近期以來(lái)，針對(duì)金融、能源等關(guān)基行業(yè)的勒索攻擊，又開(kāi)始全球發(fā)酵。不久前，某金融機(jī)構(gòu)在官網(wǎng)發(fā)布聲明稱遭受了勒索軟件攻擊，導(dǎo)致部分系統(tǒng)中斷，LockBit組織確認(rèn)對(duì)本次攻擊負(fù)責(zé)。奇安信服務(wù)器安全專家提醒，LockBit勒索家族號(hào)稱加密最快的勒索軟件，包括波音公司在內(nèi)，超過(guò)千家企業(yè)遭受LockBit勒索軟件攻擊。

圖源于網(wǎng)絡(luò)

01

金融、能源和中小企業(yè)更易受到勒索攻擊

值得注意的是，這并非LockBit今年頭一次發(fā)動(dòng)擾亂全球金融體系的網(wǎng)絡(luò)攻擊，八個(gè)月前，ION Trading UK（一家為全球衍生品交易者提供服務(wù)的公司）遭遇LockBit勒索軟件攻擊，導(dǎo)致市場(chǎng)癱瘓，迫使其手動(dòng)處理每天數(shù)千億美元的交易。

眾所周知，金融安全是國(guó)家安全的重要組成部分，是經(jīng)濟(jì)平穩(wěn)健康發(fā)展的重要基礎(chǔ)。今年的一份報(bào)告估計(jì)，匯總?cè)蜃?018年以來(lái)的數(shù)據(jù)，金融業(yè)因勒索軟件攻擊造成宕機(jī)的經(jīng)濟(jì)影響高達(dá)323億美元。與此同時(shí)，國(guó)外網(wǎng)絡(luò)安全公司發(fā)布了《針對(duì)能源行業(yè)的勒索軟件攻擊呈上升趨勢(shì)-核能、石油和天然氣是2024年的主要攻擊目標(biāo)》，總結(jié)了其發(fā)現(xiàn)的勒索軟件攻擊趨勢(shì)。其中，針對(duì)能源行業(yè)的勒索軟件攻擊顯著增加。

除了金融和能源行業(yè)之外，互聯(lián)網(wǎng)工作需求越來(lái)越大，中小企業(yè)也成為了勒索攻擊的主要目標(biāo)。根據(jù)國(guó)外一份安全調(diào)研報(bào)告顯示，在2021年的勒索攻擊有75%是針對(duì)于中小企業(yè)發(fā)起的。這些中小企業(yè)往往沒(méi)有成熟的自我保護(hù)機(jī)制，在網(wǎng)絡(luò)防護(hù)中存在諸多薄弱環(huán)節(jié)，很容易成為勒索攻擊的目標(biāo)。 奇安信服務(wù)器安全團(tuán)隊(duì)研究發(fā)現(xiàn)，2022年，LockBit成為最活躍的勒索軟件團(tuán)伙，擁有全球植入最多的勒索軟件變種，并在2023年持續(xù)在全球發(fā)酵，遭受LockBit攻擊的行業(yè)涵蓋各個(gè)領(lǐng)域，包括金融業(yè)、制造業(yè)、能源、政府、醫(yī)療、教育、運(yùn)營(yíng)商等。

目前的LockBit不斷演進(jìn)迭代，經(jīng)歷了多個(gè)版本，現(xiàn)在主流的LockBit 3.0是勒索軟件LockBit 2.0和 LockBit的延續(xù)，同時(shí)LockBit也將BlackMatter和 ALPHV（BlackCat Ransomware）等其他勒索軟件集成到LockBit3.0中，更重要的是，有組織觀察到LockBit利用工具進(jìn)行二次勒索事件。

LockBit最常用的攻擊手段，包括了利用釣魚(yú)郵件攻擊、利用系統(tǒng)漏洞攻擊（例如永恒之藍(lán)、log4j、OA漏洞等）、利用安全漏洞攻擊（如弱口令、遠(yuǎn)程代碼執(zhí)行等網(wǎng)絡(luò)產(chǎn)品安全漏洞）、利用遠(yuǎn)程登錄攻擊、利用網(wǎng)站掛馬傳播、利用移動(dòng)介質(zhì)傳播、利用軟件供應(yīng)鏈傳播、利用遠(yuǎn)程桌面入侵傳播等，由于攻擊手法多樣，給網(wǎng)絡(luò)安全防護(hù)造成極大的難度。

02

奇安信天守提供防勒索專項(xiàng)安全防護(hù)方案

2023年9月，奇安信天守終端安全防護(hù)系統(tǒng)發(fā)布了針對(duì)勒索攻擊防護(hù)的專項(xiàng)安全能力。該服務(wù)以勒索攻擊的事前、事中為主要防護(hù)階段，實(shí)現(xiàn)病毒實(shí)時(shí)防護(hù)、漏洞風(fēng)險(xiǎn)核查、弱口令風(fēng)險(xiǎn)核查、高級(jí)威脅攻擊防護(hù)以及勒索專項(xiàng)防護(hù)（勒索誘餌、文件讀寫(xiě)防護(hù)）五個(gè)層面的遞進(jìn)式防護(hù)體系，從而在勒索病毒滲透和加密的各個(gè)入侵環(huán)節(jié)嚴(yán)密防護(hù)，積極對(duì)抗，構(gòu)建勒索防護(hù)能力閉環(huán)。

在病毒實(shí)時(shí)防護(hù)方面，天守病毒檢測(cè)功能支持LockBit勒索家族樣本查殺。將天守-防勒索版病毒碼升級(jí)到最新版本，可有效防護(hù)勒索病毒落地。六合高級(jí)威脅防護(hù)引擎，有效防護(hù)無(wú)文件攻擊、橫移滲透攻擊、內(nèi)存攻擊等多個(gè)高級(jí)威脅攻擊。

在漏洞風(fēng)險(xiǎn)核查方面，第一步是開(kāi)啟高危漏洞識(shí)別功能，通過(guò)下發(fā)已梳理在推薦模板中被勒索病毒武器化的高危漏洞掃描任務(wù)，根據(jù)掃描出來(lái)的漏洞進(jìn)行修復(fù)，能有效降低勒索病毒利用高危漏洞攻擊的風(fēng)險(xiǎn)，防止攻擊者利用高危漏洞投放勒索病毒。

在弱口令風(fēng)險(xiǎn)核查方面，開(kāi)啟弱口令核查功能，需要對(duì)系統(tǒng)弱口令進(jìn)行檢測(cè)，將不符合要求的弱口令用戶密碼進(jìn)行提示。方便用戶及時(shí)掌控安全動(dòng)態(tài)，及時(shí)整改弱口令風(fēng)險(xiǎn)，避免通過(guò)弱口令進(jìn)行勒索入侵。

在文件監(jiān)控與防護(hù)方面，基于勒索病毒在文件系統(tǒng)層、磁盤(pán)IO讀寫(xiě)層進(jìn)行勒索加密時(shí)的行為特征，天守利用隱私防護(hù)功能在文件被越權(quán)進(jìn)行讀、寫(xiě)時(shí)進(jìn)行攔截提醒，有效防御勒索進(jìn)程運(yùn)行，阻塞勒索操作。

最后是天守勒索專項(xiàng)防護(hù)，天守防勒索專項(xiàng)提供了17項(xiàng)攻擊防護(hù)內(nèi)容，以及多個(gè)高級(jí)威脅防護(hù)項(xiàng)目。對(duì)勒索威脅提供了預(yù)警、日志等手段幫助管理員實(shí)現(xiàn)和開(kāi)展企業(yè)內(nèi)終端的勒索防護(hù)工作。天守還提供了勒索誘餌防護(hù)功能，系統(tǒng)會(huì)在操作系統(tǒng)中創(chuàng)建誘餌doc文件，并實(shí)時(shí)監(jiān)控該文件的寫(xiě)入，正常業(yè)務(wù)不會(huì)訪問(wèn)到誘餌文件。當(dāng)勒索病毒遍歷系統(tǒng)中文檔并加密時(shí)，也會(huì)對(duì)誘餌文件進(jìn)行加密，同時(shí)該功能會(huì)監(jiān)控到加密文件的勒索病毒進(jìn)程，阻斷該進(jìn)程并隔離進(jìn)程關(guān)聯(lián)的勒索病毒文件。

03

防勒索攻擊的幾點(diǎn)安全建議

近年來(lái)，以Lockbit為代表的勒索病毒攻擊頻頻發(fā)生，給金融、制造業(yè)、能源等行業(yè)帶來(lái)重要數(shù)據(jù)泄露、社會(huì)系統(tǒng)癱瘓等重大危害，甚至嚴(yán)重威脅了國(guó)家安全。面對(duì)來(lái)勢(shì)洶洶的勒索攻擊，政企組織該怎樣自救？奇安信終端安全防護(hù)專家歸納了以下幾點(diǎn)建議。

定期備份：定期備份所有數(shù)據(jù)，并確保備份存儲(chǔ)在離線設(shè)備或云存儲(chǔ)中。這樣，即使受到勒索軟件攻擊也有冗余恢復(fù)數(shù)據(jù)；

更新軟件：及時(shí)更新操作系統(tǒng)、應(yīng)用程序和安全軟件，以填補(bǔ)漏洞和提高安全性；

加強(qiáng)終端防護(hù)：可以部署天守終端安全防護(hù)系統(tǒng)，可以在勒索病毒的事前攻擊階段、事中加密破壞階段進(jìn)行防御和攔截。通過(guò)六合高級(jí)威脅防護(hù)引擎和天守特有的“隱私防護(hù)”功能，有效阻止勒索攻擊行為；

建立強(qiáng)密碼：使用強(qiáng)密碼來(lái)保護(hù)所有帳戶，并定期更改密碼；

系統(tǒng)加固：關(guān)閉非必要對(duì)外的服務(wù)、端口、共享等；

提高安全意識(shí)：保持安全意識(shí)，警惕不明來(lái)歷的電子郵件、鏈接和下載。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞：