勒索软件攻击物联网,勒索软件攻击的应对措施
作者:hacker | 分类:破解 | 浏览:141 | 日期:2022年10月28日目录:
2021勒索病毒大盘点
2021年,新冠肺炎仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据,甚至威胁破坏或泄漏数据,以此胁迫受害者缴纳高昂赎金,获得“暴利”。勒索病毒为何有这么大的能量,让所有行业“谈虎色变”?面对勒索病毒,难道只能“躺平”?接下来,我们就来盘一盘。
从1989年出现世界上之一个已知的勒索病毒“AIDS Trojan”,到2006年中国大陆出现首个勒索软件“Redplus”,全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻,国际知名企业被勒索病毒攻击的事件层出不穷,并且赎金持续刷新记录。勒索病毒俨然成为了全球 *** 安全面临的头号威胁,那么,勒索病毒主要有哪几类?
以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型,以WannaCry为代表。今年WannaCry再度复苏,最常被攻击的主要是 *** 、军方单位,其次为制造业、银行、金融与医疗系统。
通常采用多种加密算法加密用户数据,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。2021年3月,知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击,攻击者索要5000万美元赎金(约3.3亿人民币),否则就公开被窃取和加密的数据。2021年5月,FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构,影响了超过400个全球组织。
通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。
全屏锁定用户设备的屏幕,并显示包含勒索信息的图像、文字,或伪装成系统出现蓝屏错误,直接导致用户无法登陆和使用设备(系统组件同时会被禁用),进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。
免费领取学习资料
2021年 *** *** 安全资料包及最新面试题
(渗透工具,环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)
通过对近年来勒索事件的分析,可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”,还对特定的行业、地域具有明显的针对性。
勒索病毒攻击的目标从个人用户转向支付赎金能力更高,对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复,受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高,也成为勒索病毒攻击的“高价值”目标。另外,重要 *** 部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。
经济利益驱动运作模式升级,初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS (Ransomware-as-a-service)平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk,以及今年7月首次出现的BlackMatter,都具有较高的威胁能力。
2021年7月,黑客发起了一场全球勒索软件攻击,共袭击了超过1000多家公司,并迫使瑞典更大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模更大的供应链黑客攻击事件中,黑客将目标锁定在了IT管理软件供应商Kaseya上,并且再次揭示出勒索软件即服务(RaaS)大流行的趋势正在蔓延。
2021年7月,LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部 *** ,已经攻击了至少10个组织或企业,其攻击目标主要为美国和亚洲。
由于勒索病毒加密信息难以恢复、攻击来源难以溯源,一旦遭遇勒索攻击,不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失,还包括可能因为停产或服务中断带来的社会损失。比如赎金损失,据Censuswide的调研报告显示,在遭遇勒索攻击后,会有相当一部分企业会选择支付赎金。但是,
2021年3月,美国更大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击,约15000台设备被加密,不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后,开始与攻击者谈判,黑客最初索要 6,000 万美元,谈判后向黑客支付了 4,000 万美元,创下了历史上更高的已支付赎金金额的记录。
2021年5月,美国更大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击,美国东部沿海的燃油 *** 陷入瘫痪。同月,美国东部17个州和首都所在的华盛顿特区进入紧急状态。
图源 ***
2021年,LockBit升级为2.0版本,加密数据的速度能达到373MB/s,在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据,是普通勒索病毒加密速度的3倍以上。8月,全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击,LockBit勒索团队声称窃取了超过6TB的数据,并勒索5000万美元(约3.2亿人民币)赎金。
物联网的安全性?
1、过时的硬件和软件
由于物联网设备的用户越来越多,这些设备的制造商正专注于增产而没有对安全性给予足够的重视。
这些设备中的大多数都没有获得足够的更新,而其中一些设备从未获得过一次更新。这意味着这些产品在购买时是安全的,但在黑客发现一些错误或安全问题时,就会容易受到攻击。
如果不能定期发布硬件和软件的更新,设备仍然容易受到攻击。对于连接到Internet的任何产品,定期更新都是必备的,没有更新可能会导致客户和公司的数据泄露。
2、使用默认凭证的潜在威胁
许多物联网公司在销售设备的同时,向消费者提供默认凭证,比如管理员用户名。黑客只需要用户名和密码就可以攻击设备,当他们知道用户名时,他们会进行暴力攻击来入侵设备。
Mirai僵尸 *** 攻击就是一个例子,被攻击的设备使用的都是默认凭证。消费者应该在获得设备后立即更改默认凭证,但大多数制造商都没有在使用指南中进行说明。如果不对使用指南进行更新,所有设备都有可能受到攻击。
3、恶意与勒索
物联网产品的快速发展使 *** 攻击变得防不胜防。如今, *** 犯罪已经发展到了一个新高度--禁止消费者使用自己的设备。
例如,当系统被黑客入侵时,联网的摄像头可以从家中或办公室获取私密信息。攻击者将加密 *** 摄像头系统,不允许消费者访问任何信息。由于系统包含个人数据,他们会要求消费者支付大笔金额来恢复他们的数据。
4、预测和预防攻击
*** 犯罪分子正在积极寻找新的安全威胁技术。在这种情况下,不仅要找到漏洞并进行修复,还需要学习预测和预防新的威胁攻击。
安全性的挑战是对连接设备安全性的长期挑战。现代云服务利用威胁情报来预测安全问题,其他的此类技术包括:基于AI的监控和分析工具。但是,在物联网中调整这些技术是很复杂的,因为连接的设备需要即时处理数据。
5、很难发现设备是否被入侵
虽然无法保证100%地免受安全威胁和破坏,但物联网设备的问题在于大多数用户无法知道他们的设备是否被黑客入侵。
当存在大规模的物联网设备时,即使对于服务提供商来说也很难监视所有设备。这是因为物联网设备需要用于通信的应用,服务和协议,随着设备数量显着增加,要管理的事物数量也在增加。
因此,许多设备继续运行而用户不知道他们已被黑客攻击。
6、数据保护和安全挑战
在这个相互关联的世界中,数据保护变得非常困难,因为它在几秒钟内就可以在多个设备之间传输。这一刻,它存储在移动设备中,下一分钟存储在 *** 上,然后存储在云端。
所有这些数据都是通过互联网传输的,这可能导致数据泄露。并非所有传输或接收数据的设备都是安全的,一旦数据泄露,黑客就可以将其出售给其他侵犯数据隐私和安全权利的公司。
此外,即使数据没有从消费者方面泄露,服务提供商也可能不遵守法规和法律,这也可能导致安全事故。
7、使用自治系统进行数据管理
从数据收集和 *** 的角度来看,连接的设备生成的数据量太大,无法处理。
毫无疑问,它需要使用AI工具和智能化。物联网管理员和 *** 专家必须设置新规则,以便轻松检测流量模式。
但是,使用这些工具会有一点风险,因为配置时即使出现一点点的错误也可能导致中断。这对于医疗保健,金融服务,电力和运输行业的大型企业至关重要。
8、家庭安全
如今,越来越多的家庭和办公室通过物联网连接变得更加智能,大型建筑商和开发商正在通过物联网设备为公寓和整栋建筑供电。虽然家庭智能化是一件好事,但并不是每个人都知道面对物联网安全应该采取的更佳措施。
即使IP地址暴露,也可能导致住宅地址和消费者的其他联系方式暴露。攻击者或相关方可以将此信息用于不良目的,这使智能家居面临潜在风险。
9、自动驾驶车辆的安全性
就像家庭一样,自动驾驶车辆或利用物联网服务的车辆也处于危险之中。智能车辆可能被来自偏远地区的熟练黑客劫持,一旦他们进入,他们就可以控制汽车,这对乘客来说非常危险。
目前物联网面临的安全问题有哪些?中景元物联()温馨提醒:毫无疑问,物联网的出现是一种福音。然而,由于物联网将一切事物连接在一起,很容易受到某种安全威胁。大公司和 *** 安全研究人员正在尽更大努力为消费者打造完美的产品,但还需要做更多的工作。
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过 *** 钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过 *** 植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在 *** 中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的 *** 无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给 *** 安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得 *** 上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描 *** 中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个 *** 遭受攻击。钓鱼邮件攻击逻辑图:
文章转载至:2018勒索病毒全面分析报告