上周,美國最大成品油管道運營商Colonial 被勒索軟件攻擊致使其被迫關(guān)閉所有輸油管道運營一時間成為國內(nèi)外的焦點,引發(fā)了國內(nèi)外對于國家關(guān)鍵基礎(chǔ)設(shè)施的高度重視�。
美國最大成品油管道公司被勒索軟件攻擊
5 月 8日,據(jù)外媒紐約時報報道����,美國最大成品油管道公司Colonial Pipeline被勒索軟件攻擊,為了避免造成更大影響�,該公司已主動切斷部分系統(tǒng)網(wǎng)絡(luò),暫停所有管道運營����。
圖源Wired
目前,尚不清楚這一事件的幕后黑手是誰�。路透社援引業(yè)內(nèi)人士稱,實施網(wǎng)絡(luò)攻擊的黑客很可能是專業(yè)的網(wǎng)絡(luò)犯罪團伙����。
美國政府9日宣布進入緊急狀態(tài)��,以解除針對燃料運輸?shù)母鞣N限制�����,保障石油產(chǎn)品可以通過公路快速運輸����。
疑似勒索軟件 DarkSide 發(fā)起攻擊
盡管目前還未證實美國最大燃油管道遭受何種勒索軟件攻擊��,但從該公司的聲明中可以得知��,此次導(dǎo)致美國最大燃油管道公司停擺的主要原因來自于勒索軟件的攻擊��。
不過���,據(jù)外媒 BBC 報道��,根據(jù)多個消息來源證實���,此次勒索軟件攻擊是一個名為 DarkSide 的勒索軟件 。消息稱該犯罪團伙對目標(biāo)系統(tǒng)植入惡意軟件����,以索要贖金���,劫持了該公司近 100GB 的數(shù)據(jù),聲稱如果不付款��,將會把這些數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上�����。
圖源BBC
關(guān)于DarkSide勒索病毒團伙��,深信服早在 2020 年 9 月就對其進行過跟蹤報道����。(【流行威脅追蹤】深度分析DarkSide勒索軟件�����;【流行威脅追蹤】追蹤已財富自由的DarkSide勒索軟)
DarkSide勒索病毒團伙是勒索軟件即服務(wù)(RaaS)的新銳代表之一�,近年來,勒索團伙犯罪活動增長迅速���,而受害者往往不愿意冒著風(fēng)險支付高額的贖金����,這使得勒索病毒運營團伙也開始包裝自己“專業(yè)可靠”的形象。
DarkSide勒索信息TXT
與“散裝”勒索病毒不同的是�,DarkSide勒索病毒團伙攻擊目標(biāo)的針對性非常強,他們會對目標(biāo)進行長達(dá)數(shù)周乃至數(shù)月的技術(shù)分析工作���,甚至?xí)δ繕?biāo)進行財務(wù)分析���;該團伙曾公開表示,他們不以醫(yī)院��、學(xué)校等非營利組織作為攻擊目標(biāo)���,而是針對有能力支付大額贖金的企業(yè)或機構(gòu)進行攻擊�����。
此外�����,DarkSide勒索病毒跟其它勒索病毒不同的是��,其加密后綴不是固定的����,通常是8位隨機字符,且加密的文件類型包括以下后綴:
386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb
加密后的文件后綴類型
為了確保成功勒索用戶繳納贖金��,在進行加密前攻擊者會在目標(biāo)環(huán)境中進行滲透并安裝后門程序以竊取重要的數(shù)據(jù)信息��,當(dāng)勒索目標(biāo)拒絕繳納贖金時�,會將數(shù)據(jù)公開作為威脅目標(biāo)的手段。
此前 4 月 23 日���,DarkSide 勒索病毒團伙就被曝出其在暗網(wǎng)門戶網(wǎng)站上放出消息���,Darkside 將會提前告知那些邪惡/懷有不良動機的股票交易員,然后在網(wǎng)站上公布受害者公司之前將做空該公司的股票價格�。
針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊需引起強烈關(guān)注
關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系著國計民生����,是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重�����。隨著經(jīng)濟社會對網(wǎng)絡(luò)的依賴程度不斷加深���,關(guān)鍵信息基礎(chǔ)設(shè)施安全防護更加緊迫�����。網(wǎng)絡(luò)空間軍事化�����、網(wǎng)絡(luò)武器平民化��、網(wǎng)絡(luò)攻擊常態(tài)化的態(tài)勢日趨明顯���,關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)���。
面對這樣的重大勒索軟件攻擊事件,也給國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)保護敲響了警鐘�����。這啟發(fā)我們不僅需要完善的關(guān)鍵信息基礎(chǔ)設(shè)施��,更需要對關(guān)鍵信息基礎(chǔ)設(shè)施的安全給予實時全面的監(jiān)測保護��。
深信服EDR產(chǎn)品基于勒索病毒攻擊鏈,從預(yù)防�����、防護�、檢測與響應(yīng)整個生命周期進行全面防護。
預(yù)防:通過安全基線檢查�、漏洞檢測與修復(fù)等提前識別系統(tǒng)脆弱面,并封堵勒索病毒攻擊入口��。
防護:開啟RDP爆破檢測���、無文件防護�、勒索誘餌防護以及遠(yuǎn)程登錄保護等安全策略�����,對勒索病毒的各種攻擊手段進行針對性的對抗與防護��。
檢測與響應(yīng):通過 SAVE 人工智能引擎進行文件實時檢測���、全網(wǎng)威脅定位、網(wǎng)端云聯(lián)動等對勒索病毒進行全網(wǎng)快速定位����、處置與阻斷�,阻止威脅爆破�。
此外,深信服“人機共智”MSS安全運營服務(wù)為用戶提供勒索病毒預(yù)防與響應(yīng)專項場景服務(wù)��。服務(wù)專家基于安全運營中心百余項勒索病毒Checklist�����,定期開展風(fēng)險排查�,并協(xié)助用戶加固;安全運營中心 7*24H持續(xù)監(jiān)測確保第一時間發(fā)現(xiàn)勒索攻擊���、感染�、傳播行為���,第一時間為用戶精準(zhǔn)預(yù)警�,服務(wù)專家在線5分鐘響應(yīng)�����,高效閉環(huán)勒索病毒事件���。
深信服安全團隊再次提醒廣大用戶��,勒索病毒以防為主���,目前大部分勒索病毒加密后的文件都無法解密��,注意日常防范措施:
勒索病毒日常防范建議
- 及時升級系統(tǒng)和應(yīng)用���,修復(fù)常見高危漏洞;
- 對重要的數(shù)據(jù)文件定期進行異地多介質(zhì)備份����;
- 不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件���;
- 盡量關(guān)閉不必要的文件共享權(quán)限���;
- 更改賬戶密碼,設(shè)置強密碼���,避免使用統(tǒng)一的密碼�,因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破��,多臺遭殃
- 如果業(yè)務(wù)上無需使用RDP的�����,建議關(guān)閉RDP�,盡量避免直接對外網(wǎng)映射RDP服務(wù)。
深信服EDR用戶�����,建議及時升級最新版本�,并接入安全云腦,使用云查服務(wù)以及時檢測防御新威脅��。
32位工具下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
64位工具下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
來源: 深信服科技?
