勒索病毒是全球最嚴峻的網路安全威脅之一。2019年,勒索病毒持續在全球範圍各大行業“刷存在感”,老牌勒索家族持續活躍,新型勒索病毒層出不窮,網路安全形勢不容樂觀。近日,騰訊安全釋出的《2019年度勒索病毒專題報告》(以下簡稱《報告》)顯示,2019年,勒索病毒圍繞目標優質化、攻擊精準化、贖金定製化的勒索策略,以資料加密、資料竊取、詐騙恐嚇為主要戰術,全年勒索金額明顯增長。
從遭受勒索病毒攻擊的國內地域分佈來看,攻擊範圍波及全國,其中以廣東、北京、江蘇、上海等沿海地區及網路資源較為豐富的地區最為突出。從行業來看,勒索病毒攻擊主要瞄準具有較高潛在資料價值的物件,傳統企業、教育行業、政府機構等遭受攻擊最多,其次為網際網路、醫療、金融、能源等行業,與往年分佈趨同。
攻擊策略更精準,更多轉向企業
2019年,勒索病毒運營團隊採取更精準的攻擊策略,呈現出目標優質化、攻擊精準化、贖金定製化等新特點。
基於過去從企業中收穫的豐厚利益,勒索病毒攻擊將目標更多投向企業使用者。從騰訊安全威脅情報中心收集的資料可以看出,當前,老牌勒索家族的攻擊物件已由過去的廣撒網、無差別模式轉變為具有勒索潛力的企業,這一轉變也讓勒索攻擊的收益轉化更高效。如最為活躍的GlobeImposter家族和具有系列變種的Crysis家族就曾對國內外多家行業頭部企業發動勒索病毒攻擊,直接導致業務系統癱瘓。
同時,勒索病毒團伙還開始偏向贖金定製化,根據被加密資料的潛在價值進行定價(通常在5000-100000元人民幣)。這種手法大幅提高了駭客團隊單筆勒索收益,這也導致個別大型政企機構在遭受到針對性的加密攻擊後,被開出高達數百萬元的勒索金額。
從《報告》公佈的2019勒索病毒攻擊趨勢來看,攻擊次數在1月達到頂峰。相較上半年,2019年下半年勒索病毒攻擊次數有所下降,但企業遭受的損失不降反增,這也從側面反映出駭客團隊精準攻擊策略帶來的收益轉化提升。
手段更多樣,威脅公開機密資料成新方式
《報告》顯示,2019年,利用加密資料勒索虛擬幣仍為當前勒索病毒攻擊的主要形式。透過群發勒索恐嚇郵件,命中收件人隱私資訊後利用收件人恐慌心理實施欺詐勒索的方式也較為流行。
此外,面對加密資料勒索失敗轉而以洩漏資料再次脅迫企業繳納贖金成為勒索團伙新的盈利模式,如Maze病毒團伙在資料加密勒索企業失敗後,就曾公開放出了被攻擊企業2GB私密資料;還有一些勒索團伙甚至在駭客論壇發聲,稱如拒絕繳納贖金就會將企業商業資訊出售給競爭對手,以此逼迫企業就範。
勒索失敗,被攻擊企業2G私密資料被公開
為了迅速提升勒索規模進而直接有效增加勒索收益,利用殭屍網路豐富的“肉雞”資源傳播勒索病毒成為攻擊新方式。2019年,除了弱口令爆破,透過垃圾郵件、系統高危漏洞、軟體供應鏈等傳播方式外,勒索病毒團隊勾結殭屍網路發起攻擊的趨勢進一步提升。2019年,Nemty病毒就曾依靠Phorpiex殭屍網路大面積投遞,導致在國慶期間Nemty勒索病毒一度高發,國內多家企業受到影響。
同時,隨著勒索病毒黑產參與者的持續上升,反覆加密、檔名加密也越來越多地出現,個別系統同時被多個勒索病毒感染,導致受害者需繳納兩次贖金,而且由於解密測試過程無法單一驗證,很多時候即使繳納贖金,也難以恢復資料。此外,中國作為擁有8億多網民的應用大國成為勒索病毒攻擊的重要目標,為了提高勒索效率,一些勒索病毒運營甚至在勒索信、暗網服務頁面提供中文語言介面。
安全對抗加劇,防禦比查殺更重要
騰訊安全專家指出,隨著與安全軟體對抗的加劇,勒索病毒也將不斷升級。未來,勒索病毒攻擊將呈現傳播場景多樣化、攻擊目標轉向企業、更新迭代加快、勒索贖金定製化、病毒開發門檻降低、勒索病毒產業化、病毒多平臺擴散等趨勢,面對這一趨勢,防禦比查殺更為重要。因為一旦使用者感染勒索病毒,檔案被病毒加密,即使支付贖金,被加密的檔案也很難被恢復。
為此,騰訊安全專家提醒廣大企業使用者,做好企業員工安全培訓,日常管理中做到不開啟標題吸引人的未知郵件、郵件附件及郵件中的附帶網址,及時備份重要檔案,實時更新系統補丁及安全軟體病毒庫。同時,在各計算機終端裝置部署企業版防毒軟體,部署流量檢測、阻斷類裝置及軟體,使用內網強制密碼安全策略避免使用簡單密碼,全面防禦勒索病毒的傳播和入侵。騰訊安全產品服務體系覆蓋資料安全、網路安全、身份安全、終端安全、應用安全、業務安全、安全管理、安全服務等八大領域,能夠為企業提供全棧式、全鏈路安全服務。其中,T-Sec終端安全管理系統將百億量級雲查殺病毒庫、引擎庫以及騰訊TAV防毒引擎、系統修復引擎應用到企業內部,可助力企業有效抵禦各類病毒侵襲,目前已在政務、金融、醫療、泛網際網路等領域廣泛應用。
T-Sec終端安全管理系統成功攔截病毒
對於個人使用者,專家建議啟用安全防護軟體。騰訊電腦管家可對各勒索病毒家族變種及時防禦攔截。同時騰訊電腦管家「文件守護者」功能整合多個主流勒索家族的解密方案,透過完善的資料備份防護方案,在2019年為數千萬使用者提供文件保護恢復服務及解密服務,幫助其成功恢復被病毒加密的檔案。