法國(guó)首都巴黎一家中大型醫(yī)院CHSF上周日遭遇勒索軟件攻擊����,醫(yī)院業(yè)務(wù)軟件�、存儲(chǔ)系統(tǒng)、患者信息系統(tǒng)均無(wú)法訪問(wèn)�,急診和手術(shù)被迫停業(yè),勒索軟件團(tuán)隊(duì)要求該醫(yī)院支付價(jià)值1000萬(wàn)美元的贖金����。法國(guó)網(wǎng)絡(luò)犯罪執(zhí)法部門(mén)正在追查該事件���,追蹤對(duì)象包括Ragnar Locker和LockBit勒索軟件團(tuán)伙�。
法國(guó)網(wǎng)絡(luò)安全官員首次預(yù)警一個(gè)勒索軟件附屬團(tuán)伙L(fēng)ockean�,該團(tuán)伙興起于2020年6月,至少與七家法國(guó)企業(yè)的攻擊活動(dòng)有關(guān),其中包括運(yùn)輸物流公司Gefco��、制藥集團(tuán)Fareva與Pierre Fabre以及當(dāng)?shù)貓?bào)紙Ouest-France等���。
該團(tuán)伙通常會(huì)租用已經(jīng)被Emotet網(wǎng)絡(luò)釣魚(yú)郵件所感染的企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)限�,然后部署QakBot惡意軟件與CobaltStrike后滲透框架�。會(huì)使用AdFind、BITSAdmin以及BloodHound等工具���,在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)��,借以擴(kuò)大對(duì)目標(biāo)企業(yè)系統(tǒng)的訪問(wèn)與控制范圍��。
使用RClone工具程序從受害者網(wǎng)絡(luò)內(nèi)復(fù)制敏感文件���,最后部署文件加密勒索軟件。勒索軟件附屬團(tuán)伙����,還租用勒索軟件即服務(wù)(RaaS)平臺(tái)實(shí)施攻擊賺取贖金分成的犯罪組織,通過(guò)這些平臺(tái)�����,附屬團(tuán)伙能夠隨時(shí)訪問(wèn)、籌備并部署新的勒索軟件�����,將這些勒索軟件部署在已侵入的網(wǎng)絡(luò)之上��,它與勒索軟件開(kāi)發(fā)者�����、RaaS運(yùn)營(yíng)平臺(tái)等共同組成勒索軟件生態(tài)���,按比例瓜分勒索贖金��。
如果受害者方面拒絕付款�,則其數(shù)據(jù)將被發(fā)布在RaaS平臺(tái)運(yùn)營(yíng)的所謂“泄密網(wǎng)站”之上�����。這種行為堪稱游街示眾����,往往會(huì)激起公眾輿論對(duì)于被黑企業(yè)的口誅筆伐�。
安全專家指出����,勒索軟件攻擊將是信息世界長(zhǎng)期存在的威脅����。根據(jù)Resecurity發(fā)布的報(bào)告預(yù)測(cè),到2031年���,全球勒索軟件勒索活動(dòng)將達(dá)到2650億美元�,對(duì)全球企業(yè)造成的總損失將達(dá)到10.5萬(wàn)億美元�。這些指標(biāo)表明勒索軟件造成的費(fèi)用損失將超過(guò)自然災(zāi)害。
為了躲避檢測(cè)����,勒索軟件通常要不斷變種升級(jí),2022年第二季度經(jīng)安全機(jī)構(gòu)�、媒體公開(kāi)報(bào)道的變種、升級(jí)的事件多到驚人�,甚至無(wú)法一一陳列。這也表明對(duì)抗正在升級(jí)���。還有跡象顯示���,多款勒索軟件正在轉(zhuǎn)向Rust編程語(yǔ)言��,作為一種專注安全的編輯語(yǔ)言����,這會(huì)將病毒程序的逆向分析工作變得復(fù)雜���。
當(dāng)然安全機(jī)構(gòu)也會(huì)不斷地升級(jí)安全軟件的檢測(cè)能力����,這也將是一種長(zhǎng)期存在的善與惡之間的持續(xù)對(duì)抗���。
LockBit勒索軟件組織在6月份已經(jīng)完成了升級(jí)�����, LockBit 3.0持續(xù)優(yōu)化阻礙安全軟件檢測(cè)能力�����,同時(shí)他們還提出了首個(gè)勒索軟件的“賞金計(jì)劃”����,如果有人能夠發(fā)現(xiàn)該勒索軟件的脆弱性����、漏洞問(wèn)題,就可能獲得甚至高達(dá)百萬(wàn)美元的獎(jiǎng)勵(lì)���。
第二季度����,對(duì)幾款流行的勒索軟件的一項(xiàng)研究發(fā)現(xiàn)����,他們本身均帶有一定的安全問(wèn)題,從而有利于阻止攻擊的最后和最具破壞性的步驟���,即文件加密����。安全研究人員指出并演示了病毒樣本容易受到的DLL劫持攻擊����,在真實(shí)對(duì)抗場(chǎng)景中,則可以將DLL 放置在“重要位置”��,一旦加載了漏洞利用DLL�,勒索軟件進(jìn)程將會(huì)在開(kāi)始數(shù)據(jù)加密操作之前被終止��。
隨著近年來(lái)勒索攻擊逐漸泛濫����,面向大多數(shù)在線業(yè)務(wù)����、生產(chǎn)系統(tǒng)等場(chǎng)景的災(zāi)備解決方案也可以為企業(yè)提供勒索快速恢復(fù),方案優(yōu)勢(shì)相較于數(shù)據(jù)備份要更具時(shí)效性����,以及更加快速的業(yè)務(wù)恢復(fù)能力。
根據(jù)行業(yè)安全廠商數(shù)據(jù)��,勒索攻擊在我國(guó)也是一種常見(jiàn)的網(wǎng)絡(luò)安全威脅����,而公開(kāi)報(bào)道多為國(guó)外企業(yè),主要是國(guó)內(nèi)還沒(méi)有實(shí)行網(wǎng)絡(luò)安全披露制度�����,企業(yè)一側(cè)通常不會(huì)主動(dòng)向外披露���,所以才會(huì)有國(guó)內(nèi)很少被勒索軟件攻擊的假象���。
勒索攻擊最終指向的是系統(tǒng)���、應(yīng)用和數(shù)據(jù)��,對(duì)于處于數(shù)字經(jīng)濟(jì)時(shí)代的我們�,如何讓數(shù)據(jù)在各業(yè)務(wù)線上安全流通已成當(dāng)務(wù)之急?��!稊?shù)據(jù)安全法》催生了數(shù)據(jù)安全產(chǎn)業(yè)的迅猛發(fā)展�,以數(shù)據(jù)保護(hù)為抓手�����,應(yīng)對(duì)勒索攻擊已是可行方案�;
中小企業(yè)限于沒(méi)有專業(yè)的運(yùn)維人員來(lái)管理網(wǎng)絡(luò)安全,會(huì)存在即使部署了安全產(chǎn)品也沒(méi)有得到有效利用��,這是廣泛存在的現(xiàn)狀問(wèn)題�,大中型企業(yè)尚能自行解決問(wèn)題。現(xiàn)在安全企業(yè)也注意到了這一問(wèn)題���,安全托管服務(wù)可以幫助企業(yè)解決這一難題���。
企業(yè)應(yīng)該認(rèn)識(shí)到針對(duì)性地勒索攻擊致使數(shù)據(jù)加密�����,當(dāng)前技術(shù)上是無(wú)法恢復(fù)的��,應(yīng)該立即著手?jǐn)?shù)據(jù)備份工作��,且強(qiáng)化數(shù)據(jù)備份的隔離加密���,始終讓備份數(shù)據(jù)保持高可用性。對(duì)于生產(chǎn)經(jīng)營(yíng)性質(zhì)企業(yè)��,為了追求業(yè)務(wù)的持續(xù)運(yùn)營(yíng)�����,容災(zāi)備份解決方案已成為他們的最佳選擇�,該方案在保證數(shù)據(jù)高可用前提下,可支持系統(tǒng)在異地迅速再生��。
