每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟 程鵬
2022年�����,在新冠疫情肆虐同時����,網(wǎng)絡(luò)世界也同樣不安全���。今年上半年�����,全球GPU龍頭英偉達(dá)����、輪胎巨頭普利司通�、家居巨頭宜家均遭受網(wǎng)絡(luò)攻擊。
疫情改變了人們的生活��,也改變了很多公司的工作方式���,云上辦公越來越普及��,各大公司的數(shù)據(jù)也逐漸暴露在互聯(lián)網(wǎng)世界里�����。數(shù)字化進(jìn)程在加快,網(wǎng)絡(luò)安全、數(shù)據(jù)安全的防護(hù)水平卻未能與時俱進(jìn)��。這也給很多勒索組織提供了機(jī)會,多家公司的數(shù)據(jù)信息遭到攻擊�����,甚至被泄露����。
其中,LockBit��、Conti和Lapsus$三大勒索組織尤為突出���。他們是什么背景���,為何網(wǎng)絡(luò)攻擊行為如此肆無忌憚,我們應(yīng)該如何防護(hù)呢��?
網(wǎng)絡(luò)攻擊肆無忌憚
如果在2021年提起Lapsus$,即使網(wǎng)絡(luò)安全專業(yè)人員也很少聽聞��。然而進(jìn)入2022年���,Lapsus$的大名可謂如雷貫耳。作為一個新興的勒索組織�,Lapsus$崛起速度之快不禁令人咋舌。
Lapsus$之所以迅速聞名����,是因?yàn)槠鋵σ幌盗写笮涂萍季揞^的連續(xù)攻擊。2021年12月�,Lapsus$嶄露頭角。彼時��,他們攻擊了巴西衛(wèi)生部�,竊取并刪除了大量數(shù)據(jù)從而進(jìn)行勒索。2022年2月�,該組織又攻擊了葡萄牙多家媒體集團(tuán)以及沃達(dá)豐葡萄牙公司。
真正令Lapsus$揚(yáng)名的還是攻擊英偉達(dá)�����。當(dāng)年2月����,該組織宣稱��,他們在正式攻擊英偉達(dá)之前已經(jīng)在內(nèi)部系統(tǒng)潛伏了一周之久�,也已經(jīng)獲取了1TB的機(jī)密數(shù)據(jù)�����,包括未發(fā)布的40系列顯卡的設(shè)計藍(lán)圖�、驅(qū)動、固件�����、各類機(jī)密文檔���、SDK開發(fā)包����,并對所有數(shù)據(jù)進(jìn)行了備份��。
作為全球數(shù)一數(shù)二的硬件科技公司���,英偉達(dá)立刻反擊�,成功黑掉了Lapsus$的電腦。不過����,由于Lapsus$做了數(shù)據(jù)備份,英偉達(dá)的反擊未果�。
其后,英偉達(dá)在聲明中表示�����,公司在2022年2月23日發(fā)現(xiàn)一起影響IT資源的網(wǎng)絡(luò)安全事件��;發(fā)現(xiàn)此事不久后�,該公司進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)安全�,聘請了網(wǎng)絡(luò)安全事件響應(yīng)專家,并通知了相關(guān)執(zhí)法部門����。
由此可見,“術(shù)業(yè)有專攻”�����,即使硬件技術(shù)強(qiáng)如英偉達(dá),也需要專業(yè)網(wǎng)絡(luò)安全專家的協(xié)助�。
不僅僅是英偉達(dá),2022年3月���,另一科技巨頭三星也遭到Lapsus$攻擊����。Lapsus$勒索組織發(fā)布了一份報告�����,其中包含了三星電子大量機(jī)密數(shù)據(jù)�,以及三星軟件中C/C++指令快照的內(nèi)容。
神秘的勒索組織
Lapsus$究竟什么背景�����,為何在短時間內(nèi)有能力連續(xù)攻擊兩大科技公司�?有業(yè)內(nèi)人士告訴《每日經(jīng)濟(jì)新聞》記者,他們用的手段在技術(shù)層面并非領(lǐng)先����,而是找到了薄弱點(diǎn)。也就是說���,主要是企業(yè)方面的原因��。企業(yè)有很多薄弱點(diǎn)�,其薄弱點(diǎn)被勒索組織發(fā)現(xiàn)并實(shí)施了攻擊。Lapsus$如此聞名��,還是因?yàn)樗容^活躍��,因此被認(rèn)知出來�。
值得一提的是,據(jù)新浪科技報道��,英國牛津的一名16歲少年被指控為信息安全犯罪團(tuán)伙L(fēng)apsus$的頭目之一��。倫敦市警方表示:“7名年齡在16至21歲之間的人因涉嫌黑客組織活動而被捕�����。他們隨后在調(diào)查中獲釋���,但調(diào)查仍在進(jìn)行中?��!?/span>
不過目前Lapsus$仍在持續(xù)活躍�����,在發(fā)布“我們正式從假期回來了”的消息之后�,該組織隨即公布了入侵軟件服務(wù)公司Globant獲取的近70G源代碼數(shù)據(jù)。
如果說Lapsus$是后起之秀�,Conti則算得上“常青樹”。它是當(dāng)今最大����、最多產(chǎn)的勒索軟件團(tuán)伙之一,擁有數(shù)十名活躍的全職成員�。更危險的是,它還提供勒索軟件即服務(wù)(RaaS)���,即普通人購買了該組織的RaaS產(chǎn)品���,也可以輕松地對各個機(jī)構(gòu)、公司����、個人發(fā)起攻擊。
在今年一季度的Conti被害者名單上���,相較知名的就有年入近50億美元的服務(wù)公司RRD��,中國臺灣電子產(chǎn)品制造公司臺達(dá)電子���,印度尼西亞中央銀行印度尼西亞銀行(BI)����。據(jù)IT之家消息��,臺達(dá)電子1500臺服務(wù)器和12000臺計算機(jī)已被攻擊者加密�,受影響設(shè)備占比約20.8%,攻擊者要求支付贖金1500萬美元�����。
Conti勒索軟件在2019年12月首次被發(fā)現(xiàn)�,并在2020年7月作為RaaS開始運(yùn)營,目前仍在活躍���。值得注意的是����,其仍在提升攻擊能力��。據(jù)行業(yè)媒體安全419報道�,一季度一份來自Conti內(nèi)部人員的群聊信息被披露,Conti曾公司化運(yùn)作��,且有大量預(yù)算購買安全檢測類產(chǎn)品�,用以勒索病毒程序的日常強(qiáng)化。
“勒索軟件即服務(wù)”趨勢
除了Conti提供勒索軟件即服務(wù)產(chǎn)品����,另一大勒索組織LockBit也提供類似產(chǎn)品。據(jù)新余網(wǎng)警巡查執(zhí)法微博�,4月7日,江西新余渝水分局下村派出所接到轄區(qū)某企業(yè)報警稱����,公司一臺電腦受到了病毒攻擊,重要數(shù)據(jù)全部被惡意加密�����,嚴(yán)重影響公司正常生產(chǎn)經(jīng)營��。該公司電腦感染的是一款名為“LockBit 2.0”的勒索病毒���,被感染的電腦所有文件均被病毒惡意加密���,無法正常使用和訪問����,攻擊者宣稱需要向其支付一定數(shù)額的“贖金”才會將數(shù)據(jù)解密返還�����。這也正如安全專家之前指出的那樣���,勒索攻擊正呈RaaS(勒索軟件即服務(wù))化趨勢�。
據(jù)行業(yè)媒體安全419報道�����,安全人員最新的研究顯示����,LockBit勒索軟件加密效率驚人,四分鐘內(nèi)就可加密完成10萬個Windows文件�,這也意味著一旦病毒程序在組織一側(cè)被執(zhí)行,留給涉事企業(yè)喘息的時間并不多���。
一方面��,勒索軟件攻擊能力驚人�����;另一方面�,RaaS的攻擊形式也進(jìn)一步增強(qiáng)了攻擊的隱蔽性����。據(jù)業(yè)內(nèi)人士透露,目前勒索攻擊已由個人或單個黑客團(tuán)伙攻擊轉(zhuǎn)向?qū)蛹壏置?���、分工明確的黑色產(chǎn)業(yè)活動,勒索行為日益專業(yè)化��。
一方面�,為實(shí)現(xiàn)價值多向變現(xiàn),黑客團(tuán)伙除自身發(fā)動勒索攻擊外���,還會借由暗網(wǎng)和虛擬貨幣技術(shù)��,對外出租或售賣成熟的勒索軟件產(chǎn)品和服務(wù)����,這促使數(shù)據(jù)勒索“產(chǎn)業(yè)鏈”逐漸形成���,上中下游的勒索軟件開發(fā)者����、勒索執(zhí)行者,以及應(yīng)運(yùn)而生的贖金談判和贖金代管者之間相互協(xié)作配合����,共同瓜分勒索收益,大大降低了攻擊的技術(shù)門檻�����。另一方面����,不同黑客團(tuán)伙之間開始著手構(gòu)建具有精準(zhǔn)配合關(guān)系的勒索商業(yè)聯(lián)盟,通過共享受害者信息等手段�����,擴(kuò)大勒索商業(yè)模式����,并進(jìn)一步增強(qiáng)勒索攻擊能力和隱蔽性。
鍛造網(wǎng)絡(luò)安全之盾
那么,面對強(qiáng)大又隱蔽的勒索攻擊組織�����,企業(yè)����、機(jī)構(gòu)�����、個人又該如何防護(hù)呢��?對于企業(yè)來說���,需要在事前�、事中���、事后等階段做好相關(guān)的勒索防護(hù)措施����,比如說在事前做好相關(guān)的安全意識培訓(xùn)(人是整個安全鏈條里面最不可控的一環(huán))�����,然后做好相關(guān)威脅的演練。
而對于監(jiān)管單位��,應(yīng)該頒布相關(guān)法律����,如果遭到數(shù)據(jù)勒索,并且發(fā)生了因數(shù)據(jù)泄露等衍生危害��,讓相關(guān)的企業(yè)也承擔(dān)起對應(yīng)的責(zé)任����。然后要求一些關(guān)鍵的信息基礎(chǔ)設(shè)施單位針對性建設(shè)相關(guān)的勒索防護(hù)解決方案。
面對肆無忌憚的勒索攻擊�,安恒信息(SH688023,股價147.66元����,市值115.92億元)勒索防護(hù)方案以EDR為核心,聯(lián)動多款安全設(shè)備����,覆蓋檢測、預(yù)防�����、防御、響應(yīng)����、溯源、加固等6大階段��,在事前通過勒索專項(xiàng)評估能力�����,對資產(chǎn)進(jìn)行基線檢查及安全體檢����,監(jiān)測資產(chǎn)存在的風(fēng)險��,預(yù)測風(fēng)險事件�����。在事中構(gòu)筑端網(wǎng)一體化勒索專項(xiàng)防護(hù)能力�,結(jié)合自動化響應(yīng)處置能力,高效發(fā)現(xiàn)并且防御勒索威脅����。在事后基于追蹤溯源能力��,進(jìn)行有效調(diào)查取證和反制����,并針對薄弱項(xiàng)進(jìn)行二次加固�����。通過事前檢測預(yù)防���、事中防御響應(yīng)����、事后溯源加固的縱深一體化縱深防御體系�,將數(shù)據(jù)勒索風(fēng)險降到最低。
在預(yù)防層面��,安恒信息該方案通過基線檢查�����、資產(chǎn)體檢�����、勒索專項(xiàng)評估等能力,對系統(tǒng)進(jìn)行全面���、多層次的風(fēng)險評估�,精準(zhǔn)識別出系統(tǒng)的潛在風(fēng)險��,如弱口令���、威脅文件��、高危漏洞、錯誤配置等���。并針對現(xiàn)存的安全弱點(diǎn)提出有效的安全整改建議���,通過補(bǔ)短板降低數(shù)據(jù)勒索風(fēng)險。
在防御層面����,安恒信息勒索防護(hù)方案可以從主機(jī)層、數(shù)據(jù)層���、流量層���、網(wǎng)絡(luò)層對惡意勒索行為及文件進(jìn)行深度檢測��,讓勒索病毒無處遁形����。
主機(jī)層:基于內(nèi)核級多維度的勒索專殺引擎��,如特征檢測引擎���、行為檢測引擎����、誘餌檢測引擎等���,高效的實(shí)時保護(hù)用戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)及服務(wù)�����。
數(shù)據(jù)層:識別關(guān)鍵數(shù)據(jù)�,對關(guān)鍵數(shù)據(jù)加強(qiáng)監(jiān)控����,可以更好地監(jiān)控數(shù)據(jù)竊取和破壞行為���,為關(guān)鍵數(shù)據(jù)的備份策略設(shè)置更高的RPO和RTO,能更好地保證數(shù)據(jù)完整性����。
流量層:基于關(guān)鍵區(qū)域入口的旁路鏡像流量進(jìn)行深度解析,為發(fā)現(xiàn)流量中的惡意攻擊進(jìn)行全面的檢測和預(yù)警���。
網(wǎng)絡(luò)層:建立資產(chǎn)勒索風(fēng)險評估基線����,通過多維特征評估和威脅綜合分析�����,將高風(fēng)險資產(chǎn)進(jìn)行訪問權(quán)限控制以及有效隔離��。
另外����,該系統(tǒng)也基于主動防御����、自動化編排響應(yīng)�����、微隔離���、高級威脅防御等技術(shù),有效阻斷勒索病毒在內(nèi)網(wǎng)運(yùn)行以及橫向擴(kuò)散�,有效抑制威脅的影響范圍,最大化程度降低威脅在業(yè)務(wù)系統(tǒng)內(nèi)的駐留時間����。此外,安恒信息勒索防護(hù)方案還能對勒索風(fēng)險在網(wǎng)絡(luò)層�����、系統(tǒng)層�、數(shù)據(jù)層、應(yīng)用層等多個層面進(jìn)行深度專項(xiàng)加固����。
行業(yè)數(shù)據(jù)概覽
統(tǒng)計數(shù)據(jù)顯示,2022年5月境內(nèi)計算機(jī)惡意程序傳播次數(shù)達(dá)到2.47億次之多�,較4月的25169.8萬小幅下降1.8%����。5月每周的境內(nèi)計算機(jī)惡意傳播次數(shù)先增后小幅度下降�,又繼續(xù)新增,整體較第一周均有所上漲�。第4周最高,達(dá)到6615.2萬����。境內(nèi)感染計算機(jī)惡意程序主機(jī)數(shù)量來看,5月達(dá)到543.8萬����,具體各周來看呈下降趨勢,第四周只有83.7萬����,較第一周的157.1萬下降了46.7%,可見境內(nèi)感染惡意程序主機(jī)數(shù)量得到明顯控制��。惡意程序會損壞文件�、造成系統(tǒng)異常����、竊取數(shù)據(jù)等�,對計算機(jī)傷害很大��,一定要高度重視����。加強(qiáng)企業(yè)安全防護(hù)和個人安全意識尤為重要。
境內(nèi)被篡改網(wǎng)站總數(shù)達(dá)到6260個����,其中政府類網(wǎng)站數(shù)量呈上升趨勢。政府類網(wǎng)站一直是黑客關(guān)注的目標(biāo)之一���,需要高度重視網(wǎng)站防護(hù)��。從境內(nèi)被植入后門網(wǎng)站總數(shù)來看��,5月累計2160個����,每周數(shù)據(jù)呈遞減狀態(tài)���,其中政府網(wǎng)站數(shù)量13個�。網(wǎng)站被植入后門會損害形象,傳播病毒��,黑客可能會通過shell獲取系統(tǒng)級權(quán)限����,進(jìn)一步擴(kuò)大危害,建議加強(qiáng)防護(hù)及時修復(fù)安全問題��。
從境內(nèi)的仿冒網(wǎng)站數(shù)量來看�����,5月第4周較之前明顯下降�����,可見防護(hù)得當(dāng)�����。仿冒網(wǎng)站數(shù)量下降也歸功于全國反詐工作較為成功���,越來越多的用戶也更有反詐意識�����,自發(fā)加入反詐宣傳�。
5月爆發(fā)了不少全球高關(guān)注的漏洞事件�,本月新增漏洞1404個,較4月的1139個增加23.3%����,其中5月高危漏洞達(dá)到488個,較4月368個也有增長�,增幅達(dá)32.6%。針對安全漏洞問題�,除了必要的安全防護(hù)產(chǎn)品保護(hù),還要加強(qiáng)個人意識��,一定要在正規(guī)途徑下載應(yīng)用���,并及時更新��。
勒索軟件最常攻擊工業(yè)和政府部門
據(jù)安恒信息2021年上半年勒索病毒流行態(tài)勢分析報告����,2021年涌現(xiàn)出很多新的勒索團(tuán)伙��,其中比較活躍組織的有Revil����、Dark Side����、Avaddon�����、Conti和Babuk��。上圖為上半年勒索團(tuán)伙攻擊事件占比分布�。
2021年上半年,在全球范圍內(nèi)�,制造業(yè)受勒索軟件的影響較為嚴(yán)重,占攻擊事件的17.43%���。與往年相比�,針對醫(yī)療行業(yè)的攻擊仍處于上升階段��,占比達(dá)到16.56%���。對政府機(jī)構(gòu)�����、教育�、科技、傳媒�、金融等也影響較重�����。
2020年�����,收到IR請求比例最大的領(lǐng)域是工業(yè)部門(26.85%)�,其次是政府(21.3%)。這兩個部門加起來占比近半�。
2021年,政府和工業(yè)部門仍然是最常被攻擊的領(lǐng)域�����,前者略有增加��,后者略有下降�。影響IT部門的攻擊數(shù)量也大幅增加:從2020年的2.78%增加到2021年的13.33%。
掃描二維碼或點(diǎn)擊「閱讀原文」免費(fèi)接入遠(yuǎn)程辦公安全方案:
記者|朱成祥
編輯|梁梟 程鵬?杜波
校對| 段煉
|每日經(jīng)濟(jì)新聞 ?nbdnews??原創(chuàng)文章|
未經(jīng)許可禁止轉(zhuǎn)載���、摘編��、復(fù)制及鏡像等使用
