Check Point研究顯示:與 2020 年初相比,今年全球遭受勒索軟件攻擊的組織增加 102%
Check Point研究顯示:與 2020 年初相比,今年全球遭受勒索軟件攻擊的組織增加 102%
美國聯(lián)邦調(diào)查局周一發(fā)布聲明證實(shí),Colonial Pipeline (輸油管)網(wǎng)絡(luò)此次遭遇的勒索軟件攻擊由一個名為 DarkSide 的專業(yè)網(wǎng)絡(luò)犯罪組織發(fā)起。
DarkSide 采用勒索軟件即服務(wù) (RaaS) 模式,利用合作伙伴程序來實(shí)施網(wǎng)絡(luò)攻擊。這增加了調(diào)查難度,導(dǎo)致目前我們對此次攻擊幕后黑手的了解少之又少。
DarkSide 勒索軟件利用網(wǎng)絡(luò)社區(qū)中極為少見的系統(tǒng)(例如 ESXi服務(wù)器)發(fā)起攻擊。在此次攻擊中,疑似涉及 ICS 網(wǎng)絡(luò)。該勒索軟件已被用于發(fā)起眾多定向勒索軟件攻擊,F(xiàn)orbes Energy Services 和 Gyrodata 等許多其他油氣公司深受其害。
繼塔爾薩市遭遇的其他大規(guī)模攻擊以及企圖勒索蘋果公司的 REvil 勒索軟件攻擊之后,勒索軟件攻擊顯然引發(fā)了全球密切關(guān)注,但組織在防范此類攻擊事件方面仍缺乏實(shí)際行動,甚至毫無防范意識。
要點(diǎn)
2021 年上半年,全球遭受勒索軟件攻擊的組織比 2020 年增加一倍以上
自四月初以來,醫(yī)療和公用事業(yè)行業(yè)成為攻擊者的頭號攻擊目標(biāo)
與其他地區(qū)相比,攻擊者將矛頭更多指向亞太地區(qū)的組織。
全球數(shù)據(jù)
CPR 三月份報告稱,自 2021 年初以來,利用 Microsoft Exchange 漏洞發(fā)起的勒索軟件攻擊數(shù)量增加了 57%。近日,美國最大的燃油管道運(yùn)營商 Colonial Pipeline 遭遇勒索軟件攻擊,據(jù)估計(jì),2020 年勒索軟件給全球企業(yè)造成的損失約為 200 億美元,比 2019 年增加了近 75%。
第二季度截至目前,每周平均超過 1,000 個組織受到勒索軟件影響。受影響的組織數(shù)量顯著增加,2021 年第一季度為 21%,第二季度截至目前為 7%。與 2020 年初相比,今年受勒索軟件影響的組織增加高達(dá) 102%。
組織遭受的攻擊次數(shù)(按行業(yè)劃分)
當(dāng)前,醫(yī)療行業(yè)成為勒索軟件攻擊的重災(zāi)區(qū),每個組織平均每周遭受 109 次攻擊(比年初增長 3%),其次是公用事業(yè)(59 次,增長 4%)和保險/法律行業(yè)(34 次,增長 1%)。
地理數(shù)據(jù)
勒索軟件影響(按地區(qū)劃分)
如下圖所示,亞太地區(qū)的組織目前所遭受的勒索軟件攻擊次數(shù)最多。亞太地區(qū)的組織平均每家每周遭受 51 次攻擊。這一比例比今年年初增長了 14%。
北美地區(qū)僅隨其后,每個組織平均每周遭受 29 次攻擊(增長 25%),其次是歐洲和拉丁美洲地區(qū)(14 次,分別減少 6% 和 25%)和非洲地區(qū)(4 次,增長 34%)。
遭受攻擊的熱門行業(yè)(按地區(qū)劃分)
攻擊者涉足全球各個行業(yè)。在北美地區(qū),醫(yī)療組織遭受的攻擊最多,其次是軟件廠商;而在歐洲地區(qū),遭受攻擊最多的則是公用事業(yè)部門。在亞太地區(qū),保險/法律和制造業(yè)受到的影響最大,而在拉丁美洲地區(qū),通信業(yè)和制造業(yè)分別位居一二。在非洲地區(qū),金融和銀行部門受到的攻擊最多,其次是制造業(yè)。
三重勒索勒索軟件:第三方威脅
不可否認(rèn)的是,在過去的 2020 年,尤其是自新冠疫情爆發(fā)以來,雙重勒索蔚然成風(fēng)。雖然無法掌握有關(guān)所有雙重勒索事件及其結(jié)果(并非全部予以披露和公布)的信息,但僅根據(jù) 2020-2021 年期間收集的統(tǒng)計(jì)數(shù)據(jù),就可以感受到該攻擊向量的強(qiáng)大破壞力。在過去的一年里,平均支付的贖金增長了 171%,當(dāng)前約為 31 萬美元。2020 年,上千家公司在拒絕黑客贖金要求之后遭遇了數(shù)據(jù)泄漏,在所有新發(fā)現(xiàn)的勒索軟件家族中,約 40% 的勒索軟件在攻擊過程中采用了數(shù)據(jù)滲透手段。這些數(shù)字充分反映了將數(shù)據(jù)泄露和勒索軟件威脅相結(jié)合的攻擊技術(shù)的巨大破壞性,但更令人擔(dān)憂的是,攻擊者仍在想法設(shè)法提高贖金支付額和威脅效率。
2020 年底和 2021 年初發(fā)生的多起重大攻擊都源于一條新攻擊鏈,這條攻擊鏈本質(zhì)上是對雙重勒索軟件技術(shù)的擴(kuò)展,即在雙重勒索攻擊過程中集成了其他獨(dú)特威脅,我們稱之為“三重勒索”。第一個值得注意的是 Vastaamo 心理治療中心攻擊事件。該攻擊發(fā)生在 2020 年 10 月,當(dāng)時這種攻擊方法極具創(chuàng)新性。這家擁有 40,000 名患者的芬蘭心理治療中心遭受了長達(dá)一年的數(shù)據(jù)泄露,最終黑客成攻竊取海量患者數(shù)據(jù)并發(fā)起勒索軟件攻擊。黑客要求該治療中心支付巨額贖金,更令人驚訝的是,他們還向每個患者單獨(dú)發(fā)送了電子郵件,要求他們支付少量贖金,否則將公布其心理治療記錄。該攻擊戰(zhàn)術(shù)在短時間內(nèi)獨(dú)領(lǐng)風(fēng)騷。
而不久之后,REvil 勒索軟件組織在 2021 年 2 月宣稱,他們在雙重勒索方案的基礎(chǔ)上又增加了兩個階段,即向受害者的業(yè)務(wù)合作伙伴和媒體發(fā)起 DDoS 攻擊并撥打騷擾電話。分發(fā) Sodinokibi 勒索軟件的 REvil 勒索軟件組織采用“勒索軟件即服務(wù)”業(yè)務(wù)模式。該組織現(xiàn)在免費(fèi)代其成員組織向記者和同事發(fā)起 DDoS 攻擊和撥打語音騷擾網(wǎng)絡(luò)電話,旨在對受害公司施加更大壓力,迫使他們在指定時間段內(nèi)按要求支付贖金。
即便取得了巨大成功,威脅組織仍在不斷尋求更具創(chuàng)新性、更富成效的業(yè)務(wù)模式。我們只能推定是攻擊者的創(chuàng)造性思維以及對雙重勒索軟件攻擊復(fù)雜場景的明智分析推動了三重勒索技術(shù)的發(fā)展。盡管這些勒索軟件攻擊并未直接攻擊第三方受害者(例如公司客戶、外部同事和服務(wù)提供商)的網(wǎng)絡(luò)資源,但它們造成的數(shù)據(jù)泄露嚴(yán)重影響并損害了第三方受害者。無論黑客是否另外要求他們支付贖金,面對威脅他們都像是待宰的羔羊,一旦被瞄準(zhǔn),也將蒙受巨大損失。因此,他們自然是潛在的勒索目標(biāo),并且現(xiàn)在可能已經(jīng)成為勒索軟件組織的攻擊目標(biāo)。
防御勒索軟件
在周末和節(jié)假日提高警惕 — 在過去的一年里,大多數(shù)勒索軟件攻擊都發(fā)生在人們更可能放松警惕的周末和節(jié)假日。
安裝最新補(bǔ)丁 — 2017 年 5 月,攻擊者利用“永恒之藍(lán)”漏洞發(fā)起大規(guī)模 WannaCry 攻擊,其實(shí)當(dāng)時已存在針對該漏洞的補(bǔ)丁。該補(bǔ)丁在攻擊發(fā)生前一個月便已發(fā)布,由于該漏洞很可能被利用,該補(bǔ)丁還被標(biāo)記為“關(guān)鍵”補(bǔ)丁。然而,許多組織和個人沒有及時安裝補(bǔ)丁,這導(dǎo)致了勒索軟件的急速爆發(fā),三天之內(nèi)便感染了 200,000 臺計(jì)算機(jī)。保持計(jì)算機(jī)處于最新狀態(tài)并及時安裝安全補(bǔ)丁,尤其是關(guān)鍵補(bǔ)丁,可幫助組織降低遭受勒索軟件攻擊的可能性。
反勒索軟件 — 盡管先前的勒索軟件防御措施可幫助組織規(guī)避遭受勒索軟件威脅的風(fēng)險,但它們無法提供完善的保護(hù)。一些勒索軟件運(yùn)營商使用經(jīng)過精心設(shè)計(jì)的具有高度針對性的魚叉式網(wǎng)絡(luò)釣魚電子郵件作為其攻擊向量。這些電子郵件甚至能夠騙過最謹(jǐn)慎的員工,幫助勒索軟件獲得對組織內(nèi)部系統(tǒng)的訪問權(quán)限。防范這種“漏網(wǎng)之魚”需要使用專門的安全解決方案。為了實(shí)現(xiàn)入侵目標(biāo),勒索軟件必須執(zhí)行某些異常操作,例如打開和加密大量文件。反勒索軟件解決方案可監(jiān)控計(jì)算機(jī)上運(yùn)行的程序是否存在勒索軟件通常表現(xiàn)出的可疑行為,如果檢測到這些可疑行為,該程序會及時采取措施阻止加密,以防發(fā)生進(jìn)一步損害。
培訓(xùn) — 培訓(xùn)用戶如何識別和避免潛在的勒索軟件攻擊至關(guān)重要。當(dāng)前的許多網(wǎng)絡(luò)攻擊都始于一封針對性電子郵件,該電子郵件甚至不包含惡意軟件,只包含一則鼓勵用戶點(diǎn)擊惡意鏈接的社交工程消息。用戶培訓(xùn)通常被視為組織可部署的最重要的防御措施之一。
勒索軟件攻擊并非始于勒索軟件 — Ryuk 及其他勒索軟件會購買針對目標(biāo)組織的感染程序。安全專家應(yīng)注意網(wǎng)絡(luò)中的 Trickbot、Emotet、Dridex 和 CobaltStrik 感染程序,并使用威脅追蹤解決方案將其刪除,否則它們會為 Ryuk 攻擊打開大門。
本報告中使用的數(shù)據(jù)為使用 Check Point 威脅防護(hù)技術(shù)檢測到的數(shù)據(jù),這些數(shù)據(jù)存儲在 ThreatCloud 中,并在其中予以分析。ThreatCloud 提供的實(shí)時威脅情報來自于部署在全球網(wǎng)絡(luò)、端點(diǎn)和移動設(shè)備上的數(shù)億個傳感器。AI 引擎和 Check Point 情報與研究部門 Check Point Research 的獨(dú)家研究數(shù)據(jù)進(jìn)一步豐富了情報內(nèi)容。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市