导语:继美国最大燃油管道公司(Colonial Pipeline)遭遇DarkSide勒索病毒攻击事件不到一周,又有爱尔兰卫生服务执行局(HSE)宣布遭受“重大勒索软件攻击”,并关闭其计算机系统,爱尔兰多家医院疫情报告服务被迫中断,攻击者勒索2000万美元。
继美国最大燃油管道公司(Colonial Pipeline)遭遇DarkSide勒索病毒攻击事件不到一周,又有爱尔兰卫生服务执行局(HSE)宣布遭受“重大勒索软件攻击”,并关闭其计算机系统,爱尔兰多家医院疫情报告服务被迫中断,攻击者勒索2000万美元。
腾讯安全专家指出,勒索病毒攻击自2017年WannaCry爆发以来愈演愈烈,已成危害全球的世界公害,勒索病毒攻击可能针对任何高价值目标,包括以公益性质为主的社会服务系统。对勒索攻击,只有预防为主,才是应对之道。
爱尔兰国家卫生服务局的社交媒体帐号公开了该事件
一周内又一起影响严重的勒索事件
媒体报道了该事件的影响(消息来源:https://www.bbc.com/news/world-europe-57111615):
· 都柏林Rotunda医院由于“紧急情况”取消了门诊,除非孕妇准备分娩,其他妇科诊所均已取消;
· 都柏林国家妇产医院还表示,由于重大IT问题,上周五其服务将“严重中断”;
· 都柏林圣哥伦西医院表示,一些在线会议和与电子记录有关的事宜已被推迟;
· 克鲁姆林医院的爱尔兰儿童保健(CHI)告知人们,所有虚拟/在线预约均已取消;
· 爱尔兰UL医院集团在一份声明中表示,“接受其服务的患者预计会出现长时间的延误”。
据国外科技媒体BleepingComputer报道,Conti勒索病毒团伙向HSE勒索2000万美元,声称已窃取700GB的数据。
应对勒索病毒,必须未雨绸缪
Conti勒索病毒是ryuk勒索病毒的一个变种分支,而Ryuk勒索家族又起源于更早的Hermes家族,活跃迹象可追溯到2018年。腾讯安全2019年捕获该团伙对中国企业的攻击。(参考链接:严重危害北美地区的Ryuk勒索病毒传入国内,受害者被勒索11 BTC)
Conti勒索病毒的特点是,勒索金额很高,2019年勒索金额约人民币75万元,本次勒索已经要价2000万美元了,该勒索病毒加密破坏的文件没有私钥无法解密。
腾讯安全专家指出,近年来,勒索病毒攻击产业链条日趋完善,勒索攻击的目标,也从最初漫无目的广撒网演变为针对高价值目标重点突破,勒索病毒团伙的攻击特点日趋APT(高级可持续攻击)化:攻击技能更强、利用新漏洞武器的速度越来越快,留给受害企业的反应时间也更短。再加上比特币等数字加密货币市值爆涨,令勒索病毒攻击者日益贪婪,攻击也就更频繁,要价更高。
勒索病毒攻击往往分成四步走,分别是入侵、扩散、窃密、勒索。加密受害者系统,令业务全面瘫痪是最后一步。攻击者以此要挟受害者支付巨额赎金,在此之前,受害者的关键业务数据已被窃取。
“只有事先预防才是解决之道,当勒索事件发生时,一切都晚了”。腾讯安全专家指出,一旦勒索加密事件发生,除非受害企业有完善的备份系统,否则其后果往往(绝大多数情况下)无法承受,关键业务系统将被迫中断,被破坏的数据也无法解密恢复。
如何做到未雨绸缪?
预防勒索病毒事件发生,跟今天全社会接种疫苗预防新冠肺炎疫情传播类似。企业网络系统也需要接种“疫苗”——部署必要的网络安全防护系统,使用完善的备份系统数据;关闭不必要的、有风险的网络服务和网络端口;及时扫描修复业务系统软件存在的安全漏洞;禁止任何时候使用弱口令;对员工进行安全意识培训等等。
但上面这些预防方法,说起来容易做起来却极具挑战,而且企业网络规模越大,实施起来难度也越大。腾讯安全专家建议企业通过零信任安全解决方案来解决,零信任的原则是八个字:持续验证、永不信任。
产业数字化升级驱动企业组织管理变革,远程办公的普及让传统的基于边界防护的安全架构无法适应新的安全形势和需求,零信任将成为满足全球企业安全管理的新型架构。美国总统拜登已签署命令,要求全国范围内推广零信任安全解决方案。腾讯副总裁丁珂表示,全球数字化和万物互联的加速,将物理空间的边界彻底打破,以“零信任”理念重构防御体系势在必行。
2019年由腾讯牵头提案的“零信任安全技术-参考框架”行业标准,是国内业界首个零信任安全技术行业标准;2020年3月,“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T,在SG17安全研究组全体会议中得到普遍认可并获通过。
在终端系统和服务器部署腾讯零信任无边界访问控制系统(iOA)来实施端点安全策略:强制要求所有节点满足4T可信条件:ID可信、设备可信、应用可信、链路可信。配置全网安全策略:关闭危险端口和服务;禁止使用弱口令;全网扫描高危漏洞安装补丁;配置全网合规检查规则,禁止运行违规软件(如穿透内网的代理服务器);配置多因子验证,而不是单一的仅使用帐号密码验证,每台终端启用文档备份等等。
当勒索黑客通过攻击某个员工电脑,或入侵某台存在安全漏洞的服务器后,由于远程无法做到4T可信,使得攻击者仅仅只能攻陷有限的设备,而无法继续利用内网失陷系统在网络中横向扩散攻击。零信任系统检测到某台设备已被攻陷时,可以立刻切断失陷设备访问核心数据等资产的能力,并同时告警运维人员及时处置威胁。
腾讯安全专家同时建议企业在内网旁路部署腾讯高级威胁检测系统(NTA,御界),对企业出入网络流量及内网设备之间的网络流量进行分析,发现黑客入侵攻击线索及时告警处置,通过与腾讯网络入侵防护系统(NIPS,天幕)联动,实时阻断失陷系统向黑客控制的服务器传输数据的灾难事件发生。
参考链接:
严重危害北美地区的Ryuk勒索病毒传入国内,受害者被勒索11 BTC
https://mp.weixin.qq.com/s/IzwnUft0GpDJQ-sV-3f9eQ
https://mp.weixin.qq.com/s/YPRYM4CFttPK4cBt6iglzQ
https://mp.weixin.qq.com/s/tPTIw7ILtxvQs980rq9l4A
如若转载,请注明原文地址