年关将近,黑客攻击愈发猖獗,勒索攻击越发频繁猛烈。近日,亚信安全截获了多只新型勒索病毒,这些勒索病毒具有比较典型的特征。为了便于用户借鉴及排查内网安全隐患,我们整理了病毒通告,为用户敲响警钟,预防勒索攻击事件发生,保护用户财产免受损失,避免用户因数据泄露而带来的名誉损失。
全球勒索攻击屡创新高
11月初,某知名金融机构在官网发布声明称,其遭受勒索软件攻击,导致部分系统中断。
11月10日,澳大利亚第二大港口运营商环球港务集团声称,其发现“系统遭到入侵”,并于下午关闭港口,采取切断网络等行动,阻止未经授权的访问。
目前,勒索软件攻击已经成为各种规模、不同行业的企业机构所面临的主要威胁,大多数行业已将勒索软件列为三大威胁之一。企业因勒索软件而遭受的损失也在增加,而金钱损失只是勒索软件影响的一部分除了成本外,企业组织还面临业务停机、声誉受损以及客户信任度下降等风险。
众多恶意威胁屡禁不止,这其中CACTUS勒索病毒、Akira勒索病毒、Blackbit勒索病毒在2023年尤为活跃,通过暴力破解、远程控制等手段侵入系统,加密主机上的文件,并勒索高额的赎金。
3大勒索病毒详细分析
CACTUS勒索病毒
CACTUS勒索病毒于2023年3月开始持续活跃,其利用Fortinet VPN的已知漏洞进行入侵(在调查的所有事件中,黑客都是从拥有VPN服务帐户的VPN服务器转而进入内部的)。获取初始访问权限后,攻击者使用Netscan、PSnmap的修改版本对域内机器进行网络扫描,通过各种合法工具,远程软件进行控制。利用有效账户通过RDP进行横向移动。为了规避检测,该勒索通过7 zip加密自身,并通过常用软件GUID来定向卸载杀毒软件。
该勒索加密后缀为:.CTS1 / . CTS6,加密勒索信:CACTUS. readme . txt。
【CACTUS勒索信】
Akira勒索病毒
Akira勒索于2023年3月出现,其主要针对企业进行攻击。据安全媒体报道,其攻击目标包括教育、金融、房地产、制造业和咨询业。该勒索不仅攻击Windows系统,还通过添加Linux加密器,针对 VMware ESXi 虚拟机进行攻击。
【Akira发现时间线】
该勒索的初始入侵可能利用了 Cisco VPN (失陷账户),或者是远程控制软件滥用,其中包括RustDesk/Anydesk远程桌面。RustDesk是首次发现被利用,其可以在 Windows,macOS 和 Linux 上跨平台操作,涵盖了 Akira 的全部目标范围。被勒索加密后的文件,其后缀为. Akira。
【Akira勒索信】
BlackBit勒索病毒
BlackBit勒索家族通常是利用RDP暴力破解获取对目标机器的初始访问权限。RDP暴力破解(RDP brute force)是指攻击者使用自动化工具或脚本,尝试使用各种可能的用户名和密码组合登录远程桌面协议(Remote Desktop Protocol, RDP)服务的过程。攻击者通过尝试多个用户名和密码组合,来获取未经授权的访问权限,然后进一步入侵受害者的系统或网络。
攻击者可以使用多种方式进行RDP暴力破解攻击,例如使用常见的用户名和密码列表,或使用字典攻击工具自动生成密码组合。这种攻击方式对于那些使用弱密码或默认凭据的系统来说尤其危险,因为攻击者可以很容易地通过RDP暴力破解来获取访问权限。一旦BlackBit 勒索软件成功进入系统,它会加密主机上的文件,并勒索高额的赎金。
【BlackBit攻击流程】
BlackBit勒索家族加密文件的新名称格式为“[攻击者邮件地址][唯一系统 ID][原始文件名].BlackBit”,创建名为“info.hta”和“Restore-My-Files.txt”的勒索信息文件。
【BlackBit勒索信】
亚信安全解决方案
截止目前,亚信安全新一代终端安全TrustOne、云主机安全DeepSecurity、高级威胁监测系统TDA等产品已经全面支持检测本次报告中提及的勒索家族。
新一代终端安全TrustOne
亚信安全新一代终端安全TrustOne,实现可持续不间断发现、评估组织类可被黑客利用的薄弱环节,并显性化、危险指数量化这些薄弱点,通过攻击面管理提供的各项缓解功能,在攻击发生前快速修复。此外,针对勒索攻击的每个阶段,以及不同的攻击手段,TrustOne通过威胁情报、攻防对抗、机器学习、检测响应等能力,从终端文件、性能、进程、行为等多维度来评估网络中存在的已知、未知攻击风险,并利用TrustOne自身构建自适应框架体系,快速、有效地防护勒索攻击。
云主机安全DeepSecurity
亚信安全信舱(DeepSecurity)基于多云环境的需求,为用户构建统一多云检测与防护平台,将云上安全视野及安全能力从工作负载扩展到多云环境,从物理机到容器,从云上到云下,提供一致的安全防护策略。DS全面支持业内主流公有云平台、私有云环境、虚拟化平台,并兼容主流主机操作系统,全面覆盖了CWPP模型各层级的技术要求;基于自研核心引擎的高效能力,DS能够有效识别并处置挖矿及勒索等恶意风险和攻击。
高级威胁监测系统TDA
亚信安全信桅高级威胁监测系统(TDA),是一款360度的高级威胁检测产品,可掌握全网络的流量来侦测并响应高级威胁与未知威胁。其独特的侦测引擎加定制化沙箱动态模拟分析,能够为用户提供更全面的网络威胁侦测,快速发掘并分析包括,恶意文档、恶意软件、恶意网页、违规外连以及传统防护无法侦测到的内网攻击以及定向式攻击活动。目前信桅产品已经广泛应用于政府、金融、能源、交通等重点行业,为企业用户提供了高级威胁治理的安全系统/环境。
亚信安全建议
√全面部署安全产品,保持相关组件及时更新;
√及时修复系统及应用软件漏洞;
√不要点击来源不明的邮件、附件以及邮件中包含的链接;
√请到正规网站下载程序;
√采用高强度的密码,避免使用弱口令密码,并定期更换密码;
√尽量关闭不必要的端口及网络共享;
√请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。