美國最大成品油管道運(yùn)營商被勒索軟件攻擊停擺三日!需對關(guān)鍵信息基礎(chǔ)設(shè)施安全保持高度關(guān)注
上周,美國最大成品油管道運(yùn)營商Colonial 被勒索軟件攻擊致使其被迫關(guān)閉所有輸油管道運(yùn)營一時(shí)間成為國內(nèi)外的焦點(diǎn),引發(fā)了國內(nèi)外對于國家關(guān)鍵基礎(chǔ)設(shè)施的高度重視。
美國最大成品油管道公司被勒索軟件攻擊
5 月 8日,據(jù)外媒紐約時(shí)報(bào)報(bào)道,美國最大成品油管道公司Colonial Pipeline被勒索軟件攻擊,為了避免造成更大影響,該公司已主動切斷部分系統(tǒng)網(wǎng)絡(luò),暫停所有管道運(yùn)營。
圖源Wired
目前,尚不清楚這一事件的幕后黑手是誰。路透社援引業(yè)內(nèi)人士稱,實(shí)施網(wǎng)絡(luò)攻擊的黑客很可能是專業(yè)的網(wǎng)絡(luò)犯罪團(tuán)伙。
美國政府9日宣布進(jìn)入緊急狀態(tài),以解除針對燃料運(yùn)輸?shù)母鞣N限制,保障石油產(chǎn)品可以通過公路快速運(yùn)輸。
疑似勒索軟件 DarkSide 發(fā)起攻擊
盡管目前還未證實(shí)美國最大燃油管道遭受何種勒索軟件攻擊,但從該公司的聲明中可以得知,此次導(dǎo)致美國最大燃油管道公司停擺的主要原因來自于勒索軟件的攻擊。
不過,據(jù)外媒 BBC 報(bào)道,根據(jù)多個(gè)消息來源證實(shí),此次勒索軟件攻擊是一個(gè)名為 DarkSide 的勒索軟件 。消息稱該犯罪團(tuán)伙對目標(biāo)系統(tǒng)植入惡意軟件,以索要贖金,劫持了該公司近 100GB 的數(shù)據(jù),聲稱如果不付款,將會把這些數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上。
圖源BBC
關(guān)于DarkSide勒索病毒團(tuán)伙,深信服早在 2020 年 9 月就對其進(jìn)行過跟蹤報(bào)道。(【流行威脅追蹤】深度分析DarkSide勒索軟件;【流行威脅追蹤】追蹤已財(cái)富自由的DarkSide勒索軟)
DarkSide勒索病毒團(tuán)伙是勒索軟件即服務(wù)(RaaS)的新銳代表之一,近年來,勒索團(tuán)伙犯罪活動增長迅速,而受害者往往不愿意冒著風(fēng)險(xiǎn)支付高額的贖金,這使得勒索病毒運(yùn)營團(tuán)伙也開始包裝自己“專業(yè)可靠”的形象。
DarkSide勒索信息TXT
與“散裝”勒索病毒不同的是,DarkSide勒索病毒團(tuán)伙攻擊目標(biāo)的針對性非常強(qiáng),他們會對目標(biāo)進(jìn)行長達(dá)數(shù)周乃至數(shù)月的技術(shù)分析工作,甚至?xí)δ繕?biāo)進(jìn)行財(cái)務(wù)分析;該團(tuán)伙曾公開表示,他們不以醫(yī)院、學(xué)校等非營利組織作為攻擊目標(biāo),而是針對有能力支付大額贖金的企業(yè)或機(jī)構(gòu)進(jìn)行攻擊。
此外,DarkSide勒索病毒跟其它勒索病毒不同的是,其加密后綴不是固定的,通常是8位隨機(jī)字符,且加密的文件類型包括以下后綴:
386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb
加密后的文件后綴類型
為了確保成功勒索用戶繳納贖金,在進(jìn)行加密前攻擊者會在目標(biāo)環(huán)境中進(jìn)行滲透并安裝后門程序以竊取重要的數(shù)據(jù)信息,當(dāng)勒索目標(biāo)拒絕繳納贖金時(shí),會將數(shù)據(jù)公開作為威脅目標(biāo)的手段。
此前 4 月 23 日,DarkSide 勒索病毒團(tuán)伙就被曝出其在暗網(wǎng)門戶網(wǎng)站上放出消息,Darkside 將會提前告知那些邪惡/懷有不良動機(jī)的股票交易員,然后在網(wǎng)站上公布受害者公司之前將做空該公司的股票價(jià)格。
針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊需引起強(qiáng)烈關(guān)注
關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系著國計(jì)民生,是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重。隨著經(jīng)濟(jì)社會對網(wǎng)絡(luò)的依賴程度不斷加深,關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)更加緊迫。網(wǎng)絡(luò)空間軍事化、網(wǎng)絡(luò)武器平民化、網(wǎng)絡(luò)攻擊常態(tài)化的態(tài)勢日趨明顯,關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。
面對這樣的重大勒索軟件攻擊事件,也給國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)保護(hù)敲響了警鐘。這啟發(fā)我們不僅需要完善的關(guān)鍵信息基礎(chǔ)設(shè)施,更需要對關(guān)鍵信息基礎(chǔ)設(shè)施的安全給予實(shí)時(shí)全面的監(jiān)測保護(hù)。
深信服EDR產(chǎn)品基于勒索病毒攻擊鏈,從預(yù)防、防護(hù)、檢測與響應(yīng)整個(gè)生命周期進(jìn)行全面防護(hù)。
預(yù)防:通過安全基線檢查、漏洞檢測與修復(fù)等提前識別系統(tǒng)脆弱面,并封堵勒索病毒攻擊入口。
防護(hù):開啟RDP爆破檢測、無文件防護(hù)、勒索誘餌防護(hù)以及遠(yuǎn)程登錄保護(hù)等安全策略,對勒索病毒的各種攻擊手段進(jìn)行針對性的對抗與防護(hù)。
檢測與響應(yīng):通過 SAVE 人工智能引擎進(jìn)行文件實(shí)時(shí)檢測、全網(wǎng)威脅定位、網(wǎng)端云聯(lián)動等對勒索病毒進(jìn)行全網(wǎng)快速定位、處置與阻斷,阻止威脅爆破。
此外,深信服“人機(jī)共智”MSS安全運(yùn)營服務(wù)為用戶提供勒索病毒預(yù)防與響應(yīng)專項(xiàng)場景服務(wù)。服務(wù)專家基于安全運(yùn)營中心百余項(xiàng)勒索病毒Checklist,定期開展風(fēng)險(xiǎn)排查,并協(xié)助用戶加固;安全運(yùn)營中心 7*24H持續(xù)監(jiān)測確保第一時(shí)間發(fā)現(xiàn)勒索攻擊、感染、傳播行為,第一時(shí)間為用戶精準(zhǔn)預(yù)警,服務(wù)專家在線5分鐘響應(yīng),高效閉環(huán)勒索病毒事件。
深信服安全團(tuán)隊(duì)再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:
勒索病毒日常防范建議
及時(shí)升級系統(tǒng)和應(yīng)用,修復(fù)常見高危漏洞;
對重要的數(shù)據(jù)文件定期進(jìn)行異地多介質(zhì)備份;
不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件;
盡量關(guān)閉不必要的文件共享權(quán)限;
更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會導(dǎo)致一臺被攻破,多臺遭殃
如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP,盡量避免直接對外網(wǎng)映射RDP服務(wù)。
深信服EDR用戶,建議及時(shí)升級最新版本,并接入安全云腦,使用云查服務(wù)以及時(shí)檢測防御新威脅。
32位工具下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
64位工具下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
如果您對勒索病毒有進(jìn)一步的疑問,可以聯(lián)絡(luò)我們。