每年RSA会议的热门词汇都是由大会组委会根据参会组织所属领域、发言人提报议题内容等方面提炼出来的。DATA、CLOUD、、等一直是近几年的热点领域,而今年多了一个热点——(勒索软件)。
为什么勒索软件会成为今年热点
根据FBI发布的信息来看,2016年Q1所发生的网络勒索事件中,被攻击者向黑客支付的赎金就超过2亿美元,而2015年一整年仅有2400万美元;来自卡巴斯基实验室IT威胁演化2016第三季度报告显示,遭受加密勒索软件攻击的互联网用户数量增长了超过2倍,达到人,遭受攻击的用户数量2016年四个季度持续增长。赛门铁克按照年份统计的勒索软件,数量明显增长。
赛门铁克按照年份统计的勒索软件
勒索软件能够如此猖獗,很大一部分原因在于它采用社交工程迷惑用户,病毒借助恶意邮件对受害者狂轰滥炸以达到非法侵入目的。从目前来看,有99%的勒索软件来源于电子邮件的传播,犯罪者往往能够抓住公众或者目标受众所关心的话题,打着“最新消息”、“中奖”、“绯闻探秘”、“免费送”等旗号引诱用户点击病毒链接,诱使用户下载执行恶意程序,从而加密用户数据、文件乃至分区等等,对受害者实施敲诈勒索,有些勒索甚至危及性命。
勒索软件正在向
大数据/云计算/物联网等平台扩散
综合Datto和的数据来看,事件普遍的发生在医疗、交通、政府、酒店等各个行业,而且开始出现向IOT、工控,以及公有云领域扩展的趋势。
对勒索软件的作者而言,哪种方式能够得到勒索赎金更多、更容易,他们就会进入。可以想象,如果攻击者足够疯狂又掌握着足够的资源,他们就敢勒索一个国家。
勒索软件大量利用漏洞进行渗透
勒索软件利用漏洞进行恶意软件的安装,下面这张表列出了每年勒索软件进行漏洞利用的数量。出现新的漏洞利用时,勒索软件的作者立刻进行相应更新,这样就能感染到更多的设备,会有更多受害者,也就有更多赎金的可能。他们很“勤奋”。
漏洞方式不灵就用钓鱼作为突破手段
“ ”是勒索软件 Petya 的一个变种系列,恶意宏代码可执行、加密计算机上的文件。加密完成后,代码会修改主引导记录( MBR ),重新启动电脑并加密磁盘文件。此类钓鱼邮件专门针对人力资源部门,因为 HR 不可避免的需要打开陌生人的电子邮件和附件去了解情况。垃圾邮件一直被用作为恶意软件的传播媒介,毫无疑问,攻击者继续使用这种方法去传播勒索软件。
钓鱼邮件中包含两个附件,其中一个附件是正常的 PDF 求职信,目的是为了迷惑受害者让她相信这确实是一个求职者。此后,受害者会打开另外一个带有恶意宏功能的 Excel 文件。 Excel 会显示一个正在加载的图片并请求受害者启用内容,以便继续加载宏文件。一旦受害者单击“启用内容”,宏内的代码将被执行并启动加密文件进程,使受害者无法访问文件。
勒索软件“ ”会以 8 个字符的随机扩展名加密文件,所有文件加密后,将会显示一个勒索信“你的文件已被加密.txt”。
而用户中招后
往往是付了赎金还被撕票
黑客攻破主机,通常会加密锁定用户的关键文件、文件夹等(比如的用户目录、My 、相片、工作有关的docx/xlsx等),让受害者不能访问,并向受害者发出或者留下勒索信息,勒索的赎金通常通过比特币来支付,通常是半个到1个比特币。从调研数据来看,接近一半的受害者会支付赎金想要恢复数据,但不幸的是四分之一的受害者依然得不到恢复——“付赎金,依然被撕票”。
所以防范勒索软件攻击是个系统化工程
会议中来自于 的CISO、Datto的Chief 、的Chief of 、的CISO等专家一致表示当前针对勒索软件的防护没有“银弹”,是一个系统化的工程,重点是:
需要从人员的安全意识培训入手,降低人为引入的威胁。
小编:勒索软件大多通过钓鱼邮件方式撒网,用户不小心接收打开后中招。所以,提高用户的安全意识很重要。这是从源头上进行的防护。
做好数据备份与持续更新,在关键时刻可以发挥作用。
小编:备份、备份、备份,重要的事情说三遍。另外,备份需要3-2-1的原则:至少3份拷贝,存在在2个地方(异地备份),1个离线备份。为什么强调离线备份?这里有个真实案例。曾经有个企业出现过问题,虽然有做备份,但却是在线的,结果也被勒索软件一起给加密了,真是欲哭无泪。损失惨重,教训深刻。
保证操作系统更新到最新的版本,降低受攻击的可能性。
应用防病毒、未知威胁检测等技术对勒索软件进行检测与防护。
提升安全意识
不但需要培训更需要培养
通过各种方式提高员工安全意识的过程就是安全意识培养。安全意识培养在信息安全管理体系标准要求中也占据一个独立的控制项,是在附录A 参考控制目标和控制项-A7人力资源安全-A7.2任用中-A7.2.2信息安全意识教育和培训,足以说明他的重要程度。
因为安全意识不是简单一两次培训就能提升的卡巴斯基离线升级包,它需要用一个较长的时期适当利用各种方式来提升,所以用“培养”更为贴切些。在安全意识培养方面,绿盟科技结合国内近期大规模出现的勒索软件攻击事件,例如locky勒索软件等,推出了“钓鱼邮件测试平台”及相关服务。
平台还可以通过自定义邮件模拟最新的勒索变种,定向测试了解单位某部门或某部分员工的意识形态;通过反复测试的方式,辅助以安全教育,提升安全警惕性和辨别能力,防患于未然。
当然还需要从技术层面抵御勒索软件
用绿盟威胁分析系统TAC
应对已知及未知勒索软件
已知勒索软件比较好查杀,但往往攻击者为了躲避查杀,想尽了各种招数,就是让“已知”变为“未知”。这个时候,动态分析引擎就起到决定性作用卡巴斯基离线升级包,它会在系统中动态跟踪目标样本的执行动作,一旦“不轨”,立刻“抓获”。
2016年年底,绿盟威胁分析系统( TAC)帮助华中某大型烟草公司的客户检测到勒索软件,通过部署的 TAC产品,动态分析引擎(即沙箱)发现了这个恶意软件,工程同事在虚拟机里验证,得到证实,分析了勒索软件的最新趋势,并给出解决方案。
用绿盟远程安全评估系统RSAS
应对勒索软件攻击大数据平台
近期部分黑客组织针对、、集群等大数据平台进行了勒索攻击。统计结果显示,已有至少34000多台数据库被黑客组织入侵。超过了2711台服务器受到黑攻击,数据库中的数据均被黑客加密并索要赎金。紧随这两个攻击事件,目前已经有黑客将目标瞄准了集群。绿盟远程安全评估系统( RSAS)已开发相关原理检测插件,即将于本周发布相关插件升级包:rsas--V6..0502.dat,请已采购绿盟RSAS产品(详情点击文末“阅读原文”)的广大客户尽快升级检测,及时发现安全隐患,防止您的宝贵资产遭受损失。
请点击屏幕右上方“…”
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
点击查看详情
站长微信:Jiucxh
