合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
随着“五一”假期的到来,多数企业即将迎来一个短暂的运营休整期,同时企业员工包括IT人员也将有机会暂时远离工作,享受一个放松的假期。
然而,这一期间也往往成为网络攻击者寻求的“机会窗口”。在员工放假、IT支持相对薄弱的背景下,同样为网络威胁如勒索病毒攻击等提供了可乘之机。一些不法分子或专业黑客可能会针对企业使用的边界网络设备(如飞塔Fortinet防火墙认证绕过漏洞CVE-2022-40684,Cisco ASA认证漏洞CVE-2023-20269等),企业管理软件(如金蝶云星空ERP反序列化漏洞CNVD-2024-13011,用友NC命令执行漏洞CNVD-2024-18070,泛微e-cologySQL注入漏洞CNVD-2023-65262等)出现的最新安全漏洞或历史安全漏洞进行攻击,从而通过对企业重要服务器和数据库文件执行加密,以此来实施勒索诉求。
基于近几年多次处置勒索病毒事件的基础上,我们总结出了一些勒索病毒的典型特征与预防策略,这些对勒索病毒的认知经验和预防策略可以帮助企业在节假日期间提升网络安全防护,维护业务稳定运行和数据安全,真正做到信息安全防患于未然。
勒索病毒多数选择在周末和节假日期间实施攻击,这主要是因为在这些时间点,企业的安全监控可能相对松懈,IT支持人员可能不在岗,从而减少了入侵行为被及时发现的风险。此外,节假日期间员工通常更放松,更容易受到钓鱼邮件等社会工程攻击的欺骗,增加了勒索病毒攻击的成功机率。
勒索病毒通常利用边界网络设备的自身漏洞、商业或开源应用软件漏洞、操作系统漏洞、存在弱口令的远程访问服务等多种方式,对目标系统发动攻击。常见的攻击手段包括:
我们处理过多起在节假日上班后才上报的勒索病毒事件,这类企业一般都是:
感染勒索病毒的企业通常会面临业务中断,可能持续数天甚至长达数周。尽管大多数企业可以通过备份数据恢复,但依然会造成一定程度的损失,包括但不限于:
勒索病毒通常使用对称加密算法来对服务器上的大量文件实现快速加密,同时使用非对称加密算法来加密对称密钥,从而确保只有攻击者自身拥有文件解密密钥。因此正常情况下,被加密的文件均无法恢复正常,只能通过备份文件进行恢复。
同时我们也建议不与勒索攻击者沟通及支付赎金,这是因为支付赎金并不能保证数据会被解密,而且还会鼓励更多的勒索软件攻击。此外,根据美国等国家的现行法律,支付赎金是被明确禁止的,企业和个人需遵守相关法律法规,以免触犯法律。
一旦感染勒索病毒后,应尽快参照如下流程,寻求专业安全人员进行处置。具体可参考我们之前发布的勒索病毒处理经验分享文档。
检查并验证重要数据的备份机制是否正常,确保备份数据完整可用。同时确认备份数据的存储位置与主数据隔离,避免被勒索病毒一并加密。
确认边界防火墙、VPN等设备已升级到安全版本,避免存在弱口令等安全隐患。定期更换密码,并采用多因素认证提高安全性。
对外网网站进行漏洞扫描和渗透测试,并通过WAF等安全设备对网站进行防护。确保所有Web应用都及时打上安全补丁。
检查主机安全、流量监控产品的策略配置是否完备,确保能够及时发现异常行为。同时,考虑使用行为分析工具来识别潜在的内部威胁。
确保组织有完善的值班和应急预案机制,可以及时响应和处置勒索病毒等突发安全事件。这包括建立跨部门的应急响应团队,以及定期进行应急演练。
TOP