新闻动态

News information

恶贯满盈的LockBit再次霸榜,勒索软件已成为网络安全最大挑战

<<返回

2023年11月14日 16:00

近期,LockBit勒索软件组织动作频频,不仅利用受害者的安全漏洞进行攻击,还加密受害者的文件并要求支付高额赎金,导致全球多起安全事件发生。LockBit的攻击活动再次引起了业界的广泛关注,关基企业及重要行业仍需加强网络安全措施,以应对勒索软件威胁。

01.LockBit勒索病毒


LockBit是近年危害众多企业的勒索软件,是一种极为破坏性的电脑病毒,自2019年6月出现以来,已在全球范围内广泛传播。这种病毒利用加密技术锁定用户文件,并以此为条件向用户勒索钱财。与其它勒索病毒相比,LockBit具有一些独特的特点,如使用“双重加密”技术,使得解密更为困难。

图片

LockBit勒索病毒的传播途径广泛,包括电子邮件附件、恶意网站、点对点网络等。一旦用户点击或下载这些途径中的恶意文件,病毒就会迅速侵入电脑系统,并开始锁定文件。

LockBit还引入了漏洞赏金计划,随着LockBit 3.0的发布,引入了勒索软件团伙提供的第一个漏洞赏金计划,要求安全研究人员提交漏洞报告以换取1000至100万美元的奖励。“我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。”LockBit3.0漏洞赏金页面写道。

有报告显示,LockBit在Windows平台上占据了2022年的勒索软件攻击三分之一份额,比其竞争对手的总和还要多。该组织已经攻击了1000多个受害者,是老牌勒索软件组织Conti的两倍以上,Revil的五倍有余,因此臭名昭著。LockBit的攻击范围遍及北美、欧洲和亚太地区,尤其青睐信息技术、制造、政府、网络安全和国防等关键基础设施行业。

02.细数2023年全球LockBit勒索事件

1

1月3日,美国铁路和机车公司Wabtec Corporation透露其遭到勒索攻击导致数据泄露。企业公告中显示,早在2022年3月15日,黑客就入侵了他们的网络并在系统上安装了恶意软件,在Wabtec拒绝支付赎金后,8月20日,LockBit对外公开了全部被盗数据。

图片

2

1月12日,英国皇家邮政遭遇勒索软件攻击,致使包裹和信件的国际运输陷入停顿。LockBit勒索软件攻击者对用于国际运输的设备进行了加密,并通过处理海关业务的打印机发送了巨额赎金通知,该勒索组织威胁称,如果拒付赎金将在其暗网泄露站点上发布涉嫌被盗的数据。最终,皇家邮政拒付赎金,并聘请了第三方网络专家协助调查和恢复业务。

图片

3

2月20日,葡萄牙市政供水公司Aguas do Porto遭到勒索团伙Lockbit的攻击。Lockbit已将Aguas do Porto添加到其Tor网站的被攻击目标列表中,并威胁要泄露被盗数据,但尚未发布被盗数据样本作为攻击证据,因此不清楚该团伙窃取的数据量和数据类型。

图片

4

4月24日,印度公司Fullerton表示遭受恶意软件的攻击,作为预防措施,被迫暂时脱机运营。随后,LockBit 3.0勒索软件集团宣布对此次攻击负责,称其窃取了600GB的个人和合法公司的贷款协议,并向该公司要求300万美元赎金,Fullerton拒绝支付后,LockBit 3.0集团泄露了全部数据。

图片

5

6月8日,全球最大的拉链制造商YKK遭到LockBit的勒索攻击,日本拉链公司YKK透露,其美国业务近几周成为黑客攻击的目标。该公司一位发言人称,网络安全团队及时遏制了攻击,该事件并未对运营和服务产生实质性影响。

图片

6

7月,日本最大货物港口名古屋被黑客攻击,物流陷入瘫痪,病毒入侵系统导致5个集装箱码头卸货作业暂停,2万多个集装箱运输受到影响。最终判断造成系统故障的原因是勒索软件LockBit 3.0攻击。

图片

7

7月中旬,全球最大晶圆代工厂台积电遭到了臭名昭著的LockBit勒索软件组织的攻击,并遭到7000万美元的天价勒索。该勒索软件组织威胁台积电,如果不交付勒索款项,将公开台积电的网络入口点、密码和其他机密信息。这将对台积电本身以及其重要客户如苹果、高通和英伟达造成严重威胁。

图片

8

10月中旬,勒索软件团伙Lockbit声称入侵了技术服务巨头CDW,并因赎金谈判破裂泄露了部分数据。Lockbit要求支付8000万美元的赎金,但对方只支付了100万美元。Lockbit表示对方的赎金支付对他们来说具有侮辱性,并在泄露网站上发布了包含CDW数据的帖子,其中涉及员工徽章、审计和其他账户相关信息。

10月27日,勒索软件行为者向波音发起了攻击,并要求公司在11月2日之前与他们联系以展开谈判。黑客声称已经窃取了大量敏感数据并准备进行发布,攻击事件对公司零部件和分销业务造成了一些影响,在波音拒绝支付赎金后,LockBit勒索软件泄露了超过43GB的波音文件。

图片

10

11月9日,中国工商银行美国子公司遭受勒索软件攻击,导致美国国债市场交易出现混乱,该行没有立即回应置评请求。Lockbit代表通过在线消息应用Tox告诉路透社:他们支付了赎金,交易完成。据路透社报道,这次黑客攻击的范围如此之大,以至于该公司的企业电子邮件都停止运行,迫使员工改用谷歌邮件。

图片

03.六方云勒索病毒解决方案

由于勒索病毒多样的传播方式,使用单一的安全产品或单一的技术手段(如防火墙、IPS、杀毒软件)面对勒索病毒的入侵时,往往面临“排查难、抑制难、溯源难、恢复难”四大问题,特别是新型的病毒,一旦某一点被突破,则会直接碰触到用户的核心业务系统及数据。因此,勒索病毒的防护必须建立起“层层阻击,集中管控,预防为先,防治结合”的纵深防御立体化病毒防护体系。


六方云在深入分析勒索病毒传播方式和攻击路径的基础之上,结合业内勒索病毒防护的最佳实践经验,围绕评估预防、监测防护、应急处置三个环节,采取产品+服务结合的措施对勒索病毒进行全生命周期的防护,通过提前切断病毒传播路径、实时监测网内异常行为、快速响应客户突发事件,最大限度的减少勒索病毒对企业造成的损失。如图所示:

图片

六方云勒索病毒防护方案技术框架

本方案的设计主要依据工控网络安全“积极预防、垂直分层、水平分区、边界控制、内部监测、统一管理”的总体策略,逐步构建起勒索病毒的事前安全评估与预防、事中安全防护与监测预警、事后应急处置与加固的全生命周期立体化纵深防护体系。


首先对整个系统进行全面的风险评估,掌握系统的风险现状;然后通过管理网和生产网隔离以及访问控制来确保生产网不会引入来自管理网的风险,保证生产网边界安全,并在各中心内部的工业控制系统进行一定的监测、防护,保证各中心内部安全;最后对整个工业控制系统进行统一安全态势呈现,将各个防护点进行统一管理组成一个全面的防护体系,保障整个系统安全稳定运行。


事前-安全评估与预防

通过事前评估预防,用户可及时了解现有网络存在的各类潜在风险,在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。


1. 制定网络安全应急预案。建立企业内部涵盖勒索病毒攻击等网络安全突发事件的应急响应机制,明确应急组织体系、职责分工、应急流程等。一旦发生勒索病毒攻击事件,立即启动相应网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒攻击影响。


2. 关键系统和数据定期备份。目前流行的勒索病毒类型主要为文件加密类勒索病毒、数据窃取类勒索病毒、系统加密类勒索病毒和屏幕锁定类勒索病毒,无论何种类型,攻击者最终目的都是通过对用户最重要的资产“数据”实施安全威胁,以此来恐吓用户支付高额赎金。

因此,用户需要根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,防范利用勒索病毒的双重或多重勒索行为,并定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。


3. 定期评估风险,及时修补漏洞。攻击者通常利用远程代码执行、系统策略配置不当等系统漏洞,攻击入侵用户网络,或利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并主动传播勒索病毒。

因此,用户需要定期对网内的安全风险进行系统评估,排查资产暴露情况,按照最小化原则,尽可能减少在资产互联网上的暴露,特别是避免重要业务系统、数据库等核心信息系统的在互联网上暴露。同时及时进行漏洞排查,一旦发现资产存在的安全漏洞,及时进行修补。


4. 加强企业内部网络安全管理。勒索病毒还会通过钓鱼邮件、网站挂马、移动介质和软件供应链等方式进行传播,因此用户需要以培训、演练等方式提高网络安全意识,在用户层面切断勒索病毒传播入口。

例如在文件方面,不点击来源不明的邮件附件、打开邮件附件前进行安全查杀等;在网站方面,不从不明网站下载软件等;在外接设备方面,不混用工作和私人的外接设备、关闭移动存储设备自动自动播放功能并每周进行安全查杀等。


事中-安全监测与防护

通过事中防护和监测,用户可拥有L2-7层完整的安全防护能力,确保安全防护不存在短板,同时,对网内流量和设备进行集中监控,统一管理,在提高用户运维效率的同时,实时掌握内部网络安全风险态势。

图片

六方云勒索病毒解决方案网络架构

1. 企业互联网出口安全防护。勒索病毒风险大多是从互联网侧引入的,而互联网出口作为企业的第一道网络安全防线,必须通过采取严格防护措施,尽可能切断勒索病毒的传播路径。

因此,用户首先需要部署下一代防火墙,封禁与勒索病毒传播或相关漏洞利用相关的危险端口3389/135/137/139/445等,通过严格的访问控制策略实现网内外用户的合法安全访问,并开启IPS功能和防病毒功能,实现勒索病毒入侵有效拦截。


2. 办公主机和服务器病毒防护。在主机和服务器上部署终端安全系统,实现对终端进行查杀防护,同时限制不安全的U盘的读写。


3. 云安全资源池控制。用户云平台环境涉及多类业务、多类系统,防护不当可能造成勒索病毒在云环境内的横向大规模扩散,因此在安全防护上需要进一步细化安全区域的划分以及不同安全区域、不同安全级别的访问控制,实现东西向流量的微隔离与阻断。


六方云盾能够在不依赖于云平台网络引流接口的情况下,实现对云内所有虚拟机进行网络微隔离,针对云内任意虚拟机之间、不同子网之间、逻辑安全域之间的网络流量进行L2-L7层的深度威胁检测与防护,同时,能够自动获取云平台内所有虚拟业务资产并绘制出逻辑一致的3D网络拓扑,实现对云内虚拟业务资产运行状态、网络流量状态与业务安全态势的全面可视。


4. 管理网和生产网隔离。在办公网和工控生产网之间部署单向隔离网闸,在各层级内的安全域之间部署工业防火墙,并对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临的安全风险。


六方云工业防火墙基于对应用层数据包的深度检测,为工业通信提供独特的、工业级的专业隔离防护解决方案。


5. 各中心内的监测与防护。在对企业办公网和工控生产网之间、生产执行层之间进行了逻辑隔离,企业工控网络各层级内部的安全风险如何处理?一般来说,生产网内可能存在以下几方面的风险:各类操作员站的安全风险;PLC等工控设备的安全风险;通信协议存在风险。针对各方面风险六方云提供如下防护手段:


在操作员站、工程师站、HMI等各类主机上部署安全系统,对主机的进程、软件、流量、U盘使用等进行监控,防止主机非法访问网络。六方云工业主机卫士工业卫士采用白名单的技术,仅允许白名单内的程序运行,白名单外的程序均不可执行,从而有效阻止恶意程序或代码的执行和扩散。一键开启勒索病毒增强防护功能,可对137、138、139和445端口进行封堵,同时阻止创建系统启动项、添加用户账户、提权用户账户、创建计划任务以及创建服务等敏感动作。

工控异常行为检测。对于勒索病毒入侵行为和扩散行为,通过部署六方云工控全流量威胁检测与回溯系统,实时识别和预警工业控制网络和工业互联网络的勒索病毒入侵和传播的异常行为安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。

6. 全网安全态势可视和一体化运营。在勒索病毒入侵的过程中,通过部署六方云网络流量威胁检测与回溯系统(以下简称“神探”)可实现工控生产网未知威胁检测和异常行为检测。

神探产品可以基于规则库、威胁情报对已知勒索病毒进行检测,同时可以基于AI范化能力进行变种勒索病毒检测。在环境中已感染主机进行扩散时,可以通过异常行为检测技术进行监测。通过对攻击链的还原,完整重现勒索病毒攻击过程,为事后溯源提供依据。


事后-应急处置与加固

在勒索病毒事件发生后,需要立即采取响应措施进行有序应对、妥善处理,把事件造成的损失降低到最小。


1. 确定受影响系统,并立即将其隔离

物理隔离。确认遭受勒索病毒攻击后,应采取立即断网、关机等方式隔离感染设备。其中,可采取拔掉设备网线、禁用设备网卡、关闭无线网络等方式断网,并拔掉服务器/主机上的所有外部存储设备,防止勒索病毒通过感染设备自动连接的网络在内部传播并进一步感染其他设备。


访问控制。根据初步发现的受影响范围情况,在网络设备或安全设备上通过配置访问控制策略方式进行严格资源访问权限限制。同时,立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号的登录密码。


2. 排查勒索病毒感染范围

在已经隔离感染设备的情况下,对局域网内的其他机器进行排查,核查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染范围。对于感染情况不明的设备,提前进行磁盘备份。


还可通过了解现场环境的网络拓扑、业务架构、设备类型等关键信息,评估勒索病毒传播范围、攻击手段等,对勒索病毒失陷区域作出初步判断,为控制勒索病毒扩散和根除病毒威胁提供支撑。


3. 确定勒索病毒种类,进行溯源分析

研判勒索病毒种类。勒索病毒在感染设备后,攻击者通常加载勒索提示信息胁迫用户支付赎金。遭受勒索病毒攻击的组织可从加密的磁盘目录中寻找勒索提示信息,并根据勒索病毒的标识判断本次感染的勒索病毒种类。


判断攻击入侵手段。通过查看设备保留的日志和样本,判断攻击者攻击入侵的方式。如日志信息遭到删除,通过查找感染设备上留存的勒索病毒的样本或可疑文件,判断攻击者攻击入侵的方式。


4. 数据备份与应急恢复

为了保证业务的持续运行,当发生勒索病毒事件导致用户业务系统或重要数据受到影响时,通过部署备份容灾系统确保业务的秒级RPO和分钟级RTO,同时对生产业务系统实现系统、应用、数据、配置等一体化保护。


通过业务监控,实时地发现故障主机,支持一键生成演练测试环境,验证业务数据及其他工作。同时可以满足异机恢复迁移等多种功能,实现业务连续性全程能力支撑。