股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
年关将至,恶意猖獗,这3大勒索病毒一定要当心!
发布时间 :2023年11月28日
分(fēn)享:
年关将近,黑客攻击愈发猖獗,勒索攻击越发频繁猛烈。近日,亚信安(ān)全截获了多(duō)只新(xīn)型勒索病毒,这些勒索病毒具(jù)有(yǒu)比较典型的特征。為(wèi)了便于用(yòng)户借鉴及排查内网安(ān)全隐患,我们整理(lǐ)了病毒通告,為(wèi)用(yòng)户敲响警钟,预防勒索攻击事件发生,保护用(yòng)户财产(chǎn)免受损失,避免用(yòng)户因数据泄露而带来的名(míng)誉损失。
全球勒索攻击屡创新(xīn)高
11月初,某知名(míng)金融机构在官网发布声明称,其遭受勒索软件攻击,导致部分(fēn)系统中(zhōng)断。
11月10日,澳大利亚第二大港口运营商(shāng)环球港務(wù)集团声称,其发现“系统遭到入侵”,并于下午关闭港口,采取切断网络等行动,阻止未经授权的访问。
目前,勒索软件攻击已经成為(wèi)各种规模、不同行业的企业机构所面临的主要威胁,大多(duō)数行业已将勒索软件列為(wèi)三大威胁之一。企业因勒索软件而遭受的损失也在增加,而金钱损失只是勒索软件影响的一部分(fēn)除了成本外,企业组织还面临业務(wù)停机、声誉受损以及客户信任度下降等风险。
众多(duō)恶意威胁屡禁不止,这其中(zhōng)CACTUS勒索病毒、Akira勒索病毒、Blackbit勒索病毒在2023年尤為(wèi)活跃,通过暴力破解、遠(yuǎn)程控制等手段侵入系统,加密主机上的文(wén)件,并勒索高额的赎金。
3大勒索病毒详细分(fēn)析
CACTUS勒索病毒
CACTUS勒索病毒于2023年3月开始持续活跃,其利用(yòng)Fortinet VPN的已知漏洞进行入侵(在调查的所有(yǒu)事件中(zhōng),黑客都是从拥有(yǒu)VPN服務(wù)帐户的VPN服務(wù)器转而进入内部的)。获取初始访问权限后,攻击者使用(yòng)Netscan、PSnmap的修改版本对域内机器进行网络扫描,通过各种合法工(gōng)具(jù),遠(yuǎn)程软件进行控制。利用(yòng)有(yǒu)效账户通过RDP进行横向移动。為(wèi)了规避检测,该勒索通过7 zip加密自身,并通过常用(yòng)软件GUID来定向卸载杀毒软件。
该勒索加密后缀為(wèi):.CTS1 / . CTS6,加密勒索信:CACTUS. readme . txt。
【CACTUS勒索信】
Akira勒索病毒
Akira勒索于2023年3月出现,其主要针对企业进行攻击。据安(ān)全媒體(tǐ)报道,其攻击目标包括教育、金融、房地产(chǎn)、制造业和咨询业。该勒索不仅攻击Windows系统,还通过添加Linux加密器,针对 VMware ESXi 虚拟机进行攻击。
【Akira发现时间線(xiàn)】
该勒索的初始入侵可(kě)能(néng)利用(yòng)了 Cisco VPN (失陷账户),或者是遠(yuǎn)程控制软件滥用(yòng),其中(zhōng)包括RustDesk/Anydesk遠(yuǎn)程桌面。RustDesk是首次发现被利用(yòng),其可(kě)以在 Windows,macOS 和 Linux 上跨平台操作(zuò),涵盖了 Akira 的全部目标范围。被勒索加密后的文(wén)件,其后缀為(wèi). Akira。
【Akira勒索信】
BlackBit勒索病毒
BlackBit勒索家族通常是利用(yòng)RDP暴力破解获取对目标机器的初始访问权限。RDP暴力破解(RDP brute force)是指攻击者使用(yòng)自动化工(gōng)具(jù)或脚本,尝试使用(yòng)各种可(kě)能(néng)的用(yòng)户名(míng)和密码组合登录遠(yuǎn)程桌面协议(Remote Desktop Protocol, RDP)服務(wù)的过程。攻击者通过尝试多(duō)个用(yòng)户名(míng)和密码组合,来获取未经授权的访问权限,然后进一步入侵受害者的系统或网络。
攻击者可(kě)以使用(yòng)多(duō)种方式进行RDP暴力破解攻击,例如使用(yòng)常见的用(yòng)户名(míng)和密码列表,或使用(yòng)字典攻击工(gōng)具(jù)自动生成密码组合。这种攻击方式对于那些使用(yòng)弱密码或默认凭据的系统来说尤其危险,因為(wèi)攻击者可(kě)以很(hěn)容易地通过RDP暴力破解来获取访问权限。一旦BlackBit 勒索软件成功进入系统,它会加密主机上的文(wén)件,并勒索高额的赎金。
【BlackBit攻击流程】
BlackBit勒索家族加密文(wén)件的新(xīn)名(míng)称格式為(wèi)“[攻击者邮件地址][唯一系统 ID][原始文(wén)件名(míng)].BlackBit”,创建名(míng)為(wèi)“info.hta”和“Restore-My-Files.txt”的勒索信息文(wén)件。
【BlackBit勒索信】
亚信安(ān)全解决方案
截止目前,亚信安(ān)全新(xīn)一代终端安(ān)全TrustOne、云主机安(ān)全DeepSecurity、高级威胁监测系统TDA等产(chǎn)品已经全面支持检测本次报告中(zhōng)提及的勒索家族。
新(xīn)一代终端安(ān)全TrustOne
亚信安(ān)全新(xīn)一代终端安(ān)全TrustOne,实现可(kě)持续不间断发现、评估组织类可(kě)被黑客利用(yòng)的薄弱环节,并显性化、危险指数量化这些薄弱点,通过攻击面管理(lǐ)提供的各项缓解功能(néng),在攻击发生前快速修复。此外,针对勒索攻击的每个阶段,以及不同的攻击手段,TrustOne通过威胁情报、攻防对抗、机器學(xué)习、检测响应等能(néng)力,从终端文(wén)件、性能(néng)、进程、行為(wèi)等多(duō)维度来评估网络中(zhōng)存在的已知、未知攻击风险,并利用(yòng)TrustOne自身构建自适应框架體(tǐ)系,快速、有(yǒu)效地防护勒索攻击。
云主机安(ān)全DeepSecurity
亚信安(ān)全信舱(DeepSecurity)基于多(duō)云环境的需求,為(wèi)用(yòng)户构建统一多(duō)云检测与防护平台,将云上安(ān)全视野及安(ān)全能(néng)力从工(gōng)作(zuò)负载扩展到多(duō)云环境,从物(wù)理(lǐ)机到容器,从云上到云下,提供一致的安(ān)全防护策略。DS全面支持业内主流公(gōng)有(yǒu)云平台、私有(yǒu)云环境、虚拟化平台,并兼容主流主机操作(zuò)系统,全面覆盖了CWPP模型各层级的技(jì )术要求;基于自研核心引擎的高效能(néng)力,DS能(néng)够有(yǒu)效识别并处置挖矿及勒索等恶意风险和攻击。
高级威胁监测系统TDA
亚信安(ān)全信桅高级威胁监测系统(TDA),是一款360度的高级威胁检测产(chǎn)品,可(kě)掌握全网络的流量来侦测并响应高级威胁与未知威胁。其独特的侦测引擎加定制化沙箱动态模拟分(fēn)析,能(néng)够為(wèi)用(yòng)户提供更全面的网络威胁侦测,快速发掘并分(fēn)析包括,恶意文(wén)档、恶意软件、恶意网页(yè)、违规外连以及传统防护无法侦测到的内网攻击以及定向式攻击活动。目前信桅产(chǎn)品已经广泛应用(yòng)于政府、金融、能(néng)源、交通等重点行业,為(wèi)企业用(yòng)户提供了高级威胁治理(lǐ)的安(ān)全系统/环境。
亚信安(ān)全建议
√全面部署安(ān)全产(chǎn)品,保持相关组件及时更新(xīn);
√及时修复系统及应用(yòng)软件漏洞;
√不要点击来源不明的邮件、附件以及邮件中(zhōng)包含的链接;
√请到正规网站下载程序;
√采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
√尽量关闭不必要的端口及网络共享;
√请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
分(fēn)享到微信
X