.0R02F01.0502.dat,已采購(gòu)綠盟RSAS產(chǎn)品的廣大客戶盡快升級(jí)檢測(cè),及時(shí)發(fā)現(xiàn)安全隱患,防止您的寶貴資產(chǎn)遭受損失。

 
 

上一篇:云計(jì)算將全球爆發(fā)意味著什么?

下一篇:2017年02月17日 聚銘安全速遞