7月至11月勒索事件攻击态势:——腾讯安全威胁情报中心
7月上旬,勒索病毒家族Crysis(Phobos)、Sodinokibi、Globeimposter、Maze、Medusalocker、Buran等持续活跃但整体攻击量呈递减趋势。7月中下旬发现Tellyouthepass勒索家族开始借助永恒之蓝漏洞在国内传播,同时Avaddon家族在7月下旬感染量逐渐下降,新型勒索病毒BeiJingCrypt也在国内有所活跃,其特点为加密后将文件添加为.beijing扩展后缀。
8月整体勒索病毒呈先高后低的趋势,8月上旬由于GlobeImposter、Buran、Crysis(Phobos)、Sodinokibi等勒索病毒家族持续发起攻击,当月上旬勒索攻击显得较为活跃。8月中感染量有所下降,主要原因为各老牌家族活跃度降低,而Nemty家族则有活跃迹象。8下旬Stop系列勒索变种(以.boop加密扩展后缀为典型代表)借软件供应链传播,致使勒索攻击当月末勒索病毒影响出现上升趋势。
9月上旬勒索病毒感染趋势达到本月峰值,主要原因为Crysis(Phobos),Sodinokibi、Stop、Nemty、Avaddon等家族活跃导致。9月中旬开始勒索整体感染趋势有所下降逐渐趋于平稳,主要为各勒索家族活跃度降低导致。但同时GlobeImposter家族活跃度有所上升,该家族依然为通过RDP弱口令传播,通过观察部分受害者被攻击环境可知,攻击者在早期爆破成功后并不立即实施加密勒索,通过留下一个后门远程账户,经过潜伏期尝试横向移动对该系统充分利用后,再使用后门账户远程登录投毒。
10月上旬勒索病毒感染量较低,受GlobeImposter,Crysis(Phobos),Medusalocker持续活跃影响,在10月中旬勒索整体感染达到本月峰值。Sodinokibi,Nemty,,Stop等家族本月依然活跃。同时,Phorpiex僵尸网络在本月依然间歇性投递Avaddon勒索病毒。分析勒索病毒的攻击手法,发现弱口令爆破依然是企业遭受勒索攻击的最主要原因,老牌勒索团伙通常会对企业进行持久性的外部攻击,突破企业防线后再内部手动操作横向扩散,进而导致企业内网大面积感染,严重的造成业务停摆。
11月中上旬勒索病毒感染量较低,下旬开始攻击感染趋势有明显上升。本月GlobeImposter,Crysis(Phobos),Medusalocker家族攻击最为频繁。Buran,LockBit,Stop,Sodinokibi,Avaddon等家族也有所活跃。勒索团伙入侵企业内一台资产后,通常并不立刻进行加密操作,而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。勒索团伙不止使用公开的已知窃密木马,同时也会对正常的远程管理软件进行破解改造木马化利用。数据加密 数据泄露的勒索模式将会对企业带来经济和社会声誉的双重损失。
勒索病毒感染上升原因:(个人看法)
1.勒索态势同比特币价上升趋势相同,可能存在炒币动机。
自10月底开始至今,比特币价格攀升90%
我们知道,勒索病毒的赎金交易方式大部分以比特币作为流通,因近年勒索事件频发和上升,国内外安全厂商针对不同勒索病毒已逐渐形成成熟安全解决方案和能力,用户因被勒索而为不法分子支付赎金的可能已经越来越少。在这样一个防勒索能力逐渐强化和比特币矿池资源逐渐枯竭的环境背景下,可能存在:“利用勒索事件制造舆情——舆情推动比特币价格上涨——持有者高位套现”的前后逻辑。往年的勒索事件同数字货币价格的上涨下跌无明显联系,但今年受疫情影响,股市和各级投资市场整体活跃度欠佳,大量投资者资产持有不流通。利用勒索事件,拉升比特币交易市场活跃度,吸引资金入局大有可能。
2.国内安全演习活动逐渐结束,存在空窗期,勒索病毒借此机会开始活跃
接近年底,国内安全演习活动逐渐收尾结束,整体防护能力有所下降。勒索病毒借此空窗期大面积爆发,近期攻击方式多以:
(1)RDP远程登录爆破,投递感染。
(2)勒索钓鱼邮件,触发感染。
(3)MYSQL爆破,MSSQL爆破,Redis未授权访问等数据库安全风险,删库勒索。
(4)445端口SMB服务内网扩散感染
“预防”依旧重于“治疗”,现网对不可解密勒索病毒兜底解决方案:
“上医治未病,中医治欲病,下医治已病”——《皇帝内经》
勒索病毒存在攻击时效性的特点,现网环境下,不法分子会利用现市面上还未出现解密方法的勒索病毒投递攻击,因此勒索事件在事后处理环节唯一有效的解决方案就是镜像快照备份,对业务的可用性,能力恢复,安全性恢复等方面效率最高。
因此务必,请务必一定要做好定期备份快照!否则无法保证数据可恢复!!!
腾讯云定期快照操作指引参考:https://cloud.tencent.com/document/product/362/8191
如果中了勒索该怎么办?对可解密的勒索攻击解决方案:
现网已知可解密的勒索解密工具集,可先检索是否可将数据还原解密
解密工具集:
【腾讯哈勃】勒索软件专杀工具
https://habo.qq.com/tool/index
【金山毒霸】勒索病毒免疫工具
http://www.duba.net/dbt/wannacry.html
【火绒】勒索病毒解密工具集合
http://bbs.huorong.cn/thread-65355-1-1.html
【瑞星】解密工具下载
http://it.rising.com.cn/fanglesuo/index.html
【nomoreransom】勒索软件解密工具集
https://www.nomoreransom.org/zh/index.html
【MalwareHunterTeam】勒索软件解密工具集
https://id-ransomware.malwarehunterteam.com/
【卡巴斯基】免费勒索解密器
https://noransom.kaspersky.com/
【Avast】免费勒索软件解密工具
https://www.avast.com/zh-cn/ransomware-decryption-tools
【Emsisoft】免费勒索软件解密工具
https://www.emsisoft.com/ransomware-decryption-tools/free-download
Wannacry(ms17-010) :解密工具:
https://habo.qq.com/tool/detail/searchdky
XData:解密工具:
https://habo.qq.com/tool/detail/xdatacrack
CCleaner:查杀工具:
https://habo.qq.com/tool/detail/ccleaner_ghost_killer
Allcry:解密工具:
https://habo.qq.com/tool/detail/allcrykiller
TeslaCrypt:解密工具:
https://habo.qq.com/tool/detail/teslacrypt
ALLcry:解密工具:
https://habo.qq.com/tool/detail/allcrykiller
powerware:解密工具:
https://habo.qq.com/tool/detail/ransomware_recovery_tools
Hakbit:解密工具:
https://github.com/RedDrip7/Hakbit_decryptor
安全防范建议
1)定期 备份/快照
关键数据定期备份、快照,这是防范勒索类恶意软件的最佳方式。
2) 服务器设置大写、小写、特殊字符、数字组成的 12-16 位的复杂密码 ,推荐使用密码生成器,自动生成复杂密码,链接参考: https://suijimimashengcheng.51240.com/
3) 删除服务器上设置的不需要的用户
4) 对于不需要登录的用户,请将用户的权限设置为禁止登录
5) 修改远程登录服务的默认端口号以及禁止超级管理员用户登陆
Windows 远程端口修改参考文档: https://cloud.tencent.com/developer/article/1052163
Linux 远程端口修改参考文档: https://cloud.tencent.com/developer/article/1124500
6) 安全的方法:只使用密钥登录禁止密码登陆 (针对 Linux 系统)
7) 云主机有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档: https://cloud.tencent.com/document/product/215/20398
8) 不建议向公网开放核心应用服务端口访问,例如 mysql、 redis 等,您可修改为本地访问或禁止外网访问 。针对 redis 漏洞可以参考 :https://www.freebuf.com/column/170710.html
9) 不建议向公网开放运维工具的访问,例如宝塔面板、 phpmyadmin 等。针对 phpmyadmin漏洞可以参考: https://www.cnblogs.com/M0rta1s/p/11517423.html
10) 如果本地外网 IP 固定,建议使用安全组或者系统防火墙禁止除了本地外网 IP 之外所有 IP 的登录请求
需注意:
A. 做好云服务器系统的安全防护可以有效加强云服务器系统安全, 但也无法保证绝对安全。
B. 建议定期做好云服务器系统的安全巡检及数据备份,以防突发情况导致数据丢失、或业务不可用。
C. 收到主机安全的告警通知,务必第一时间登录云平台进行处置
云主机安全,以及主机内的数据、应用安全,需要用户自己负责。
结语
强烈提醒:请一定要做好快照备份!