近日，加拿大政府披露了一起重大黑客攻擊事件。據(jù)官方消息，兩家政府承包商BGRS和SIRVA Canada淪為黑客攻擊目標(biāo)，導(dǎo)致數(shù)量不明的政府雇員敏感信息泄露。此次泄露的信息不僅涉及普通政府雇員，還牽扯到加拿大皇家騎警（RCMP）和加拿大武裝人員。令人震驚的是，泄露的數(shù)據(jù)可追溯至1999年，涵蓋多個(gè)部門。這一事件再次將勒索病毒這個(gè)數(shù)字化時(shí)代的“黑幫敲詐”推向公眾視野。

無獨(dú)有偶，全球知名的航空航天制造商波音公司隨后也遭受了lockBit3勒索軟件團(tuán)伙的攻擊，大量系統(tǒng)備份數(shù)據(jù)被竊取并在團(tuán)伙官網(wǎng)上公布，其中最新的數(shù)據(jù)時(shí)間為10月22日。這些事件再次凸顯了勒索病毒對(duì)企業(yè)和個(gè)人網(wǎng)絡(luò)與數(shù)據(jù)安全造成的巨大威脅。

根據(jù)盛邦安全對(duì)重點(diǎn)單位的勒索病毒監(jiān)測(cè)數(shù)據(jù)，截止到目前的近一年來，已記錄發(fā)現(xiàn)4364起勒索事件。在眾多勒索組織中，lockbit3勒索組織位列第一，而alphv、clop和play等勒索組織也緊隨其后。這些數(shù)據(jù)清晰地揭示了勒索病毒作為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的主要威脅之一，其事件及相關(guān)組織保持高度活躍，對(duì)全球網(wǎng)絡(luò)安全態(tài)勢(shì)構(gòu)成了嚴(yán)重威脅。

圖1 近1年內(nèi)重點(diǎn)勒索事件

圖2  2023年勒索組織次數(shù)排序

在數(shù)字化時(shí)代，每個(gè)人都與電子設(shè)備緊密相連，而“勒索病毒”正是這個(gè)時(shí)代的一大毒瘤。不同于日常的計(jì)算機(jī)病毒，勒索病毒的目的明確、手段惡劣：鎖定或加密你的數(shù)據(jù)，然后索要一筆贖金。

想象一下，你打開電腦，突然發(fā)現(xiàn)所有重要文件都被加密，無法訪問。桌面上出現(xiàn)了一個(gè)刺眼的提示，要求你支付一筆贖金，否則這些數(shù)據(jù)將永遠(yuǎn)無法使用。這種感受如同被數(shù)字世界的黑幫敲詐，讓人無助又憤怒。

那么，這種病毒是如何侵入我們的設(shè)備的呢？

勒索病毒的傳播方式五花八門，但往往都與人的日常行為有關(guān)。例如，你可能收到一封看似普通的郵件，其中包含一個(gè)誘人的鏈接或附件。一旦點(diǎn)擊，勒索病毒便會(huì)悄悄潛入你的設(shè)備。除此之外，惡意廣告、釣魚網(wǎng)站等也是病毒的傳播渠道。

勒索病毒的常用入侵手段

>通過釣魚郵件或惡意網(wǎng)站，誘導(dǎo)用戶點(diǎn)擊含有惡意附件或鏈接的信息，從而下載并運(yùn)行病毒程序；

>通過利用系統(tǒng)或軟件的漏洞，遠(yuǎn)程執(zhí)行代碼或上傳惡意文件，從而感染目標(biāo)主機(jī)；

>通過利用網(wǎng)絡(luò)共享或遠(yuǎn)程桌面等服務(wù)，手動(dòng)或自動(dòng)地將病毒程序復(fù)制到其他計(jì)算機(jī)上，從而實(shí)現(xiàn)橫向移動(dòng)；

>通過利用社工技巧，冒充合法人員或機(jī)構(gòu)，誘騙用戶提供敏感信息或授權(quán)訪問權(quán)限，從而獲取目標(biāo)計(jì)算機(jī)的控制權(quán)。

回顧歷史，勒索病毒并非新生事物。它的歷史可以追溯到1989年，經(jīng)過多個(gè)階段的發(fā)展，現(xiàn)在的勒索病毒更加智能和狡猾。2018年后，其攻擊策略發(fā)生了明顯變化，勒索病毒不再是大面積撒網(wǎng)的攻擊，而是轉(zhuǎn)向了更有價(jià)值的目標(biāo)，如醫(yī)療機(jī)構(gòu)、企事業(yè)單位甚至政府機(jī)關(guān)。這意味著，傳統(tǒng)的安全防護(hù)手段已經(jīng)不足以應(yīng)對(duì)當(dāng)下這些高精度的網(wǎng)絡(luò)攻擊行為。

覆蓋資產(chǎn)全生命周期的防勒索病毒解決方案

事前——安全自查

資產(chǎn)暴露面核查

基于攻防對(duì)抗思路，此方案不僅覆蓋了傳統(tǒng)的IT資產(chǎn)維度，如域名、IP、服務(wù)、組件等，還擴(kuò)展到了移動(dòng)端資產(chǎn)類型，如小程序、公眾號(hào)、APP應(yīng)用等。它融合了人員姓名、手機(jī)號(hào)碼、電子郵箱、身份證等互聯(lián)網(wǎng)敏感信息，以及泄露文件、網(wǎng)絡(luò)架構(gòu)、泄露源碼、歷史入侵事件等數(shù)據(jù)要素，能夠迅速發(fā)現(xiàn)諸如掛馬、暗鏈、敏感信息泄露等網(wǎng)絡(luò)威脅。此外，該方案還能精準(zhǔn)識(shí)別企業(yè)在外網(wǎng)的資產(chǎn)暴露情況，包括那些未被有效管理的各類資產(chǎn)及敏感信息。一旦檢測(cè)到這些風(fēng)險(xiǎn)和漏洞，我們能夠進(jìn)行統(tǒng)一處置，進(jìn)而縮小風(fēng)險(xiǎn)暴露面。

風(fēng)險(xiǎn)隱患排查

為了全面了解信息系統(tǒng)的安全現(xiàn)狀，該方案采用滲透測(cè)試、漏洞掃描、紅隊(duì)測(cè)試、基線檢查等多種安全評(píng)估手段，能夠深入分析當(dāng)前的安全防護(hù)不足之處，為后續(xù)的業(yè)務(wù)系統(tǒng)安全防護(hù)提供明確的方向。同時(shí)，通過積極挖掘并分析已存在或潛在的威脅，對(duì)整個(gè)信息系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行有效評(píng)估，并為后續(xù)的改造和規(guī)劃提供客觀、合理的建議。

安全防護(hù)狀態(tài)分析

在實(shí)際操作中，我們發(fā)現(xiàn)安全監(jiān)控系統(tǒng)的失效往往導(dǎo)致安全防線被輕易突破，這在紅藍(lán)對(duì)抗中常常是防守方失利的主要原因。為改變這一局面，我們需借助攻擊模擬手段，以持續(xù)評(píng)估企業(yè)整體的網(wǎng)絡(luò)安全防御態(tài)勢(shì)。通過這種方式，我們能及時(shí)發(fā)現(xiàn)安全策略中的問題或防護(hù)漏洞，進(jìn)而提升安全可見性和能見度，有助于更好地了解當(dāng)前的安全狀況，更能為其提供有力的依據(jù)，以持續(xù)改善企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)。

事中——失陷分析

失陷檢測(cè)

對(duì)安全設(shè)備及操作系統(tǒng)日志進(jìn)行深度分析，挖掘潛在異常情況；進(jìn)行全局受影響面排查，溯源攻擊路徑，全面把握安全威脅態(tài)勢(shì)。

應(yīng)急響應(yīng)

當(dāng)企業(yè)遭遇勒索事件時(shí)，盛邦安全將迅速派遣安全專家前往現(xiàn)場(chǎng)協(xié)助用戶盡快恢復(fù)網(wǎng)絡(luò)信息系統(tǒng)正常運(yùn)作，并追查入侵來源。在事件解決后，安全專家團(tuán)隊(duì)將提供詳細(xì)的入侵事故報(bào)告，以及相應(yīng)的解決方案和防范建議，幫助企業(yè)減少經(jīng)濟(jì)損失并防止類似事件再次發(fā)生。此外，盛邦安全專家服務(wù)團(tuán)隊(duì)還將提供入侵調(diào)查服務(wù)，針對(duì)主機(jī)、網(wǎng)絡(luò)和業(yè)務(wù)的異常情況進(jìn)行快速響應(yīng)和處理，并為企業(yè)提供專業(yè)的應(yīng)急和防護(hù)建議。

事后——數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)

數(shù)據(jù)售賣監(jiān)測(cè)

通過面向暗網(wǎng)的在線情報(bào)監(jiān)測(cè)系統(tǒng)，該方案以特定情報(bào)線索挖掘?yàn)閷?dǎo)向，通過構(gòu)建分布式暗網(wǎng)節(jié)點(diǎn)監(jiān)控、服務(wù)發(fā)現(xiàn)、內(nèi)容采集的數(shù)據(jù)處理平臺(tái)，提供暗網(wǎng)內(nèi)容、情報(bào)檢索、線索發(fā)現(xiàn)及自動(dòng)取證等功能，以及高效的情報(bào)發(fā)現(xiàn)、關(guān)聯(lián)分析和挖掘服務(wù)，實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)售賣情況。

勒索事件監(jiān)測(cè)

該方案能夠?qū)δ壳吧胬账餍畔l(fā)布的各種渠道進(jìn)行監(jiān)測(cè)，一旦監(jiān)測(cè)到存在數(shù)據(jù)外泄的可能，將及時(shí)進(jìn)行預(yù)警和開啟處置流程。

面對(duì)勒索病毒這個(gè)數(shù)字化時(shí)代的“黑幫敲詐”，我們不必過于驚慌失措。只要我們提高網(wǎng)絡(luò)安全意識(shí)，采取科學(xué)有效的防護(hù)措施，就能構(gòu)筑起堅(jiān)不可摧的安全屏障。盛邦安全作為您身邊的網(wǎng)絡(luò)安全守護(hù)者，將始終與您并肩戰(zhàn)斗，共同抵御網(wǎng)絡(luò)威脅，此次所提供的勒索病毒解決方案，覆蓋網(wǎng)絡(luò)資產(chǎn)全生命周期，從事前、事中到事后，全方位、多角度地保護(hù)您的網(wǎng)絡(luò)安全。讓我們一起攜手，打造更安全、有序的網(wǎng)絡(luò)空間。