企业用户成勒索病毒主要攻击对象 多数攻击来自国外互联网
日前,360互联网安全中心发布《2017勒索软件威胁形势分析报告》(以下简称:报告)。报告分析了2017年勒索病毒的特点和趋势,指出2017年约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击。从攻击源头看,绝大多数的勒索软件攻击者基本都是境外攻击者,且病毒技术水平偏高。报告还分析了企业级终端防御技术,并为广大企业用户提供了防范勒索病毒攻击的安全建议。
中小企业成为勒索病毒重点攻击对象
在即将结束的2017年中,勒索病毒呈现出全球蔓延的态势。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。尤其是席卷全球的永恒之蓝和Petya勒索病毒,让全球众多政府、教育、医疗、能源、通信等关键基础设施遭受重大损失。
与以往攻击目标不同,越来越多的攻击者将中小企业锁定为攻击对象。相对与普通用户的个人电脑而言,企业服务器的数据包含了珍贵的商业机密,一旦他们遭受攻击,就意味着海量机密数据无法恢复,因此,企业用户为了避免蒙受更大损失,只好乖乖向勒索者支付赎金。
比如针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是永恒之蓝勒索病毒全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。
另据360威胁情报中心监测发现:国内不同行业政企机构遭受勒索软件攻击的情况不尽相同。能源行业是遭受攻击最多的行业,占比为42.1%,其次为医疗行业为22.8%,金融行业为17.8%。
绝大多数勒索病毒攻击者来自境外
此外,报告还分析了2017年勒索病毒的全新特征。目前,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。
从攻击源头看,绝大多数的勒索软件攻击者基本都是境外攻击者,主要原因在于国内攻击者技术水平相对较低。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也更容易被破解。比如国内攻击者制作的MCR勒索病毒,可以直接通过密钥恢复文件。
云端免疫和密码管理是企业用户应对勒索病毒攻击的主要技术
不难看出,企业级用户应对勒索病毒攻击的形势不容乐观。当前,企业级终端防御技术主要分为云端免疫技术和密码保护技术两种。
所谓云端免疫是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。
鉴于很多企业IT管理员设置的管理密码为弱密码,攻击者很容易获取,因此,加强登陆密码的安全管理也是一种必要的反勒索技术。
具体来看,包括采用弱密码检验技术,强制网络管理员使用复杂密码;采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。
360天擎用户勒索病毒0感染
基于上述分析,报告为企业用户提供了安全建议,包括通过对抗式演习,持续提升企业对抗新兴威胁的能力;及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁;如果没有使用的必要,应尽量关闭不必要的常见网络端口,比如:445、3389等。
企业用户应采用足够复杂的登录密码登陆办公系统或服务器,并定期更换密码。要做好重要数据和文件的及时备份。提高安全运维人员职业素养。
值得一提的是:自2016年9月,360企业安全向所有360天擎政企用户免费推出的敲诈先赔服务,在360公司百亿级别安全大数据分析的基础上,依托于免疫、QVM机器学习引擎和行为识别等方式,以及独家推出的“文档防护功能”,对勒索软件进行全面的防御和拦截,已经帮助政企用户抵挡住了勒索软件的一轮又一轮攻击。
1.砍柴网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为砍柴网或将追究责任;3.作者投稿可能会经砍柴网编辑修改或补充。