在2020年肆虐全球的不仅仅是新冠病毒,还有“勒索病毒”。新冠疫情似乎从某种程度上进一步加剧了网络攻击的威胁,尤其是对因疫情影响而增加了远程工作的制造业企业来说,网络安全环境正面临着前所未有的严峻挑战。
据美国安全公司调查,2020年4月全球针对制造业的网络攻击增至1月的7倍,2020年一季度(1~3月)勒索软件受害者支付赎金的平均金额比上季度增长33%。Check Point研究表明,勒索软件是2020年给企业造成损失最大的攻击手段。预计2020年的网络犯罪可能导致高达6万亿美元的损失。
勒索软件成为2020年最常见的网络安全威胁之一。全球企业风险咨询公司Kroll的调查显示,2020年勒索软件攻击数量增加,部分原因是由于新冠疫情带来的远程工作方式为黑客开辟了新的攻击面。在Kroll观察到的47%勒索软件案例中,攻击者都是利用开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议来发起攻击。26%的勒索软件攻击案例可追溯到网络钓鱼电子邮件,17%的案例与漏洞利用有关。
随着疫情的持续爆发,越来越多的跨国公司宣布允许部分有条件的员工永久性远程办公。《2020年Acronis网络准备报告》显示,在疫情期间,由于员工依赖Zoom和微软等外部应用进行远程协作,全球约有39%的公司遭遇了视频会议攻击。根据Zscaler的新威胁研究报告,预计未来五年,针对绕过传统安全控制的加密流量(SSL)的攻击将增长260%。网络黑客利用Google、Microsoft和Amazon等受信任的云提供商的声誉来通过加密渠道分发恶意软件,在避免检测方面变得越来越复杂。
为了帮助企业更好地应对勒索软件攻击,美国网络安全和基础设施安全局(CISA)近日发布了一份《勒索病毒防护指南》,提供了对勒索软件攻击的最佳实践和预防、保护方法。如果您所在的组织不幸感染了勒索病毒,可以考虑及时采取以下措施,以最大程度的减少损失:
确定受影响的设备,并立即将其隔离。在无法断网的情况下,关闭它们的电源,以避免勒索软件广泛传播。分流受影响的系统进行恢复。并及时与您的团队协商,分析并记录已发生事件。
对受影响的设备的样本进行系统镜像和内存捕获。此外,收集任何相关日志以及任何“前兆”恶意软件二进制文件的样本以及相关的可观察对象或危害指标(例如,可疑的命令和控制IP地址,可疑的注册表项或检测到的其他相关文件)。研究特定勒索软件变种的行为,并遵循建议的其他任何步骤来识别受影响的系统或网络。
确定最初入侵所涉及的系统和帐户。根据以上确定的入侵或损害细节,搜索整个网络中哪些设备受影响。检查现有组织的检测或防御系统(防病毒、EDR端点检测和响应、IDS、入侵防御系统等)的日志。这样做可以更加快速进行取证,攻击朔源。
进行扩展分析,以识别由内而外的持久性机制。在可能的情况下,使用预先配置的标准镜像,根据服务优先级来重建系统。完全清理和重建后,对所有系统发出密码重置,并解决安全性或可见性方面的任何相关漏洞。