从搞瘫全球到美国进入紧急状态 企业该如何应对勒索病毒?

勒索病毒再度成为全球焦点。近日,美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。事实上,这并不是偶然,自从2017年WannaCry席卷全球以来,勒索病毒已经成为全球性的安全难题。

5月10号,腾讯安全发布《2021上半年勒索病毒趋势报告及防护方案建议》(下称:报告)。《报告》显示,尽管2021年上半年相比去年同时期,勒索病毒的攻击态势稍有下降,但勒索事件仍然频发,仅2021年第一季度,就发生了多起国际知名企业被勒索的案件,并且赎金持续刷新纪录。而目前尚未出现对付勒索病毒的“银弹”,应对勒索病毒的核心原则仍然是以事前防范为主。

全球损失高达数十亿美元

2017年5月12日,WannaCry勒索病毒在全球范围暴发,形成一场影响全球的蠕虫病毒风暴。此后四年间,勒索病毒频繁将魔爪伸向企业及个人用户。

从《报告》显示数据可以看出,在2021年上半年,GlobeImposter家族和具有系列变种的Crysis家族等老牌勒索病毒依然活跃,而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有着广泛流行的趋势。其中大部分勒索病毒都有着变种多、针对性高、感染量上升快等特点,像Sodinokibi、Medusalocker等病毒甚至呈现针对国内系统定制化的操作。

从区域上来看,国内遭受勒索病毒攻击中,广东、浙江、山东、湖北、河南、上海、天津较为严重,其他省份也有遭受到不同程度攻击。而数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重,占比依次为37%、18%、14%,总计占比高达69%。例如在2020年的8月和11月,多家传统企业就先后遭到勒索病毒的攻击,勒索团伙均要求企业支付高额赎金,否则将把盗窃数据在暗网出售。

但目前不少企业机构均升级了网络安全措施,有效防止了勒索软件损失的扩大化,也从一定程度上,反映了“支付赎金”的应对策略正在失效。

勒索病毒长在更加多样化、高频化

从最初的零星恶作剧,到现在频发的恶意攻击,勒索病毒为何能够如“野草”般生命力顽强,肆意生长?

首先,勒索病毒加密手段复杂,解密成本高;其次,使用电子货币支付赎金,变现快、追踪难;最后,勒索软件服务化的出现,让攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当,大大降低了勒索软件的门槛,推动了勒索软件大规模暴发。

根据市面较为高发的勒索病毒特征,《报告》将勒索病毒的传播手段分为6个方向:弱口令攻击、U盘蠕虫、软件供应链攻击、系统或软件漏洞、“无文件”攻击技术、RaaS。勒索病毒团伙在利用这些传播手段入侵目标系统后,会利用工具将失陷网络的机密数据上传到服务器,然后实施勒索。

随着全球数字化的不断加速,越来越多企业将业务迁移到云端。由于企业用户数据价值较高,但很多企业对于云上网络安全态势并没有足够的准备。因此在未来一段时间,针对企业用户进行定向攻击,将是勒索病毒的重要目标之一,而且随着技术的普及、勒索病毒产业链的成熟,病毒也将变得更加多样化、高频化。同时,《报告》还指出,目前Mac OS和Android等平台也已陆续出现勒索病毒,随着Windows的防范措施完善,未来不法黑客也可能转向攻击其他平台。

面对层出不穷的勒索病毒,无论是企业还是个人用户,都应该重视网络安全措施,做好事前防范。在《报告》中提出了“三不三要”思路:标题吸引人的未知邮件不要点开;不随便打开电子邮件附件;不随意点击电子邮件中附带网址;重要资料要备份;开启电子邮件前确认发件人可信;系统补丁或安全软件病毒库保持实时更新。