近期,LockBit勒索软件团伙持续在网络安全领域占据头条新闻。他们不断对多国关基系统、政府和企业发动攻击,引发了人们的广泛担忧。
LockBit团伙的攻击行动频繁而高调,该团伙声称于近日对加拿大蒙特利尔市电力服务委员会(CSEM)发动了攻击。这是一家拥有百年历史的市政组织,负责管理蒙特利尔市的电力基础设施。
CSEM在周二确认了攻击事件,并在一份声明中写道,他们于8月3日遭受勒索软件攻击,但拒绝支付赎金。他们正在努力恢复系统,并联系了加拿大国家当局和魁北克省执法部门,并已重建信息技术基础设施。
CSEM表示:“今天,制造此案件的犯罪团伙公开了一些被窃数据。我们谴责这种非法行为,同时指出被披露的数据对公众安全和CSEM运营带来的安全风险都很低。”
“需要指出,CSEM所有项目都有公开文件可查。也就是说,人们可以从魁北克省官方流程办公室获取所有工程、施工、管理计划。”
LockBit在周三威胁要泄露数据,这正是他们宣布对攻击负责的同一天。
在对LockBit团伙进行的研究中发现,LockBit团伙在8月的前两周内曾消失并失联,直到8月13日才重新出现。这可能与后端基础设施和可用带宽问题有关,导致该团伙在发布攻击期间窃取的数据时遇到困难。值得注意的是,虽然LockBit团伙以其高攻击频率的恶名,迫使受害者支付赎金。然而,该团伙在发布攻击之前,并没有真正窃取大量数据,而是通过威胁性手段进行敲诈勒索。
2017年至今,全球爆发了多次重大关键信息基础设施行业的勒索攻击事件,医疗、教育、金融、科技、能源等重点行业企业相继遭受勒索病毒攻击。攻击者往往在盗取重要数据后,以此要挟受害者支付巨额赎金,他们还通过横向移动锁定关键数据并在整个网络中传播勒索软件,甚至会删除系统备份数据,使得数据恢复愈加困难。
随着云计算的快速普及,勒索软件越来越多地将以云存储为目标,以最大程度地发挥影响力并增加杠杆作用以提高利润,对被攻击者的伤害和破坏性也越来越强……
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
勒索病毒可通过利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞进行传播扩散,如WannaCry勒索病毒就是利用“永恒之蓝”漏洞进行传播的。
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件,或点击恶意链接,勒索病毒将自动加载、安装和运行。
攻击者入侵主流网站的服务器,在正常网页中植入木马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
软件供应链是指利用软件供应商与最终用户之间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用合法软件的升级更新等机制,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,绕过用户网络安全防护机制,传播勒索病毒。
攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件,创建与移动介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索病毒攻击行为。
由于勒索病毒多样的传播方式,使用单一的安全产品或单一的技术手段(如防火墙、IPS、杀毒软件)面对勒索病毒的入侵时,往往面临“排查难、抑制难、溯源难、恢复难”四大问题,特别是新型的病毒,一旦某一点被突破,则会直接碰触到用户的核心业务系统及数据。因此,企业应兼顾事前安全评估与预防、事中安全防护与监测预警、事后应急处置与安全加固,建立起“层层阻击,集中管控,预防为先,防治结合”的纵深防御立体化病毒防护体系。
六方云在深入分析勒索病毒传播方式和攻击路径的基础之上,结合业内勒索病毒防护的最佳实践经验,围绕评估预防、监测防护、应急处置三个环节,采取产品+服务结合的措施对勒索病毒进行全生命周期的防护,通过提前切断病毒传播路径、实时监测网内异常行为、快速响应客户突发事件,最大限度的减少勒索病毒对企业造成的损失。
▲六方云勒索病毒防护方案技术框架
本方案的设计主要依据工控网络安全“积极预防、垂直分层、水平分区、边界控制、内部监测、统一管理”的总体策略,逐步构建起勒索病毒的事前安全评估与预防、事中安全防护与监测预警、事后应急处置与加固的全生命周期立体化纵深防护体系。
首先对整个系统进行全面的风险评估,掌握系统的风险现状;然后通过管理网和生产网隔离以及访问控制来确保生产网不会引入来自管理网的风险,保证生产网边界安全,并在各中心内部的工业控制系统进行一定的监测、防护,保证各中心内部安全;最后对整个工业控制系统进行统一安全态势呈现,将各个防护点进行统一管理组成一个全面的防护体系,保障整个系统安全稳定运行。
▲六方云勒索病毒防护方案网络架构
建立企业内部涵盖勒索病毒攻击等网络安全突发事件的应急响应机制,明确应急组织体系、职责分工、应急流程等。一旦发生勒索病毒攻击事件,立即启动相应网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒攻击影响。
用户需要根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,防范利用勒索病毒的双重或多重勒索行为,并定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。
用户需要定期对网内的安全风险进行系统评估,排查资产暴露情况,按照最小化原则,尽可能减少在资产互联网上的暴露,特别是避免重要业务系统、数据库等核心信息系统的在互联网上暴露。同时及时进行漏洞排查,一旦发现资产存在的安全漏洞,及时进行修补。
勒索病毒还会通过钓鱼邮件、网站挂马、移动介质和软件供应链等方式进行传播,因此用户需要以培训、演练等方式提高网络安全意识,在用户层面切断勒索病毒传播入口。
1、企业互联网出口安全防护。
勒索病毒风险大多是从互联网侧引入的,而互联网出口作为企业的第一道网络安全防线,必须通过采取严格防护措施,尽可能切断勒索病毒的传播路径。
在主机和服务器上部署终端安全系统,实现对终端进行查杀防护,同时限制不安全的U盘的读写。
用户云平台环境涉及多类业务、多类系统,防护不当可能造成勒索病毒在云环境内的横向大规模扩散,因此在安全防护上需要进一步细化安全区域的划分以及不同安全区域、不同安全级别的访问控制,实现东西向流量的微隔离与阻断。
在办公网和工控生产网之间部署单向隔离网闸,在各层级内的安全域之间部署工业防火墙,并对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临的安全风险。
5、工控异常行为检测。
对于勒索病毒入侵行为和扩散行为,通过部署六方云全流量威胁检测与回溯系统,实时识别和预警工业控制网络的勒索病毒入侵和传播等异常行为,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。
物理隔离。确认遭受勒索病毒攻击后,应采取立即断网、关机等方式隔离感染设备。其中,可采取拔掉设备网线、禁用设备网卡、关闭无线网络等方式断网,并拔掉服务器/主机上的所有外部存储设备,防止勒索病毒通过感染设备自动连接的网络在内部传播并进一步感染其他设备。
根据初步发现的受影响范围情况,在网络设备或安全设备上通过配置访问控制策略方式进行严格资源访问权限限制。同时,立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号的登录密码。
在已经隔离感染设备的情况下,对局域网内的其他机器进行排查,核查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染范围。对于感染情况不明的设备,提前进行磁盘备份。
研判勒索病毒种类。勒索病毒在感染设备后,攻击者通常加载勒索提示信息胁迫用户支付赎金。遭受勒索病毒攻击的组织可从加密的磁盘目录中寻找勒索提示信息,并根据勒索病毒的标识判断本次感染的勒索病毒种类。
通过查看设备保留的日志和样本,判断攻击者攻击入侵的方式。如日志信息遭到删除,通过查找感染设备上留存的勒索病毒的样本或可疑文件,判断攻击者攻击入侵的方式。
为了保证业务的持续运行,当发生勒索病毒事件导致用户业务系统或重要数据受到影响时,通过部署备份容灾系统确保业务的秒级RPO和分钟级RTO,同时对生产业务系统实现系统、应用、数据、配置等一体化保护。
六方云拥有覆盖传统企业管理网、云数据中心、工控网络等多场景的“5+1”安全产品线,能够针对不同场景,为用户量身打造高性价比且贴合实际业务的勒索病毒防护方案。
2、勒索病毒检测MTTD小,最大可能减少被勒索的概率
六方云结合不同用户场景的业务特点和勒索病毒入侵特征,综合采用白名单技术、微隔离技术和基于AI技术的异常行为检测技术等,灵活弹性应对不同场景下的勒索病毒防护需求,最大限度地减少被勒索的概率。
3、专项勒索病毒评估检测、7×24小时持续监测与快速应急响应服务
六方云安全服务专家定期开展勒索风险排查,确保勒索风险无所遁形;安全设备内置勒索病毒专项防护及加固功能,勒索病毒防御更有效;线上线下协助用户精准溯源排查,彻底根除勒索病毒,高效处置全面降低用户损失。
消息来源:
http://www.hackdig.com/09/hack-1085662.htm