深信服「2021上半年勒索病毒趨勢報告」：

一場全球爆發“流行病”需要這份“防疫藥方”

 

2021年已過三分之二，除了應對新冠病毒持續的衝擊外，全球各行業還在面對一種持續激增、愈發頑固的“流行病”——勒索病毒。據海外研究團隊Check Point Research統計，2021年5月勒索病毒攻擊次數相對年初增加了41%，相對2020年6月同比增加了 93%。

 

根據深信服最新頒佈的《2021上半年勒索病毒趨勢報告》， 可以從「4大觀察維度+3大攻擊演變」窺探當前勒索病毒的野蠻生長情況：資料顯示，勒索病毒加速進化，攻擊手法持續迭代，甚至對特定的行業、地域具有明顯的針對性。

 

勒索病毒攻擊手法究竟發生了哪些變化？病毒對哪些行業與地域窮追猛打？接下來帶您一探究竟……

 

4大觀察維度

看看你離被勒索病毒感染有多遠？

 

今年上半年，深信服終端安全團隊持續追蹤國內各大勒索事件，從“感染行業分佈”、“攻擊諮詢行業分佈”、“感染地域分佈”和“病毒活躍家族”四大維度觀察勒索病毒最新動態，並總結出了相應的規律。

 

1. 勒索病毒感染行業：教育行業佔比創歷史新高

 

根據雲端感染統計資料，部分校園網由於大量裝置疏於安全加固與漏洞修復，受Wannacry感染嚴重，因此，教育行業受感染比例創歷史新高，佔據近半壁江山，其影響力和危害性不容忽視。其次，企業、製造業、醫療衛生等行業因資料重要性與經濟實力，依舊成為勒索病毒主要攻擊目標，受到不同程度影響。

2. 勒索攻擊諮詢行業：能源與地產行業成新靶

 

深信服終端安全團隊統計了上半年接到的攻擊事件線下諮詢，資料顯示，醫療、教育、製造業等行業延續著以往的高頻攻擊。值得關注的是，能源行業和地產行業受到勒索病毒攻擊的頻率正逐步升高。

 

3. 勒索病毒感染地域：沿海發達城市為“易感群體”

 

從感染地域分佈來看，廣東、安徽、浙江、江蘇等沿海城市，因對外貿易往來較為發達，受勒索病毒感染最為嚴重。

 

4. 勒索病毒活躍家族：Wannacry依然讓企業“想哭”

 

從深信服雲端資料統計來看，Wannacry仍然依靠“永恆之藍”漏洞（MS17-010）佔據勒索病毒感染量榜首。儘管Wannacry勒索病毒已經無法觸發加密，但其感染資料反映了當前仍存在大量主機沒有針對常見高危漏洞進行合理加固的現象。

深信服終端檢測響應平臺EDR輕補丁功能，

無需重啟打補丁，一鍵防護高危漏洞，拒絕“永恆之藍”

 

勒索病毒家族 TOP 5 快來看清真面目

 

《緊急預警：Globelmposter再次攻擊醫療行業，爆“十二生肖”2.0新變種》

《Globelmposter勒索病毒最新變種預警：從“十二生肖”到“十二主神”，為何國內醫療行業最受傷？》

《GlobeImposter勒索病毒新變種C4H東山再起》

 

《3.25 億！REvil 勒索團伙又出動，深信服 EDR 來給使用者打個“勒索病毒預防針”》

《技術揭秘：勒索蘋果代工廠5000萬美元的REvil有什麼不同？》

《Sodinokibi新變種呈現定製化，疑似團伙連續作案》

《準備交贖金？當心Phobos勒索病毒二次加密！》

《利用IQY（Excel Web Query）檔案分發，Buran勒索病毒又出新變種》

《Hospit勒索變種瞄準製造業，深信服首發解密工具》

點選文章標題可跳轉相關連結

 

3大攻擊演變

勒索病毒持續翻新 防病毒要打持久戰

 

儘管勒索病毒活躍家族的格局依然穩定，但在巨大經濟利益的驅使下，勒索團伙不斷研究病毒的變種及攻擊形式，使其不斷進行自我進化。

 

1. 從“加密資料”到 “三重勒索”的改變

 

先從最初的單一加密勒索演化到“雙重勒索”，即在加密前攻擊者會先竊取大量受害者敏感資料，威脅受害者如果不繳納贖金則公開資料。而近期演化出的“三重勒索”模式，則是在雙重勒索的基礎上增加了DDoS攻擊威脅。

Avaddon勒索團伙釋出勒索宣告，圖片來源：Hackread.com

 

2. 從“散裝攻擊”到“定向攻擊”的轉型

 

早期的勒索病毒攻擊靠批次掃描發現薄弱點，目標較為分散，主要分佈於中小企業，行業範圍沒有限制。但近期，勒索攻擊與高階持續性威脅相結合，演化出針對高價值目標的定向勒索，例如製造業、金融、醫療等。更有甚者，在攻擊前會研究企業的經濟狀況，根據其支付能力決定贖金多少。

海外廠商報導勒索團伙會根據金融時報決定下個攻擊目標

 

3. 從“單一平臺”到“多種平臺”的擴充套件

 

目前為止，受勒索病毒影響最普遍的仍然是 Windows 系統，但近年來，逐漸出現了針對 Windows 以外的勒索病毒。早在2018年，深信服終端安全團隊曾報導過一款名為 Lucky 的跨平臺勒索病毒，利用 Tomcat 漏洞針對 Linux 和 Windows 系統進行無差別攻擊。

深信服千里目報導《國內首例！Lucky勒索病毒攻擊Linux與Windows》

 

4+7+1勒索病毒防治藥方

科學抗病毒，深信服奉上“靈丹妙藥”

 

深信服基於多年來為1000+各行業使用者提供有效的勒索病毒防護，在實踐中沉澱出系統性解決方案。面對勒索病毒新的變化趨勢，深信服推出「4+7+1勒索病毒防治藥方」，其中全新升級的勒索病毒防護解決方案，將幫助使用者更有效應對高階勒索威脅。

 

深信服「4+7+1勒索病毒防治藥方」

 4個預防動作，提升免疫力

 7絕句快速響應，病毒來了不慌張

 1套勒索病毒防護解決方案，全方位貼心防護

 

防治藥方：4個預防動作，提升免疫力

 

當“病毒”在進化，攻擊團伙在努力，這注定是一場沒有硝煙的“戰爭”。正如有些人往往等病重了才去看病，多數企業在被勒索後才“病急亂投醫”，但造成的嚴重損失已無法挽回。科學的“防疫藥方”在於事前預防，為企業網路安全“戴緊口罩”。

 

1.資產管理：管理資產是安全運營工作的基礎工作，明確資產物件，形成資產臺賬，是後續安全運營工作能夠順利開展的關鍵要素。

2.風險排查及修復：定期排查企業網路中的風險項，包括高危可利用漏洞、高危埠、裝置弱口令以及安全裝置策略等，及時對風險項進行加固調整，減少暴露面，同時應關注安全裝置上攻擊事件和勒索事件的實時告警，進行快速響應。

 

3.有效備份：針對業務型別選擇合適的備份，核心資料儘量定期異地備份，若不幸失陷，備份恢復能夠將損失最小化。

 

4.安全意識：人是企業安全防範中最薄弱的環節，很多內部風險的起因往往是由於人的安全意識匱乏導致，因此，內部安全意識培養十分重要。

防治藥方：7絕句快速響應，病毒來了不慌張

正如新冠病毒爆發初期，當事態發展到難以控制的局面，在有關專家的呼籲下，大部分人才開始覺醒：如果在疫情發展初期足夠重視，可以將風險降到可控範圍的最低狀態。因此如果不慎中了勒索病毒，不用慌張，深信服為你送上“快速響應七絕句”：

1.梳理資產，確認災情：儘快判斷影響面，有利於後續工作開展及資源投入，確認感染數量、感染終端業務歸屬、感染家族等詳情。

 

2.保留現場，斷開網路：儘快斷網，降低影響面，保留現場，不要輕易重啟或破壞（若發現主機還沒完成加密的情況，可以即刻斷電，交給專業安全人員處理），避免給後續溯源分析、解密恢復帶來困難。

 

3.確認訴求，聚焦重點：受害者企業必須明確核心訴求（資料解密、加固防禦、入侵分析、樣本分析、企業內網安全狀況評估等），應急響應人員必須根據核心訴求，按照緊急程度依次開展工作。

 

4.樣本提取，資料收集：透過人工排查或工具掃描定位感染裝置中是否還有勒索病毒檔案、駭客工具檔案殘留，進行取樣提取，並對勒索資訊檔案、加密字尾、系統日誌等資訊進行即時的儲存。

 

5.判斷家族，嘗試解密：根據勒索資訊檔案和加密字尾進行家族搜尋，確認是否有解密工具；如果獲取到解密工具，需要將原加密資料備份後再進行解密，謹防損壞後永久性丟失資料。

 

6.溯源取證，封堵源頭：透過對主機日誌、安全產品日誌的詳細排查，定位入侵來源，還原攻擊過程，儘快對攻擊入口進行封堵。

 

7、加固防禦，以絕後患：針對事件暴露的安全風險點進行較為完整的安全加固。

向上滑動檢視更多

 

防治藥方：1套勒索病毒防護解決方案，全方位貼心防護

 

如果說，遭遇勒索病毒是“天災”， 缺乏常態化安全防禦是“人禍”，那麼，為防護企業資料安全，需要購買一份“醫療健康保險”——深信服勒索病毒防護解決方案。

 

深信服全新升級的勒索病毒防護解決方案，以“安全裝置+勒索預防與響應服務”為基礎，圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈，全面幫助使用者補齊在勒索預防、監測、處置能力方面的缺失，構建有效預防、持續監測、高效處置的勒索病毒防護體系。

 

Ø  3大功效，強力對抗勒索病毒

 

1.全面排查，有效防禦：在勒索發生之前，透過深信服下一代防火牆AF內建的防勒索策略模板攔截網路投毒攻擊，並透過深信服終端檢測響應平臺EDR對終端提供登入保護與病毒查殺，同時，安全服務人員基於大量勒索病毒Checklist協助消除勒索隱患，並進行防禦策略調優，降低被勒索的機率。

 

2.持續監測，全程保護：深信服安全感知平臺SIP可基於全流量監測分析，快速發現查殺失敗並在內網開始擴散的疫情，同時安全服務專家提供7*24h持續監測服務，發現疫情後主動進行預警。

 

3.快速響應，高效處置：一旦新型病毒攔截查殺失敗，開始在內網爆發，安服人員可在5分鐘內快速響應，第一時間聯動SIP和EDR隔離病毒源遏制疫情擴散，同時透過網端關聯舉證分析，進一步定位病毒檔案，線上線下協助使用者最終完成病毒清除和業務恢復，降低業務損失。

 

 

《2021上半年勒索病毒趨勢報告》

現已正式釋出！

想看完整版報告？

掃描下方二維碼，新增信服君

即可免費獲取完整報告！