近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些


近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
根据“火绒威胁情报系统”监测,近期出现多起勒索病毒加密文件后缀名为“shanghai3”和“beijing”事件,极具地域性和本土特色,请广大用户小心 。
近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
需要注意的是,此前同一个勒索病毒加密文件后缀名具有固定格式,作为和其它勒索病毒区分特征之一 。比如勒索病毒Globelmposter加密文件的后缀名通常为某希腊主神名或动物名+数字(“Zeus666”或“Pig4444”等) 。
而此次火绒监测到的两个同为地名的勒索病毒加密后缀名,虽然格式极为相似,但却分属两个不同的病毒所为 。
这一现象侧面反映了,勒索病毒在活跃的同时,也在时刻变化着 。而根据“火绒威胁情报系统”的监测以及在服务用户问题中发现,勒索病毒的攻击渠道、攻击方式等也在增加和改变,导致用户面临的安全风险进一步增加 。因此,对于勒索病毒的认知和对抗,重点依旧在于提前防护和及时响应 。
在此,我们根据“火绒威胁情报系统”的监测和统计,选出几个典型的场景加以说明,并提供相对应的有效预防方式,帮助用户避免风险 。
一、漏洞利用或逐渐增加
在以往,勒索病毒运营商远程主动向用户发起攻击的方式有两个:1、直接通过弱口令暴力破解进入用户系统;2、通过黑市购买远程登录凭证进行入侵 。
而在近期,火绒“威胁情报系统”监测到有漏洞攻击在大面积、高频次的爆发(详见报告《注意!近期漏洞攻击频次均值上涨282% 》 ) 。值得警惕的是,我们在被这次漏洞攻击影响的用户现场发现了勒索病毒 。
近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
要知道,此前WannaCry勒索病毒席卷全球,正是利用“永恒之蓝”漏洞大面积传播 。而上述火绒监测到的漏洞攻击除了通过“永恒之蓝”外,还有CVE-2020-0796和CVE-2019-0708等多种漏洞 。
上述现象或许表明,勒索病毒已经具备了可以稳定使用漏洞主动发起范围性攻击的可能 。这对于用户而言,特别是IP暴露在外网,又不方便脱产打补丁的企业用户,无疑又增加了被勒索的风险 。
预防响应:
1、及时打补丁 。
2、对于不便打补丁的用户,可开启火绒【网络入侵拦截】功能(企业产品为【黑客入侵拦截】),对服务器提供"虚拟补丁"进行防御,降低因暂时无法安装补丁带来的风险 。
近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 

近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
二、借助黑客工具精准勒索
通过“火绒威胁情报系统”发现,在不少企业终端上,存在被入侵并留下黑客渗透工具的现象 。
近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
这些黑客工具原本属于正常程序(如PowerShell、PsExec等),但会被黑客用来寻找企业终端中的关键服务器,从而在后续的入侵中,帮助勒索病毒对重要的信息数据进行精准的加密,更“顺利”的勒索赎金 。
实际上,在目前发生的安全事件中,有30%都与正常工具遭黑客利用有关 。这种入侵模式,已然成为一条完整的勒索病毒攻击产业链:通过黑客工具,寻找合适服务器,然后将信息提供给勒索病毒作者,最后合作完成勒索任务 。这种精准有预谋的勒索形式,对企业的危害也将是巨大的 。
预防响应:
1、增加口令强度 。
2、企业用户安装火绒企业版并定期扫描(火绒对黑客工具会做报毒处理),发现黑客工具可及时联系火绒,获取专业的、有针对性的安全加固 。
近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
3、 个人用户可开启【访问控制】-【程序执行控制】中,开启【风险工具】功能,阻止黑客工具运行 。
近期勒索病毒攻击方式频频翻新,企业用户易踩陷阱有哪些

文章插图
 
三、利用“关联单位” 作为攻击跳板
在不同企业之间,因为业务需求和联系而建立互相访问的网络,或者职能相近的政企单位共用一个网络,已经是常见的网络管理现象 。
这种网络共享的方式在一定程度上方便了企业之间的办公,但也同时也让企业面临更多的安全风险 。因为共享网络就像一个安全防护缺口,黑客可以在入侵网络内任何一家企业后,以之为跳板,攻击其它的企业 。一旦被攻击的其它企业未做防护,将面临各类安全风险 。


推荐阅读