2023年3月2日,中国互联网络信息中心发布了第51次《中国互联网络发展状况统计报告》。《报告》显示,截至2022年12月,中国网民规模达10.67亿,较2021年12月增长3549万,互联网普及率达75.6%。截至2022年12月,在网络基础资源方面,中国域名总数达3440万个,较2021年12月增长6.8%。从上面的数据来看,互联网的高速发展给我们的生活带来了跨越式变化,网络基础日益坚实,生态体系日趋完善,经历了从高速增长到中高速增长、从高度集中到多极竞争、从服务生活到赋能等多个方面。但随着国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,全球产业链供应链遭受攻击,网络空间安全面临的形势持续复杂多变,网络空间对抗趋势更加突出,大规模针对性网络攻击行为增加,网络形势已然变得更加具有挑战性。随着云计算、大数据、物联网、人工智能等技术的发展,网络威胁持续进化变得更加棘手、难以应对。同时,网络攻击手段更为多样,安全漏洞、数据泄露、网络诈骗、勒索软件、APT攻击等安全事件频发。
企业中网络安全威胁-勒索软件
自2017年5月“WannaCry”勒索病毒爆发以来,勒索病毒就开启了“新纪元”,肆无忌惮的进入了大众的视野,2017年5月,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机问题; 2018年8月,全球芯片头号代工厂台积电(TSMC)就遭到勒索病毒的大规模入侵,三天内被勒索17亿元,三大产线停摆,损失自然不小。
2021年美国Colonial燃油管道公司遭到Darkside勒索软件攻击,该公司每天运送多达1亿加仑的汽油、柴油、航空煤油与家用燃料油,负责美国7个机场的燃油供应。此次攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线,成品油供应中断,美国政府宣布进入国家紧急状态,此次事件也成为史上勒索软件攻击造成影响力之最。
2022年更是勒索软件猖狂的一年,主要的大事件包括哥斯达黎加政府因勒索攻击宣布进入“国家紧急状态”;英伟达(Nvidia)遭Lapsus$组织攻击,涉及1TB机密数据;丰田汽车供应商遭勒索攻击,14家本土工厂停运;印度航空公司SpiceJet遭勒索导致乘客滞留;美国新墨西哥州伯纳利洛县因勒索攻击引发越狱危机。到如今,医疗、教育、政府等行业都曾遭到勒索病毒重创过,也是勒索软件重点攻击的对象。
展开全文
为什么勒索软件偏爱医疗、教育、政府等行业
首先就是安全意识不够导致安全防御能力比较薄弱,由于防御能力上的缺陷,攻击者可以使用自动化脚本来进行攻击,所以非常容易得手。其次就是行业数据价值高造成那么多不法分子趋之若鹜常年攻击这些行业。
国内来看遭受勒索病毒的攻击中,江苏、上海、浙江、广东、北京最为严重,其它地区也遭受到不同程度的攻击。
然而,故事远没有结束!国外的就有受到勒索病毒影响更为严重的事件,2022年7月欧洲天然气管道公司遭遇勒索软件攻击,网络攻击导致Encevo和Creos的客户门户站点不可用;8月服务美英等国主要航空公司的技术供应商Accelya透露,遭遇勒索软件攻击,部分系统已经受到影响;同一个月阿根廷地方司法机构遭勒索软件攻击,这或将开启一个新的勒索软件时代,如果没有投入足够的资源进行勒索软件攻击准备和缓解,那么整个国家都可能因为网络攻击而陷入瘫痪。
什么是勒索病毒
勒索病毒是一种新型的恶意软件,它通过加密用户的文件勒索钱财,赎金是勒索软件的最终目标。勒索软件通过网络系统的漏洞而进入受害者的计算机中,直到受害者付清赎金后才将解锁数据。其主要攻击对象是企业用户和个人用户。勒索病毒究其本质只是一段没有多大技术含量的恶意代码,本身也不具备多强的攻击性,利用了系统已有的未发现或未打补丁的漏洞,通过蠕虫病毒来大面积感染传播,中招后释放加密程序、加密文件,其加密的手段还是利用了已有的加密技术。刚刚说到的WannaCry,正是利用了美国国家安全局泄漏的Windows SMB远程漏洞利用程序“永恒之蓝”来进行传播的。
因为企业在面对勒索病毒时的选择面非常广,企业可以选择支付赎金,可以直接放弃,也可以找合作伙伴对它进行处理。正是由于部分企业愿意尝试用赎金的方式解决问题,所以才会导致整个勒索病毒攻击产业链生生不息。
那为什么要用比特币来支付?
1、比特币有一定的匿名性,便于黑客隐藏身份,为了让人找不到始作俑者;
2、其次它不受地域限制,可以全球范围收款;
3、比特币还有“去中心化”的特点,可以让黑客通过程序自动处理赎金。而相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以成为黑客选择。
而且,交完赎金之后也不一定就能解密拿回数据,据统计70%的企业不会交付赎金,30%的企业会去交付赎金。 中间变数太多,即便是交完赎金也不确定是否可以恢复数据,也有可能加密过程中数据就有损坏,还有可能黑客人品信誉问题就不会给你发送密钥。
勒索软件加密数据是否可以自己解密
网上流传的各种“解密方法”,基本上是没用的,某些解密软件反而会破坏数据结构,会导致数据完全无法找回。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限,如果中招的是数据库,恢复出来数据也不完整,也只能是部分数据。如果发现电脑或服务器正在被加密,而数据又比较重要的话,为了保全数据最好不要关机,因为断电关机的话会直接使当前正在加密的文件损坏掉,使其无法解密。 之所以难以解除密钥,是因为现在加密型勒索软件多使用高位元的密钥加密,加密算法、密码强度升级了,用了特殊加密方式。这就如同一把双刃剑,加密技术用在正途是安全保护,用歪了地方就成了勒索赎金。因此,仅仅想利用个人电脑的运算能力自行破解是不太可能的。
中招后应急处置思路
1、先进行排查、检测,可分为感染但未加密和感染已加密两个场景
2、发现勒索病毒后如何进行隔离抑制,对主机进行断网处置,以防止病毒横向扩散。
3、处置阶段,对勒索的机器进行详细信息收集工作。
4、最后就是恢复数据阶段,从备份中恢复损坏的数据,可查看安全厂商已发布部分勒索病毒的解密工具。
事后如何加固,预防勒索病毒再次发生
1、定期做好重要数据、文件的备份工作;关于备份需要重点说说,备份对企业而言是非常有必要的,并且只有有效的数据备份才有用,除此之外,备份的同时要将备份内容在另一个系统环境里进行演练,这点非常关键。勒索病毒除了会加密数据外,更甚者能把整个服务器都给加密,因此多备份、多云方案就是很好的选择,简单粗暴。所以,对企业来说,历史备份必须要有,实时的数据备份也一定要有,建议备份策略:进行备份并使副本保持脱机状态。选择行业标准的3:2:1方法(三组备份,使用两种不同的介质,其中一种保持脱机状态)
2、及时更新升级操作系统和应用软件,修复存在的中高危漏洞;
3、安装正版杀毒软件并及时升级病毒库,定期进行全面病毒扫描查杀;
4、在系统中禁用U盘、移动硬盘自动运行功能。
5、避免使用弱口令,为每台服务器和电脑设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构,口令位数应8位以上;
6、对员工进行安全意识教育或培训,避免打开陌生邮件的附件、下载破解版软件和运行来源不明的程序。
总结:
勒索攻击日益泛滥,对社会造成了巨大的威胁,在勒索软件攻击威胁之下,没有一个团体或组织是绝对安全的,因此,制定适当的安全培训以及制定勒索软件应急排查演练至关重要。勒索攻击行为在未来会不会不断锁定新的目标,以新的方式渗透,我想那是肯定的。在血琳琳的诸多案例下,各企业、组织的信息管理人员不得不引起重视,因为数据对于企业的重要性越来越大。为客户保障数据安全,促进业务良性发展已然成为企业的使命,在勒索软件攻击猖獗的时代下谁都没有办法保证,自己会不会就是下一个受害者。
蜂鸟信安学苑秉承“以人为本”的理念,专注于网络安全行业教育事业,以“就业”为己任,以“实战成长进阶”为目标,以“实战技能培养”为核心,通过多元化实践以及内部模拟实战方式,为真正热爱网络安全的学员提供全面综合能力进阶的平台,欢迎网上咨询或前来参观。
学完蜂鸟课程各阶段将掌握的能力
网络基础
能够掌握网络的通讯原理、网络协议、ACL规则的分配、路由的操作等,在工作中能够发现、排查常见的网络问题。
系统和环境
了解Linux、Windows的特性及操作,能够解决常见的服务器问题,包括中间件的部署、调试,能够胜任大部分日常的运维工作。
数据库
通过学习可以掌握常见的数据库的部署、配置、常见的操作以及安全排查的能力。
安全产品
通过学习能够掌握常见的安全设备(例如WAF、SOC、FW等)的原理、特性、作用场景以及如何分析安全产品输出的结果,并不局限于某一家安全厂商的产品,在工作的时候能够从容应对。
产品经理
掌握产品的功能、特性包括产品的上架规划、部署架构等。同时还能掌握标书的编写,与技术人员的沟通方式,有利于日常工作中的有效的交流。
开发语言
通过多种编程语言的学习,可了解各个语言的特性,寻找适合自己的语言,同时保证自己遇到别的语言的问题的时候能够调试、分析。
web漏洞
能够掌握漏洞的产生原因、攻击手段、修复方式,在平常的工作中可综合灵活地运用。
CTF
了解CTF的各个方向所需的技能,着重讲解的web方向的题型、解题思路。
渗透测试
掌握WEB系统渗透测试方法,能够编写渗透测试报告,以及如何给出合适的修复建议。
攻防演练
了解接下来工作期间需要参与的重大项目,规则、攻击手段、报告编写的方式,能够单独参与小目标的项目。
应急响应
无论是在甲方还是在乙方,都需要掌握的一项技能,如何应对威胁、威胁的分类以及如何处置威胁更快的回复业务,复盘总结如何加固现有的安全体系。