网络战的“当头炮”:Wiper 恶意软件(擦除器)
Wiper (擦除器) 是一种具有高度破坏性的恶意软件,于 2012 年首次观察到在中东使用。在 2022 年的俄乌冲突期间,wiper 恶意软件成为攻击者首选的网络武器。使用“擦除器”攻击,就如象棋开局打出“当头炮”。
wiper 恶意软件与勒索软件有相似之处。这两种类型的恶意软件都会恶意破坏系统,使受害者无法访问文件和数据。区别仅在于Wiper(擦除器)类恶意软件很少出于经济目的勒索金钱。擦除器的目的就是通过破坏造成永久性的数据损失。
擦除器也可用在窃取机密情报之后,彻底破坏系统,以销毁入侵攻击痕迹。
最早观察到的擦除器恶意软件是Shamoon,它于 2012 年出现,被用于对沙特石油巨头沙特阿美的破坏性攻击。公开报道表明,Shamoon是由一名有权访问沙特阿美系统的内部人员释放。
Shamoon会删除硬盘数据,并用燃烧的美国国旗图像替换它们,该恶意软件破坏了超过 30,000 台计算机。沙特阿美被迫关闭其内部企业网络以阻止病毒传播。
另一个影响巨大的擦除器是NotPetya,2017 年,研究人员注意到这种具有自我传播能力的擦除器蠕虫渗透到乌克兰的网络中。NotPetya伪装成勒索软件,向用户索要“赎金”,但实际上缺乏支付或恢复数据机制。
NotPetya通过 Windows 系统中的安全漏洞在网络中呈蠕虫式传播,迅速蔓延到最初目标之外,影响散布全球一些大型公司,包括国际航运巨头马士基和联邦快递、制药公司默克和建筑公司圣戈班。
根据白宫估计,NotPetya造成的总损失在 2017 年达到 100 亿美元,成为迄今为止造成经济损失最大的恶意软件之一。
其他擦除器,通常只是攻击者武器库中的众多功能之一。2022 年 4 月,研究人员披露了INCONTROLLER(又名PIPEDREAM)恶意软件框架,该框架是由攻击者专门开发用于破坏工业流程。
这种致命的恶意软件被研究人员描述为针对工业网络攻击的“瑞士军刀”,包括一系列广泛的组件,可以针对设备、破坏或阻止操作员访问它们、永久地阻止它们或使用它们作为访问网络其他部分的立足点。
INCONTROLLER的适应性和多功能性这意味着它可能对全球几乎所有类型的工业系统构成威胁。幸运的是,研究人员发现了该恶意软件,并开始构建针对它的防御措施。
2022 年 2 月俄乌冲突以来,研究人员观察到用于网络攻击的新型擦除器数量激增。这些擦除器被用来攻击乌克兰各类实体,包括政府机构、银行和公用事业公司。
一些擦除器的影响扩散到乌克兰境外。2022年2月24日对美国卫星通信提供商 Viasat 的 KA-SAT网络的网络攻击中,AcidRain Wiper擦除器导致数万个调制解调器无法运行。
这次攻击中断了 Viasat 在乌克兰和欧洲数万客户的互联网连接,甚至中断了对德国 5,800 台风力涡轮机的远程监控(风电机运营正常,只是不能远程管理了)。
针对擦除器的防御:
因擦除器明显属于敌对组织的高级攻击,攻击者势必会采取任何可能的手段进行入侵、渗透。因此对组织而言,需要采取更加严密的安全防御措施:及时检测和修复安全漏洞,部署覆盖所有端点的终端防御系统,检测并纠正弱口令,检测和处置威胁横移,部署完善的数据备份系统。
哪里能在手机上看惊天绑架团?
当前(2022年2月)使用腾讯视频app可以观看。
《惊天绑架团》是由丹尼尔·阿尔弗雷森执导,吉姆·斯特吉斯、萨姆·沃辛顿、瑞恩·科万腾、安东尼·霍普金斯等主演的犯罪类影片。
该片于2015年3月6日在美国上映,2016年8月26日在中国大陆上映,网络平台于腾讯视频播出。
剧情介绍:
喜力啤酒总裁阿尔弗雷德(安东尼·霍普金斯饰)被一众绑匪精心策划绑架,并勒索6000万天价赎金,在为期三周的人质生涯中,喜力啤酒总裁为了自保与绑匪巧妙周旋,而绑匪的计谋又让警察找不到任何有价值的线索,最终不得不交付赎金,最终每个人的结局都出人意料。
这一案件成为当时世界最轰动的绑架案。影片中,由安东尼-霍普金斯饰演的喜力啤酒总裁,与萨姆·沃辛顿、吉姆·斯特吉斯、瑞恩·科万腾等人饰演的绑匪开展了一场“最强大脑”较量。
中了勒索病毒后要怎么交赎金?
不幸电脑感染“永恒之蓝”勒索病毒切勿支付赎金,因病毒开发者并无感染用户的系列数据,既支付赎金后文件仍然可能无法解锁。
Wanna系列敲诈者木马的危害主要表现为电脑的所有文档被加密,用户需要支付高额赎金才能解密。目前,被敲诈者木马上锁的电脑均无法解锁,但可以尝试使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复文档。
也可以尝试联系安全厂商,寻求协助处理。
美国《福布斯》网站在近日的报道中,有哪些值得人们警惕的网络威胁?
美国《福布斯》网站在近日的报道中,有哪些值得人们警惕的网络威胁?
1.数据勒索。数据勒索是指利用勒索软件使被攻破电脑的数据无法使用,然后攻击者提供恢复数据的方法并索要赎金;或者黑客先创建数据副本,然后威胁公开发布,除非组织或个人支付赎金。2021年,数据勒索成为全球网络攻击的主角,给许多国家带来了机密数据泄露、社会系统瘫痪等巨大危害,严重威胁国家安全。例如,美国最大的石油管道运营商Colonial遭到勒索软件攻击,被迫关闭了其在美国东部沿海各州供油的关键燃料网络。这极大地影响了美国东海岸的燃料和其他能源的供应,美国政府宣布全国进入紧急状态。
2.身份盗窃。身份盗窃是一件严重的事情。数据泄露和网络钓鱼邮件是一些最常见的身份盗窃方式。你的电子邮件地址、社交媒体照片、简历、家庭住址和财务信息都有被盗用的风险。身份窃贼可能会窃取您的个人数据,如信用卡详细信息,并将其用于邪恶目的。因此,在社交媒体和任何在线平台上公开您的详细信息之前,请确保您遵循所有安全预防措施。
3.网络攻击往往选择最薄弱的环节进行突破。要加强应对网络威胁的准备。俗话说“军无辎重必亡。”没有对防御网络威胁复杂性的充分认识,就无法协调好现实准备和长远建设、重点准备和全面发展的关系。要加强跨部门、跨地区、跨行业、跨企业协作,为提高防御体系的基础性、完整性、平衡性做好充分准备。此外,应对网络威胁,迫切需要加强合作。当前,网络安全面临全球性挑战,谁也不能独善其身。加强应急合作刻不容缓。加强网络安全威胁信息共享利用,构筑关键信息基础设施安全防线,共同维护安全清朗的网络空间。
2022年5月勒索病毒态势分析
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为大量需要帮助的用户提供360反勒索服务。
2022年5月,全球新增的活跃勒索病毒家族有:7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族,其中Cheers、RansomHouse、Mindware均为具有双重勒索功能的家族。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
根据本月勒索病毒受害者排查反馈统计,Magniber家族占比46.17%居首位,其次是占比15.52%的TargetCompany(Mallox),phobos家族以10.15%位居第三。
本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的Magniber勒索病毒而中招,首次出现单个家族感染量占比近50%的“霸榜”现象。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。
2022年5月被感染的系统中桌面系统和服务器系统占比显示,因Magniber勒索病毒攻击这针对Windows 10和Windows 11,导致桌面PC占比上涨。
今年4月底,Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播,360安全大脑对其进行了预警。
而5月初,360安全大脑再次监测到该家族新增对Windows 11系统的攻击,其主要传播的包名也有所更新,比如:
win10-11_system_upgrade_software.msi
covid.warning.readme.xxxxxxxx.msi
其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时,会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载情况。
以下是该病毒近期传播针对Windows 11的攻击态势图:
遭到该勒索病毒加密后,文件后缀会被修改为随机后缀,且每个受害者会有一个独立的支付页面——若不能在规定时间内支付赎金,该链接将失效。若受害者能在5天内支付赎金,则只需支付0.09个比特币(截止该报告撰写时,约合人民币17908元),而超过5天赎金将会翻倍。
本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等。在其拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。360提醒用户加强防护,并建议使用360终端安全产品提供的安全补丁,防御查杀该病毒。
360安全大脑监测 历史 显示,Mallox(又被称作Target Company)于2021年10月进入中国,早期主要通过SQLGlobeImposter渠道进行传播(通过获取到数据库口令后,远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用)。而今年GlobeImposter勒索病毒的传播量逐渐下降,Mallox就逐渐占据了这一渠道。
除了传播渠道之外,360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的WebShell,而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备,攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户,并尝试远程登录目标机器。此外,攻击者还会使用fscan工具扫描设备所在内网,并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。
近日360安全大脑监控到一款新型勒索病毒7Locker,该病毒使用java语言编写,并通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩,被加密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的Client Key查看具体赎金要求以及指定的赎金支付地址。
另外,根据目前已掌握的信息推测:该家族的传播事件有很大概率是中国台湾黑客针对中国内陆发起的勒索攻击。
5月8日星期日,新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态,理由是多个政府机构正遭到Conti勒索病毒攻击。
Conti勒索病毒最初声称上个月对哥斯达黎加政府进行了攻击。该国的公共卫生机构哥斯达黎加 社会 保障基金(CCSS)早些时候曾表示,“正在对Conti勒索病毒进行外围安全审查,以验证和防止其可能再次发动攻击。”
目前,Conti已发布了大约672 GB的数据,其中似乎包含属于哥斯达黎加政府机构的数据。
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有220个组织/企业遭遇勒索攻击,其中包含中国10个组织/企业(含中国台湾省5个组织/企业)在本月遭遇了双重勒索/多重勒索。
表格2. 受害组织/企业
在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。
对2022年5月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年5月弱口令攻击态势,发现RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但依然处于常规范围内且整体呈上升态势。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Coffee。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被CryptoJoker家族加密的设备。