本篇文章1820字,读完约5分钟
自从2017年wannacry风靡全球以来,ransomware已经正式进入了大众的视野,影响了许多行业和机构,并成为最受关注的网络安全问题之一。回顾整个2018年,以whole冒名顶替者、crysis和gandcrab为代表的勒索病毒越来越猖獗。肆无忌惮的攻击者将勒索病毒与蠕虫相结合,以企业、机构和相关政府部门为目标,接连制造了多起大规模的敲诈事件,极大地增强了其影响力和破坏性,一度引起社会各界的广泛关注。
可以预见,未来的软件攻击将呈现出技术手段日益成熟、攻击目标更加精确、产业分工更加具体的特点。所以,如何抵御这种勒索攻击就显得尤为重要。近日,腾讯证券正式发布了《2018年敲诈勒索活动回顾报告》(以下简称《报告》)。《报告》分析了过去一年中国主要软件组织的分布和攻击技术,全面预测了未来技术发展趋势。此外,《报告》还提出了321安全容灾方案的原则,对企业网络安全建设具有一定的参考价值。
谁最受软件青睐
2018年全年,软件攻击总体呈上升趋势,导致了许多大规模的网络攻击。从攻击的地理分布来看,ransomware分布在全国各地,尤其是广东、浙江和河南。同时,ransomware也偏爱受感染的行业,其中传统行业、教育和互联网最为严重,其次是医疗和政府机构。
(照片:软件感染的地理分布)
以医疗行业为例,在该行业网络安全相对完善的前三家医院中,有42%的医院在计算机方面仍然存在永远无法修补的蓝色漏洞;平均而言,每天有7家3A医院的电脑检测到恶意软件。2018年初,中国的两家省级医院相继遭受了勒索软件攻击,一度导致医院在一段时间内无法接受治疗,甚至导致系统长期瘫痪。
制造业也是最常被勒索的对象之一。2018年,TSMC和波音飞机制造厂相继遭受病毒勒索。制造业正面临“工业4.0”的重大历史机遇。面对将无处不在的传感器、嵌入式系统、智能控制系统以及产品数据、设备数据、R&D数据和运行管理数据连接成智能网络的新模式,一种新的安全需求正在出现。
尽管ransomware更喜欢上述行业,但事实表明,ransomware对关系国计民生的各种行业都构成了一定的威胁。社会长期依赖的基础设施一旦遭到攻击,将会给社会带来不可预测和不可逆转的损失。
抢劫犯也有家人、解密公司或他们的代理人
在勒索软件攻击系统后,它通常会向受害者勒索数字现金或其他货币,这在病毒领域是名副其实的强盗。2018年,在经历了爆炸性增长后,ransomware不再独自作战,而是以家族形式为王,角色分工明确。一个完整的软件攻击过程可能涉及五个角色:软件的作者、软件的实现者、通信渠道的提供者、代理和受害者。
具体来说,病毒作者主要负责编写、制作和对抗安全软件;敲诈实施者从病毒作者那里获得定制的源程序,通过定制的病毒信息获得独家病毒,并与病毒作者分享收入;沟通渠道帮助敲诈实施者完成病毒传播;作为一个重要的部分,代理人向受害者谎称他可以解密由ransomware加密的软件,并索要赎金以赚取差价。
(照片:勒索黑制作产业链)
近两年来,随着数字现金的迅速发展,以gandcrab、globe冒名顶替者和crysis为代表的敲诈勒索家族在巨大利益的诱惑下依然十分活跃。其中,攻击技术已经成为整个勒索家族延续的核心驱动力,如使用常规加密工具、病毒加密和虚假勒索欺诈加密等,已经成为攻击者常用的策略之一。
以2018年最活跃的ransomware家族之一gandcrab为例,作为第一个使用dash作为赎金的ransomware,其传输方式多种多样,主要包括弱密码爆炸、恶意邮件、网站挂马传输、移动存储设备传输、软件供应链感染传输等。病毒的更新速度非常快,一年之内它经历了五个大版本和几个小版本的小修复。目前,最新版本是5 . 1 . 6(2018年底),在中国最活跃的版本是5.0.4。
(照片:ransomware和crab ransomware页面)
众所周知,除非ransomware有逻辑漏洞或获得解密密钥,否则用目前的计算机计算能力几乎不可能解密它。如今,市场上也有解密公司,它们实际上是中国勒索者的代理。它利用了国内用户不方便购买数字现金的弱点,吸引受害者以相对较低的价格联系并解密,从而在整个过程中赚取差价。根据解密公司官方网站上公布的交易记录,一家解密公司通过充当敲诈中介,每月可以赚取300瓦人民币。
321数据备份方法是对抗软件最直接的方法
标题:腾讯安全发布勒索病毒报告:目标锁定政企用户 破坏力显著增强
地址:http://www.ictaa.cn/hlwxw/8442.html