盛世集团

提交需求
*
*

*
*
*
立即提交
点击”立即提交” ,表明我理解并同意 《盛世集团科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于盛世集团
    申请试用
      盛世集团科技发布《2023年12月勒索病毒威胁报告》
      发布时间:2024-01-09 阅读次数: 4596 次

      近期 ,勒索病毒的“发病率”越来越高 ,一旦“中招” ,将会被黑客无情“宰割”。对比11月份的勒索病毒情况 ,Makop勒索病毒的活动明显增强 ,并且该病毒正在大范围传播 ,给中招企业带来了极高的经济损失。


      勒索病毒状况总览
      2023年12月
       0
      受害者所在地区分布

      从受害者所在地域分布来看 ,攻击者更倾向于经济发达地区和人口密集地区。原因可能为经济发达地区更具有赎金交付能力 ,而人口密集地区数据被破坏后可能造成更严重的社会负面影响。

      盛世集团·(中国大陆)官方网站
       0
      勒索病毒影响行业分布

      从行业划分来看 ,数据价值较高的教育、医疗、制造业、互联网等行业遭受的攻击较为严重。

      图片
       0
      勒索病毒家族分布

      下图是盛世集团第59号实验室对勒索病毒监测后所计算出的12月份勒索病毒家族流行度占比分布图。Makop家族占比22%居首位 ,BeijingCrypt家族占比18%位居第二 ,Phobos家族以15%位居第三 ,均为过往的流行家族。

      图片
       0

      勒索病毒传播方式

      下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出 ,勒索病毒的主要攻击方式依然以远程桌面入侵为主 ,其次利用网站挂马和高危漏洞等方式传播 ,整体攻击方式呈现多元化的特征。

      图片


      勒索病毒TOP榜
      2023年12月
       01 
      Makop

      Makop勒索病毒出现于2020年1月下旬 ,目前已知主要通过恶意邮件渠道传播。Makop病毒加密的方式 ,是通过本地生成一个随机的AES BLOB ,使用RSA公钥对其进行加密后放到被加密文件尾部 ,同时用上述随机AES密码对文件内容进行加密 ,全盘加密完成后对内存中使用到的随机AES BLOB进行了清理。

       02 
      BeijingCrypt
      BeijingCrypt勒索家族最早出现于2020年7月初 ,主要通过暴力破解远程桌面口令后手动投毒。该病毒早期传播因修改文件后缀为“.beijing”而被命名为BeijingCrypt ,之后出现的变种会将被加密文件后缀修改为“520”、“360”和“halo”等。攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。
       03 
      Phobos

      Phobos勒索软件从2019年开始在全球流行 ,并一直保持着很高的活跃度 ,并常年占据勒索病毒榜单前三 ,其不断推出新变种 ,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击 ,使受害者遭受数据财产的严重损失 ,影响十分恶劣。


      国内大型勒索事件回顾
      2023年12月
       01 
      吉林某企业遭BlackBit病毒袭击

      位于吉林省的某企业遭到了BlackBit勒索病毒的入侵 ,影响了部分业务系统的运行。据了解 ,BlackBit勒索病毒凭借其高级的加密算法 ,迅速将企业服务器上的数据文件加密 ,导致所有数据都无法打开及访问。

      图片
      在线点评:
      1.BlackBit勒索病毒最早于2022年9月首次被发现 ,且BlackBit勒索病毒还使用.Net Reactor来混淆代码 ,阻碍安全研究人员的分析。
      2.BlackBit勒索病毒会更改加密文件的名称及其默认图标 ,设置新的桌面背景图像 ,并创建名为“info.hta”和“Restore-My-Files.txt”的勒索信息文件。

      3.BlackBit勒索病毒通常是利用RDP暴力破解获取对目标机器的初始访问权限。

       02 
      河南省某企业遭DevicData勒索病毒攻击

      河南某企业遭DevicData勒索病毒攻击 ,此次攻击事件导致多台服务器遭到了破坏 ,多个服务受到影响。据悉 ,该企业服务器上的文件被加密锁定 ,文件名也被篡改为“.DevicData-D-XXXXXXXX”后缀。DevicData勒索病毒还生成了警告弹窗 ,其中包含有关赎金支付方式、加密货币地址以及一些威胁或恐吓的言辞。

      图片
      在线点评:
      1.DevicData勒索病毒是一种恶意软件 ,与去年疯狂传播的milovski勒索病毒的加密特征相似。

      2.若企业内部不慎感染了勒索病毒 ,将有可能在短时间内造成大面积文件加密 ,造成不可挽回的损失。

       03 
      Makop勒索病毒攻击福建某企业

      福建某企业反馈其内部服务器上的所有文件都被加密 ,且添加了“.mkp”后缀 ,这也导致了部分业务被搁置。通过对被加密样本的分析检测 ,可判断此次攻击的病毒为Makop勒索家族旗下的病毒变种。

      图片
      在线点评:
      1.Makop勒索病毒会加密图片 ,文档 ,数据库 ,视频和其他文件 ,仅保留系统数据。

      2.Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程 ,以独占文件完成加密;排除部分加密白名单文件不加密;病毒会尝试加密有写权限的网络共享文件;加密结束后 ,会删除系统卷影信息 ,以防止用户通过文件恢复功能找回文件。


      自救措施介绍
      勒索病毒
      勒索软件具有强破坏性。一旦运行起来 ,用户很快就会发现其特征 ,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
      当我们已经确认感染勒索病毒后 ,应当及时采取必要的自救措施。之所以要进行自救 ,主要是因为:等待专业人员的救助往往需要一定的时间 ,采取必要的自救措施 ,可以减少等待过程中 ,损失的进一步扩大。

      (一)隔离中招主机

      当确认服务器已经被感染勒索病毒后 ,应立即隔离被感染主机 ,防止病毒继续感染其他服务器 ,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段 ,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
      1)  物理隔离
      物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡 ,如果是笔记本电脑还需关闭无线网络。
      2)  访问控制
      加策略防止其他主机接入 ,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码 ,密码采用大小写字母、数字、特殊符号混合的长密码。

      (二)排查业务系统

      在已经隔离被感染主机后 ,应对局域网内的其他机器进行排查 ,检查核心业务系统是否受到影响 ,生产线是否受到影响 ,并检查备份系统是否被加密等 ,以确定感染的范围。

      (三)联系专业人员

      在应急自救处置后 ,建议第一时间联系专业的技术人士或安全从业者 ,对事件的感染时间、传播方式、感染家族等问题进行排查。

      防御方法介绍
      勒索病毒

      面对严峻的勒索病毒威胁态势 ,盛世集团第59号实验室提醒广大用户 ,勒索病毒以防为主 ,注意日常防范措施 ,以尽可能免受勒索病毒感染:

      ① 及时给办公终端和服务器打补丁 ,修复漏洞 ,包括操作系统以及第三方应用的补丁 ,防止攻击者通过漏洞入侵系统。

      ② 尽量关闭不必要的端口 ,如139、445、3389等端口。如果不使用 ,可直接关闭高危端口 ,降低被漏洞攻击的风险。

      ③ 不对外提供服务的设备不要暴露于公网之上 ,对外提供服务的系统 ,应保持较低权限。

      ④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器 ,要求包括数字、大小写字母、符号 ,且长度至少为8位的密码 ,并定期更换口令。

      ⑤ 数据备份; ,对关键数据和业务系统做备份 ,如离线备份 ,异地备份 ,云备份等 , 避免因为数据丢失、被加密等造成业务停摆 ,甚至被迫向攻击者妥协。

      ⑥ 敏感数据隔离 ,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据 ,对公司业务和机密信息造成重大威胁。

      ⑦ 尽量关闭不必要的文件共享。

      ⑧ 提高安全运维人员职业素养 ,定期进行木马病毒查杀。

      ⑨ 部署盛世集团数据库防火墙 ,可专门针对RushQL数据库勒索病毒进行防护。

      ⑩ 安装诺亚防勒索软件 ,防御未知勒索病毒。


      盛世集团诺亚防勒索
      防护能力介绍

      为了更好地应对已知或未知勒索病毒的威胁 ,盛世集团通过对大量勒索病毒的分析 ,基于零信任、守白知黑原则 ,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下 ,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

      盛世集团诺亚防勒索可通过服务端统一下发策略并更新。默认策略可;ffice文档【如想;な菘馕募可通过添加策略一键;ぁ。

      图片

      无诺亚防勒索防护的情况下:

      在test目录下 ,添加以下文件 ,若服务器中了勒索病毒 ,该文件被加密 ,增加统一的异常后缀 ,并且无法正常打开。

      图片

      开启诺亚防勒索的情况下:

      双击执行病毒文件 ,当勒索病毒尝试加密被;の募 ,即test目录下的文件时 ,诺亚防勒索提出警告并拦截该行为。

      图片

      图片

      查看系统上被测试的文件 ,可被正常打开 ,成功防护恶意软件对被;の募的加密行为。

      图片

      开启堡垒模式的情况下:

      为;は低橙课募 ,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端 ,例如ATM机 ,ATM机的终端基本不太会更新 ,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行 ,从而实现诺亚防勒索的最强防护模式。

      运行在堡垒模式下 ,执行该病毒 ,立刻被移除到隔离区 ,因此可阻止任何已知或未知勒索病毒的执行。

      图片
      图片
      上一条:实力见证 盛世集团科技第59号实验室发现多个知名数据库漏洞!
      下一条:每周安全速递???|Cactus勒索软件组织称针对瑞典零售提供商COOP发起网络攻击
      盛世集团·(中国大陆)官方网站 免费试用
      盛世集团·(中国大陆)官方网站 服务热线
      盛世集团·(中国大陆)官方网站

      马上咨询

      400-811-3777

      盛世集团·(中国大陆)官方网站 回到顶部
      【网站地图】