勒索软件威胁正成为笼罩在互联网世界上空一团挥之不去的乌云。
日前,世界最大轮胎制造商普利司通遭到Lockbit勒索软件攻击。LockBit网络勒索团伙称,对普利司通美洲公司受到的网络攻击负责,并从该公司窃取了数据。
(图源来自网络)
在数字化改革浪潮下,数据、信息已经成为政府与企业的重要核心资产,网络安全等级保护将迎来全新和更高需求。根据2021年工业部门的监测威胁活动,发现针对 ICS/OT 网络的勒索软件事件激增。据Corvus保险公司的统计,2021年下半年,勒索软件攻击“进入旺季”,从第三季度开始勒索软件攻击的数量和赎金金额快速增长。
据Intel 471的报告,2021年第四季度最流行的勒索软件是 LockBit 2.0 (29.7%)、Conti (19%)、PYSA (10.5%) 和 Hive (10.1%),四种主流勒索软件占据勒索事件的70%。
近年来,勒索软件攻击的高速增长,已成为网络安全领域最大的威胁之一,从一种网络犯罪滋扰发展成为对国家及全球安全、经济稳定和公共安全的严重威胁。当前,勒索攻击正成为产业互联网时代的“流行病”,如何有效防范勒索软件攻击已然成为网络安全领域的焦点和难点问题 。
01、勒索攻击正成为产业互联网时代的“流行病”
《2021年全球工控安全台式报告》显示,2021年80%的关键基础设施组织遭受了勒索软件攻击,安全预算亦自2020年以来有所增加,关键基础设施中近五成系统遭受勒索软件攻击影响。另据《2022产业互联网安全十大趋势》指出,2022年勒索模式趋向从数据敲诈向多重勒索、勒索病毒和供应链的组合攻击模式演变,勒索攻击的危害将进一步扩大。
Intel 471的网络安全研究人员分析了2021年10月到12月发生的722起勒索软件攻击,并确定了受影响最严重的几个行业。其中消费和工业产品行业受勒索软件威胁占比最重,近四分之一的企业受到勒索软件攻击影响,制造业、专业服务和房地产也占有相当大的份额。如下图所示:
图源:目标行业(英特尔 471)
其中,制造业是受影响第二重的行业,15.9%的勒索软件攻击指向制造业。由于制造行业在OT安全防御方面的不成熟,更易受到攻击。许多组织对基础架构的可见性非常有限,未能正确分割网络边界,拥有许多具有外部连接的设备以及企业网络 (IT) 和 OT环境之间的大量共享凭证。
而专业服务和咨询是勒索软件攻击的第三大目标行业,15.4%的事件发生在该行业;房地产业紧随其后,占比11.4%。
此外,尽管此前勒索软件多以政府和大型企业为主要目标,但近年来,中小企业同样面对网络安全风险。据美国国土安全部2021年5月发布的消息,过去一年中美国遭到的勒索软件攻击约有50%-70%是针对中小企业,攻击数同比增加300%,2020年共造成3.5亿美元的损失。
2021年,勒索软件攻击安全事件数量再破纪录、高危漏洞与供应链攻击所造成的持续威胁困扰着大家。展望2022年,面对数字化、云化、智能化高速发展的当下,安全更应该放眼于未来。
02、2021年主要勒索软件介绍与分析
在攻击工业基础设施的勒索软件组织中,LockBit 和 Conti 是迄今为止最活跃的,占事件的 51%。以下为对LockBit 和 Conti两个勒索软件的相关介绍和技术细节分析。
LockBit2.0
LockBit2.0是一种基于RaaS(软件即服务)运营的勒索软件,并采用广泛的各种战术(Tactics)、技术(Techniques)和程序(Procedures),即TTP,并采用多种方式危害受害者的网络技术,包括访问权限、未修补的漏洞、内部人员的访问和0day漏洞。
当入侵受害者网络后,LockBit2.0将会利用网络公开的可用安全工具,如Mimikatz提升至管理员权限,然后便可窃取数据并加密。最后会在侵害的系统上留下赎金的金额,提供有关如何获取解密密钥的说明。
技术细节
LockBit2.0是一个多功能的勒索软件应用程序,利用解码字符串和加载所需要的模块来逃避系统的安全检测,一旦运行,LockBit2.0便开始解码必要的字符串和代码,然后导入所需要的系统模块并自动检测是否有管理员权限,如果不是管理员权限便会开始尝试提权并横向移动;下一步便开始确认系统版本和用户的语言设置。
随着感染的开始,LockBit2.0会删除驻留在磁盘上的日志文件和磁盘卷副本,枚举系统信息,包括主机名、主机配置、域信息、本地磁盘配置、远程共享和已安装的外部存储设备;最后LockBit2.0将通过HTTP复制任何本地或远程设备的所有数据到攻击者控制的服务器后开始加密,但会跳过系统和核心系统功能相关联的文件。完成以上一系列动作后,LockBit2.0会从磁盘中删除自身并加入到系统启动项。
Conti
Conti勒索软件2019年12月首次发现,并逐渐发展成为主要的勒索软件即服务(RaaS)运营商之一,是除LockBit2.0活跃度最高的勒索软件,重大攻击包括爱尔兰医疗保健系统、美国医疗保健和急救网络(执法机构和911调度中心)。
Conti专门针对Windows系统,擅长通过恶意附件、被盗或弱凭据(RDP)、通过搜索引擎推广的虚假软件和一些资产中未修补的漏洞来提升权限并在网络中横向移动,如Windows Print spooler服务中的PrintNightmare漏洞(CVE-2021-34527)、Microsoft Windows Server消息块中的EternalBlue漏洞(CVE-2017-0144)和Zerlogon漏洞(CVE-2020-1472)等。
技术细节
Conti一般通过鱼叉式网络钓鱼活动、恶意附件和Windows漏洞获取初始权限和横向移动,然后在执行有效负载之前会运行状态预检查(通过getuid有效负载),防止触发防病毒引擎,再使用Router Scan恶意扫描和暴力破解路由器、摄像头和带有WEB页面的网络设备,还会使用Kerberos攻击尝试获取Admin的Hash值来提升至管理员权限,下一步Conti会利用远程监控、远程桌面软件和管理软件作为后门来维持控制的持久性,Conti一般会使用开源的Rclone命令行来进行数据泄露,窃取和加密敏感数据。
03、防范勒索软件攻击的安全建议
随着针对勒索软件的执法行动的增加,勒索软件攻击手段将走向专业和商业化,而受影响的行业范围也因此越发广泛,包括医疗、教育、金融、政府机构、食品、能源、制造业、服务业等等,导致众多敏感数据外泄、业务中断、名誉和经济损失等,已经影响到人们的日常生活,造成许多不便。
因此,无论是当前最活跃的LockBit、 Conti勒索软件,亦或者其他新兴的勒索软件,事关网络安全问题,须小心谨慎,以防御为主,未雨绸缪。另外对于勒索软件攻击的安全防范和网络犯罪行为的打击,也需要各个国家共同推进和对抗、各个安全公司协同推进和行业企业的共同维护。
以下是融安网络作为专业的网络安全公司针对防范勒索软件攻击提出的几个安全建议:
1、所有操作系统和软件保持更新。及时修补漏洞是企业或组织可以采取的最有效和最具成本效益的方法之一,最大限度减少漏洞对网络安全威胁的影响。
2、开启用户网络钓鱼安全意识培训。在电子邮件和其他协作工具中实施反网络钓鱼功能并持续培训使用电子邮件的安全意识,提高用户对访问可以网站、可以链接和打开可以附件的风险的意识,加强对网络钓鱼和鱼叉式网络钓鱼电子邮件的响应。
3、加强防护应用程序和访问。所有的应用程序和基础设施访问应实施WEB应用程序安全防护,应用漏洞通常都会发生在应用代码和底层应用基础设施中,因此必须保护应用程序免受OWASP中的安全威胁。若应用程序有API交互,还应覆盖OWASP API Security Top 10要求,根据端点安全状况实施零信任访问。
4、备份数据。长期定时备份重要数据(物理隔离),测试备份和恢复,可以保护企业或组织业务运营的持续性,最大限度减少攻击造所成潜在停机的时间,防止数据丢失;确保所有备份数据都经过加密。
除此之外,施行网络分段、端到端加密、及时监测异常流量,以及限制特权用户的实施时间等相关措施,以起到限制攻击者了解网络环境和横向移动,也可有效防范勒索病毒的攻击事件的发生。
