2019年针对企业的勒索病毒攻击越来越多,仿佛全球都在被勒索,基本上每天都会有关于勒索病毒攻击的案例被曝光,勒索病毒攻击已经成为全球最大的网络安全威胁,同时也被国际刑警组织认定为全球危害最大的网络犯罪组织活动,勒索病毒网络犯罪团伙的攻击行为变的越来越有针对性和目的性,笔者通过分析几起勒索病毒攻击活动案例,思考勒索病毒攻击出现的一些普遍现象,以及勒索病毒未来可能的发展趋势
2019年11月9日拥有44万客户的ASP.NET网络托管提供商遭到勒索软件的攻击,这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击,加密了客户服务器上的数据,该公司被勒索病毒攻击之后,客户电话被打爆而不得不中断客户电话热线,该公司网站在11月9日被迫关闭一整天,随后在2019年11月10日才重新上线,并向客户承认遭到了黑客使用勒索病毒攻击,正在积极与安全专家合作,尝试解密客户的数据,并确保不会再发生这种情况……
我们来回顾一下该公司被勒索之后的整个过程,该公司是在11月9日被黑客使用勒索病毒攻击,网站被fcb迫关闭,11月10号,国外Twitter上有人公布了被勒索的相关截图信息,如下所示:
从曝光的截图信息可以看出网站的数据文件等被加密,加密后的文件,如下所示:
勒索提示信息文件,如下所示:
通过受害者公布的勒索病毒的相关信息,在BleepingComputer网站上进行查询,可以判断该公司可能是中了Snatch勒索病毒的最新的变种样本,如下所示:
2019年11月11日,ASP.NET在其Facebook上更新了一天关于公司应急响应的一些进展情况,宣称勒索病毒加密的客户帐户和网站数据正在逐渐被解密和恢复,如下所示:
并且在2019年11月12日上午,ASP.NET发布了公告,称已所有解密已完成,大多数帐户恢复正常,如下所示:
然而从下面的评论可以看出部分客户似乎恢复了,但一些客户却仍然在抱怨网站依然处于离线状态,如下所示:
直到2019年11月14日,官方再次发表公告宣称99%的网站,数据库,电子邮件已经恢复,如下所示:
从2019年11月9日被勒索病毒攻击,文件数据被加密,11月9日一整天网站关闭,客户电话也被迫关闭,11月10日才重新上线,然后一直到14日上午发布公告,声称完成了解密工作,99%的网站、数据库,电子邮件完成恢复工作,整个应急响应工作持续了长达一周之久,期间不断有客户在twitter或facebook在吐槽,可以说这次勒索病毒攻击对SmarterASP.NET造成了巨大的影响和损失
SmarterASP.NET网络托管提供商,以其相对便宜的价格使组织或个人每月可以托管无限数量的网站,该公司一共拥有44万多个客户,托管的网站更是不计其数,然而这也成为了勒索病毒网络犯罪团伙攻击的诱人目标,事实上这是今年第三家大型网络托管提供商遭受到勒索病毒的攻击,其它两家网络托管提供商,如下:
2019年4月23日,著名的Windows Server网络托管服务提供商A2被勒索病毒攻击,其在亚洲和北美的服务器均被Globelmposter2.0勒索病毒加密,在长达的一周的时间内,客户的网络服务器主机都被停机,虽然A2公司的工作人员一直在努力解决,但因为解决时间过长,怀疑可能是与黑客解密的赎金没有谈拢,最后导致无休止的投诉,客户非常不满,并在社交网站上吐槽表示该公司没有强大的安全性和保障性
2019年7月16日,虚拟桌面环境的云计算提供商iNSYNQ被勒索病毒攻击,受影响的不仅是iNSYNQ的直接客户,还包括使用其基础架构托管的一些公司,其后iNSYNQ首席执行官披露了该公司被MegaCortex勒索病毒攻击,在受到勒索病毒攻击之后,iNSYNQ被迫关闭其基础架构,以防止勒索病毒传播到更多的系统,该勒索病毒也导致该公司花费了将近一周的时间恢复其业务,事实上恢复操作并未完全成功,仍然有一些客户无法访问某些个人文件和帐户备份等
勒索病毒攻击团队一直在寻找着新的攻击目标,2019年11月10日,墨西哥国有石油公司Pemex被DoppelPaymer勒索病毒攻击,攻击者声称解密其文件需要支付565个BTC,相当于499万美元,如下所示:
尽管Pemex在twitter上发表了申明,宣称他们的系统正常在运行,公司的运营和生产系统并未受到损害,并受到了保护,改善了其安全性,黑客攻击没有成功,攻击已被及时消除,影响不到5%的个人计算机设备功能,但至少证明此公司成为了黑客攻击的目标之一,如下所示:
从上面这几起勒索病毒攻击的案例,我们可以总结出关于勒索病毒攻击的两个现象:
1.勒索病毒攻击团伙不再像以前那样漫无目标发起勒索攻击,更多的将目标锁定在全球各国的政府、企业、相关组织机构等,而且这些攻击都具有很强的针对性与目标性,勒索病毒攻击团伙会越来越专业,他们前期会通过各种信息收集渠道,不断收集全球范围内的各种政府、企业、组织机构的相关信息,同时查找出一些安全防范措施相对比较薄弱的政府、企业、组织机构进行定向攻击,通过钓鱼邮件或漏洞传播勒索病毒加密企业数据,然后让这些受害者支付大额的赎金,各国政府、企业、组织机构一定要做好安全保障措施,提高自身的安全保障,可能这些勒索病毒网络犯罪团伙正在收集你的企业相关信息,并试图发起勒索病毒网络攻击活动,未来会有更多专业的网络犯罪团伙使用勒索病毒对企业进行定向攻击
数据安全是未来安全保障的重点,黑客攻击各国政府、企业、组织机构,主要针对数据进行攻击,对数据进行攻击,表现形式主要为以下两点:
1)盗取
全球各地的各种黑客组织,通过复杂的网络攻击活动,盗取各国的政府、企业、组织机构等重要的数据,一些APT组织会通过网络攻击有目的盗取被攻击目标的重要数据
2)破坏
一些有组织有目标的黑客团伙会通过网络攻击活动,破坏一些国家的基础设施,对这些基础设施上的数据进行破坏,导致一些国家重要的一些基础设施无法工作运行,达到攻击的目标,这些攻击可能存在军事或政治目的,也有一些专门从事勒索病毒网络犯罪团伙,为了快速获取巨额的利益,针对一些国家的重要的基础设施,企事业单位进行勒索攻击
2.从上面的几个案例可以看出,这些企业被勒索病毒攻击之后,其恢复难度之大,三家公司基本上都花费了一周以上的时间对客户的业务进行恢复,然而仍有一些客户的业务受到影响,无法正常运行,勒索病毒的恢复是一项复杂的事情,特别是有些勒索病毒不仅仅加密企业的重要数据库文件,连操作系统也一起加密了,这样如果没有完美的解密工具,仅仅依靠备份的数据库恢复数据,同样会导致客户的业务出现问题,需要进行系统的还原与恢复,同时还需要进行数据库恢复等等
在被勒索期间一些客户不断在各种社交网站上吐槽,国外一些大型的企业在被勒索之后,为了不造成负面的影响,可能会默默选择给黑客交付赎金,以寻求业务的快速恢复,避免造成不良的影响,一些大型的企业不想让客户或媒体知道自己的企业被勒索病毒攻击,因为如果一家企业被勒索病毒攻击成功,会让客户觉得这家企业的安全保障性比较差,客户的数据无法在这家企业得到有效的保障而对企业失去信心,然而如果企业的客户的业务受到影响,又迟迟得不到企业的快速解决,就会在各种网站曝光,大部分企业被勒索病毒攻击被曝光,都是客户在网上吐槽曝光的,从上面国外几个勒索病毒攻击的案例中可以看出,被勒索病毒攻击之后,企业不会第一时间对外宣布,很多都是企业的客户业务受到了影响,在短时间内又无法解决,然后客户就会在一些社交网站上吐槽,一般企业在受到勒索病毒攻击之后,是不愿意马上公开的,都会直接向一些安全公司寻求帮助,希望能解密数据,快速恢复业务,最大限度的减少企业的损失,因为数据是企业的核心资产,如果数据被破坏或盗取,不仅仅给企业,同时也给企业的客户会造成巨大的损失
关于勒索病毒未来可能的发展趋势
最近一年针对企业的勒索病毒攻击越来越多,同时勒索病毒的攻击手法也在不断更新,基于无文件的勒索病毒攻击也在不断增多,可以预测在未来Windows平台上基于无文件的勒索病毒攻击应该会增多,这种攻击可以逃避到大量的终端安全软件的检测,未来会有更多新的攻击手法来传播勒索病毒,现在基于Windows服务器的勒索病毒变种非常多,未来这些网络犯罪团伙会不会向Linux等服务器平台进行转向,针对Linux平台进行勒索病毒攻击,同时随着5G物联网的到来,勒索病毒犯罪团伙未来可能还会将目标扩大到各种物联网设备
勒索病毒是来钱最快,也是最直接最暴力的网络攻击方式,随着勒索病毒攻击成本越来越低,未来可能会有更多新的网络犯罪团伙加入到勒索病毒攻击组织活动当中,以寻求快速获利,前段时间一个号称TA2101的攻击组织活动,疯狂利用垃圾邮件传播安装后门软件,其中还发现该组织还会分发Maze勒索病毒,加密勒索受害者,可以预测一批新的网络犯罪团伙似乎也已经将攻击目标转向全球各国的政府、企业、组织机构等,对这些部门进行勒索病毒攻击,从而勒索巨额的赎金
同时随着GandCrab勒索病毒商业模式的获取了巨大的利润之后,基于RaaS模式的新型勒索病毒层出不穷,未来这种基于RaaS模式的新型勒索病毒会越来越多,导致勒索病毒攻击的门槛越来越低,任何黑产团队都可以直接通过地下黑客论坛购买订制勒索病毒,然后通过各种渠道进行传播获利
数据安全是未来安全的重点方向,如何做好企业数据安全,是每个企业需要思考的问题,在当今网络安全威胁形式越来越重严的环境下,各国政府、企业、组织机构一定要高度重视网络安全,全球各地的网络犯罪组织每天都在不断的寻找和攻击新的攻击目标,有些组织存在政府目的,有些组织就是纯利益目的,不管是什么目的,这些组织都在不断尝试各种新的网络攻击手法,全球网络安全环境比以往任何时间都要变化的快,各安全企业也要时刻关注全球网络安全环境,不断创新,开发改进自己的产品,以防御真正的网络安全威胁,未来市场变化会更快,网络犯罪团伙在不断的研究新的攻击手法和新的技术,攻击的平台和目标也在不断的变化,同时各网络安全研究从业人员,需要不断学习,提高自身安全技能,以对应未来更多样化更复杂的网络安全攻击活动
以上言论均为笔者闲时记录自己从事安全行业的一些想法与思考,纯个人想法,仅供参考,同时欢迎交流讨论
扯点题外话
前不久国家互联网信息办公室关于《网络安全威胁信息发布管理方法》公开征求意见的通知,做安全越来越正规了,做安全不要去绑架客户,不要去忽悠客户,以为客户啥也不懂,把客户当傻子,更不要去夸大一些安全事件去“恐吓威胁”客户,如果那样,那做安全的和那些做勒索病毒团队勒索客户的啥区别?
全球的威胁事件需要持续跟踪,最新的安全攻击技术需要研究,存在的安全问题或隐患需要解决,现在大家都在谈数据安全,但是一些报告里动不动就几万,几十万,甚至上百万,上千万的感染量,全国性暴发感染之类的,首先这些数据是否准确,同时这些感染量是否都造成了巨大的危害,这些都需要有明确的证据,有些不负责任的报告确实可能会给社会造成不必要的恐慌,安全问题需要预警,也需要披露,但一定要依据相关的事实以一种负责任的态度来披露,通过“夸大“的手法,为了“吸引眼球”或通过一种“威胁恐吓”的方式,来诱导客户安装或使用自己的产品,这样做安全肯定是不长久的,客户不是傻子,也不要把客户当傻子,做安全就得踏踏实实的做好安全研究,想客户之所想,急客户之所急,在安全问题还没有发生之前为客户做好相应的安全防范措施,为客户提供最及时有效的威胁情报信息,如果有客户遇到安全问题的时候会主动过来寻找解决方案,打造良性的安全环境更有利于国内安全行业的发展,可以更好的让那些真正坚持帮客户解决问题,坚持默默做安全的厂商或个人的价值更好的体现出来,而不是依靠一时的炒作,依靠”忽悠“客户,或者“威胁恐吓”客户,想做好安全需要持续不断地坚持,需要真正为客户着想,给客户最需要的东西,做安全是一个持续的过程
国内安全环境以及国内安全从业人员现在鱼目混杂,确实需要国家来净化一下,让那些真正做安全的厂商和人能获取更多的认可,安全技术需要研究,而且这是一个持续不断,需要坚持的过程,真正坚持做安全,实实在在帮客户解决问题的厂商一定会得到客户的认可
为遵守国家的政策,以后此公众号所有报告里均不会使用“预警”字样,同时也会严格遵守国家的相关规定,此公众号公布的一些最新的样本报告和威胁情报信息,仅作为参考,只是笔者业余跟踪与研究的一些全球出现的最新恶意样本,也不用引起读者的“过度”恐慌,如果遇到任何问题,可以直接联系笔者交流或解答,此公众号是笔者业余没事当做安全笔记记录,所发表的一些言论均是笔者自己的一些想法与对安全的一些思考,与任何公司和个人均无关,公众号的这些报告都牺牲了笔者很多的业余休息时间,为啥笔者一直坚持记录与思考一些安全问题,研究最新的安全动态,可能一些人把安全仅仅当成一份工作,笔者一直把安全当成自己的一份事业,全身心的投入,所以会愿意花更多的时间和精力去研究与思考,这是做安全的一种态度和坚持!
最后欢迎大家关注此微信公众号,专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息,笔者有空休息的时候会不定期分享
往期精彩回顾
如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长
安全的路很长,贵在坚持……
