5月7日,美國最大燃油運輸管道商“科洛尼爾”(Colonial Pipeline)公司遭遇勒索軟件攻擊,被迫暫停石油輸送業務,對美國東海岸燃油供應造成了嚴重影響。
勒索病毒是泛指一切通過鎖定被感染者計算機系統或文件并施以敲詐勒索的新型計算機病毒,被勒索病毒感染后,將導致重要文件無法讀取、關鍵數據被損壞、計算機被鎖死無法正常使用等情況,為了指引被感染者繳納贖金,勒索病毒還會在桌面等明顯位置生成勒索提示文件,被感染者需要通過繳納高額贖金才能獲取解密密鑰恢復計算機系統和數據文件的正常使用,有時即使繳納了高額的贖金也未必能正常恢復數據。因此,勒索病毒具有數據恢復代價大和數據恢復可能性極低的特點。
近幾年,關鍵信息基礎設施一直是黑客利用勒索病毒攻擊的重點目標,一旦感染將給企業和用戶帶來無法估量的損失。各單位應引起高度警惕,組織做好相關防范工作。
勒索病毒傳播途徑
(一)網站掛馬
用戶瀏覽掛有木馬病毒的網站,上網終端計算機系統極可能被植入木馬并感染上勒索病毒。
(二)郵件傳播
郵件傳播是目前互聯網上常見的病毒傳播方式。攻擊者通過利用當前熱門字樣,在互聯網上撒網式發送垃圾郵件、釣魚郵件,一旦收件人點開帶有勒索病毒的鏈接或附件,勒索病毒就會在計算機后臺靜默運行,實施勒索。
(三)漏洞傳播
通過計算機操作系統和應用軟件的漏洞攻擊并植入病毒是近年來流行的病毒傳播方式。最典型的案例是2017年在國內泛濫的WannaCry大規模勒索事件,攻擊者正是利用微軟445端口協議漏洞,進行感染傳播網內計算機。
(四)捆綁傳播
攻擊者將勒索病毒與其他軟件尤其是盜版軟件、非法破解軟件、激活工具進行捆綁,從而誘導用戶點擊下載安裝,并隨著宿主文件的捆綁安裝進而感染用戶的計算機系統。
(五)介質傳播
攻擊者通過提前植入或通過交叉使用感染等方式將攜有勒索病毒的U盤、光盤等介質進行勒索病毒的移動式傳播。此種傳播途徑往往發生在文印店、公共辦公區域等高頻交叉使用可移動存儲介質的場所,也可能通過廣告活動派發、街區丟棄等方式實現誘導用戶使用攜帶勒索病毒的U盤、光盤。攜帶勒索病毒的光盤、U盤一旦接入計算機,勒索病毒即可能隨著其自動運行或用戶點擊運行導致計算機被感染。
防護建議
(一)定期做好重要數據、文件的異地/異機容災備份工作,重要系統應采取雙活容災備份;
(二)采取必要措施加強計算機系統安全防護,定期開展漏洞掃描和風險評估。
(三)及時更新升級系統和應用,修復存在的中高危漏洞;
(四)安裝主流殺毒軟件并及時升級病毒庫,定期進行全面病毒掃描查殺;
(五)在系統中禁用U盤、移動硬盤、光盤的自動運行功能,不要使用/打開來路不明的U盤、光盤、電子郵件、網址鏈接、文件;
(六)在電腦及服務器等終端上關閉445、135、137、138、139、3389、5900等端口;
(七)避免使用弱口令,為每臺服務器和終端設置不同口令,且采用大小寫字母、數字、特殊字符混合的高復雜度組合結構,口令位數應8位以上。
(八)不要在網上下載安裝盜版軟件、非法破解軟件以及激活工具;
(九)關閉不必要的文件共享權限;
(十)盡量避免直接對外網映射RDP服務及使用默認端口。
美國最大燃油運輸管道商“科洛尼爾”7日遭到網絡攻擊暫停運營,美國政府9日就宣布國家進入緊急狀態,可見此次網絡攻擊的影響范圍非常廣也非常嚴重。接著,當地時間14日,愛爾蘭衛生服務執行局(HSE)宣布遭受“重大勒索軟件攻擊”,攻擊者要求HSE支付贖金,否則將要永久封鎖一個系統或公開受害者的數據。事發后,HSE隨即關閉了其計算機系統,并接受網絡安全專家、警方、國防軍和政府等多方支持協助調查。一時間,網絡威脅的陰云再次硝煙四起。
這是發生在其他國家,如果是發生在我國的部分關鍵信息基礎設施上后果會如何?這幾天巴以沖突如火如荼,給人印象最為深刻的是:以色列可以對一些目標進行精確制導予以摧毀,如摧毀哈馬斯銀行大樓、媒體大樓等,摧毀之前甚至電話通知相關人員提醒他們撤離。這表明以色列的情報工作做的非常好,一個是精確地知道其所要摧毀的目標在哪;二、這些建筑物背后的相關聯系人是誰,聯系方式是多少;三、有能力能夠對這些目標進行精準定點摧毀。
如果是真正的網絡戰,關鍵信息基礎設施必將成為敵人攻擊的首要目標,會不會向以色列攻打巴勒斯坦一樣被定點摧毀呢?小編認為這一定是可能的,戰爭中出于人道主義以色列提前通知了相關無關人員進行撤離,網絡戰中可不會。所以相關關鍵信息基礎設施單位一定要提高政治站位,加強網絡安全建設,提高網絡安全防護能力,時刻掌握自己的網絡安全風險狀況,將網絡安全風險控制在可控范圍內。
江蘇國駿是專業可信的信息安全應用服務公司,有需要的可以聯系我們