首页 > 其他分享 >LockBit勒索攻击大杀四方,超千家企业被攻击,金融、能源等成重灾区

LockBit勒索攻击大杀四方,超千家企业被攻击,金融、能源等成重灾区

时间:2023-12-29 16:32:38浏览次数:40  
标签:LockBit 攻击 等成 漏洞 勒索 软件 病毒

近期以来,针对金融、能源等关基行业的勒索攻击,又开始全球发酵。不久前,某金融机构在官网发布声明称遭受了勒索软件攻击,导致部分系统中断,LockBit组织确认对本次攻击负责。安全专家提醒,LockBit勒索家族号称加密最快的勒索软件,包括波音公司在内,超过千家企业遭受LockBit勒索软件攻击。

LockBit勒索攻击大杀四方,超千家企业被攻击,金融、能源等成重灾区_安全漏洞

金融、能源等更易受到LockBit等勒索攻击

值得注意的是,这并非LockBit今年头一次发动扰乱全球金融体系的网络攻击,八个月前,ION Trading UK(一家为全球衍生品交易者提供服务的公司)遭遇LockBit勒索软件攻击,导致市场瘫痪,迫使其手动处理每天数千亿美元的交易。

众所周知,金融安全是国家安全的重要组成部分,是经济平稳健康发展的重要基础。与此同时,金融行业由于业务系统的复杂性,以及对数字化的高度依赖性,导致其容易受到勒索软件的攻击,且受到的损失更大。今年的一份报告估计,汇总全球自2018年以来的数据,金融业因勒索软件攻击造成宕机的经济影响高达323亿美元。而且,有报道称发生在金融业的勒索软件攻击正在增加。据SOCRadar在2023年上半年的统计,在勒索软件攻击的前十大目标行业中,金融业排名第7。

除了金融行业之外,同为关乎国计民生的能源行业也是勒索攻击的主要目标。国外网络安全公司发布了《针对能源行业的勒索软件攻击呈上升趋势-核能、石油和天然气是2024年的主要攻击目标》,总结了其发现的勒索软件攻击趋势。其中,针对能源行业的勒索软件攻击显着增加。在北美、亚洲和欧盟(EU)都发现了恶意活动。网络犯罪分子瞄准了这一领域,他们的行动假设是,由于涉及的数据资产价值更高,他们可以索取更有利可图的赎金。该公司报告显示,针对能源公司的勒索软件运营商将继续将勒索要求提高到700万美元以上。

安全团队研究发现,2022年,LockBit成为最活跃的勒索软件团伙,拥有全球植入最多的勒索软件变种,并在2023年持续在全球发酵,根据其他网络机构的数据,2022年,大约六分之一的针对美政府办公室的勒索软件攻击由LockBit组织负责。遭受LockBit攻击的行业涵盖多个领域,包括金融业、制造业、能源、政府、医疗、教育、运营商等。

目前的LockBit不断演进迭代,经历了多个版本,现在主流的LockBit 3.0是勒索软件LockBit 2.0和 LockBit的延续,同时LockBit也将BlackMatter和 ALPHV(BlackCat Ransomware)等其他勒索软件集成到LockBit3.0中,更重要的是,有组织观察到LockBit利用工具进行二次勒索事件。  

LockBit最常用的攻击手段,包括了利用钓鱼邮件攻击、利用系统漏洞攻击(例如永恒之蓝、log4j、OA漏洞等)、利用安全漏洞攻击(如弱口令、远程代码执行等网络产品安全漏洞)、利用远程登录攻击、利用网站挂马传播、利用移动介质传播、利用软件供应链传播、利用远程桌面入侵传播等,由于攻击手法多样,给网络安全防护造成极大的难度。

在漏洞风险核查方面,第一步是开启高危漏洞识别功能,通过下发已梳理在推荐模板中被勒索病毒武器化的高危漏洞扫描任务,在主机内部收集资产进行版本比对、POC发包方式精准识别服务器上的高危漏洞,根据扫描出来的漏洞进行修复,能有效降低勒索病毒利用高危漏洞攻击的风险。同时开启高危漏洞防护功能,通过内核层过滤网络流量中的漏洞流量特征一对一防护,可以基于已识别出来的高危漏洞开启虚拟补丁功能实现不打实体补丁的情况下阻断攻击流量,防止攻击者利用高危漏洞投放勒索病毒。

在弱口令风险核查方面,开启弱口令核查功能,需要对系统、数据库、应用等众多弱口令进行检测,将不符合要求的弱口令用户密码进行展示,同时会将多个账号使用相同密码的复用情况做展示告警,方便用户及时掌控安全动态,及时整改弱口令风险,避免通过弱口令进行勒索入侵。同时开启暴力破解防护功能,对SSH、RDP协议分析系统登陆失败日志,结合设置的登录规则判断登录行为是否为暴力破解。具备对系统的登录验证及锁定能力,防止攻击者获取弱口令进行投毒行为。

在敏感端口访问防护方面,通过网络驱动获取系统网络流量的源地址,对流量数据包进行解析,识别IP类型,识别存在互联网暴露的端口并可配置禁止端口外网访问策略或配置只允许指定地址范围访问端口策略以限制敏感端口对外开放,减少恶意攻击者的突破点,比如端口扫描、暴力破解、拒绝服务攻击等,进而有效防止勒索病毒通过敏感端口投放病毒。

在文件监控与防护方面,基于勒索病毒在文件系统层、磁盘IO读写层进行勒索加密时的行为特征在文件监控与防护中设置特定后缀文件读、写、执行防护设置,有效防御勒索进程运行,阻塞勒索操作。

最后是勒索专项防护,包括开启勒索诱饵防护功能,系统会在操作系统中创建诱饵doc文件,并实时监控该文件的写入,正常业务不会访问到诱饵文件。当勒索病毒遍历系统中文档并加密时,也会对诱饵文件进行加密,同时该功能会监控到加密文件的勒索病毒进程,阻断该进程并隔离进程关联的勒索病毒文件。勒索病毒在尝试加密系统中的文件时,会先执行删除系统还原点及镜像卷的命令。开启该功能,通过监控并阻断这些命令的执行,保护Windows系统还原点及卷影不被勒索病毒删除,保障用户能过通过系统还原点和卷影恢复被加密的文件。


防勒索攻击的几点安全建议:

近年来,以Lockbit为代表的勒索病毒攻击频频发生,给金融、制造业、能源等行业带来重要数据泄露、社会系统瘫痪等重大危害,甚至严重威胁了国家安全。面对来势汹汹的勒索攻击,政企组织该怎样自救?安全专家归纳了以下几点建议。

定期备份:定期备份所有数据,并确保备份存储在离线设备或云存储中。这样,即使受到勒索软件攻击也有冗余恢复数据;

更新软件:及时更新操作系统、应用程序和安全软件,以填补漏洞和提高安全性;

建立强密码:使用强密码来保护所有帐户,并定期更改密码;

系统加固:关闭非必要对外的服务、端口、共享等;

提高安全意识:保持安全意识,警惕不明来历的电子邮件、链接和下载。

标签:LockBit,攻击,等成,漏洞,勒索,软件,病毒
From: https://blog.51cto.com/u_14119085/9028878

相关文章

  • Socket和Http的通讯原理,遇到攻击会受到哪些影响以及如何解决攻击问题。
    Socket通信原理:Socket是一种应用程序编程接口(API),用于在单个进程或多个进程之间进行通信。它提供了一种灵活的、异步的通信方式,使应用程序可以方便地建立连接、发送数据和接收数据。Socket通信基于TCP/IP协议,它是一种面向连接、可靠的通信方式。Socket通信过程如下:a.创建Socket:创......
  • 网络攻防技术——XSS攻击
    实验7:XSS攻击实验(Elgg)实验内容:跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。为了演示攻击者可以做什么,我们在预先构建的UbuntuVM映像中设置了一个名为Elgg的web应用程序。我们已经注释掉了El......
  • 网络攻防技术——DNS攻击
    实验11:TCP攻击实验实验内容:本实验的目标是让学生获得对DNS(域名系统)的各种攻击的第一手经验。DNS是互联网的电话簿;它将主机名转换为IP地址,反之亦然。这种转换是通过DNS解析实现的,这种解析发生在幕后。DNS欺骗攻击以各种方式操纵此解析过程,目的是将用户误导到其他目的地,这些目的地......
  • 【网络安全入门】什么是DOS?DOS攻击类型有哪些?
    大家都知道,DOS攻击是网络安全中比较常见的攻击形式,它的类型和种类有很多,具有很大的危害,而且在网络生活中DOS攻击是不可避免的,那么到底什么是DOS?DOS攻击类型有哪些?虽然DOS攻击不可避免,但掌握攻击类型可以帮助我们有效预防DOS攻击,所以快跟着小编来了解一下吧。什么是DOS?......
  • 网络攻防技术——TCP攻击
    实验内容:本实验的学习目标是让学生获得有关漏洞以及针对这些漏洞的攻击的第一手经验。聪明人从错误中学习。在安全教育中,我们研究导致软件漏洞的错误。研究过去的错误不仅有助于学生理解为什么系统容易受到攻击,为什么"看似良性"的错误会变成灾难,以及为什么需要许多安全机制。更重......
  • 2023年十大网络安全攻击事件
    1、ESXi勒索软件攻击今年2月,“ESXiArgs”组织针对运行VMwareESXi虚拟机监控程序的客户展开勒索攻击。据联邦调查局(FBI)和CISA数据估计,全球受感染的服务器数量超过了3800台。网络安全供应商Censys称,该活动主要针对美国、加拿大、法国和德国等国家的组织。研究人员表示:这些攻......
  • GScan v0.1 被攻击入侵后 溯源 安全应急响应 Linux主机排查 实现主机侧Checklist的自
    GScanv0.1本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。CheckList检测项自动化程序的CheckList项如下:1、主机信息获取2、系统初始化alias检查3、文件类安全扫描3.1、系统重要文......
  • 网站被攻击常见的形式有哪些?
    在当下,网站遭受攻击已经成为屡见不鲜的事情了,因为大大小小的网站都遭受过网络攻击,尤其是一些比较热门的行业更是被攻击整的焦头烂额。那么网站被攻击常见的形式有哪些?今天通过这篇文章为大家讲一讲。1、网站网页中出现大量的黑链网站的网页一般用户看着没有什么异常,但......
  • DDoS攻击背后的动机有哪些,如何通过其他手段根本解决这个问题?
    在数字经济时代,随着云计算+AI+5G成新趋势,人们对生活方式逐渐发生改变的同时,随之而来的网络安全威胁也日益严重!DDoS攻击是比较常见的主要攻击手段,相较于传统的DDoS,现在的DDoS攻击势头更为猛烈,屡禁不止,其破坏性也不容小觑。那么导致攻击频发一般是什么原因呢,为什么有的人会有经常遇到......
  • icmp重定向攻击
    icmp协议概述1、网络控制报文协议,目的在于IP主机、路由器之间传递控制消息2、控制消息是指网络通不通,主机是否可达,路由是否可用等网络本身消息3、控制消息不传输用户数据,但对于用户数据传递起着重要作用4、icmp属于网络层,在ip协议上层ICMP常见类型与编码 icmp重定向原理......