近期勒索软件攻击事件频发,数据保护亟待提上日程
据统计,2020年出现一百余个新的勒索软件,勒索软件攻击事件同比增长了150%以上。2021年勒索软件不断进化,攻击手段更为复杂,全球多个企业深受其害。最近,各地接连发生多起勒索软件攻击事件,侧面也说明了基础设施安全防范的脆弱性,这样看来,数据备份和安全防范显得尤为重要。
云祺为大家总结了今年5月份发生的几起重大勒索软件攻击事件。
1、 DarkSide又对日本东芝公司发动攻击
经过一周的斡旋,美国成品油管道运营商Colonial Pipeline宣布恢复运营,代价则是向勒索组织DarkSide支付400万美元的赎金。与此同时,这家骇客组织又盯上了日本东芝公司。据报道,5月14日DarkSide在暗网上发布消息称,已窃取日本东芝公司法国分公司多达740G管理层机密信息和个人资料。东芝表示正在成立一个战略审查委员会调查受到的攻击。
2、 CNA被勒索2.57亿元赎金
据报道,美国保险公司巨头CNA遭到勒索软件攻击后,最终向对方支付了4000万美元(约合人民币2.57亿元)的赎金,得以重新获得了对公司网络的控制权。
此次攻击的实施者是一个名为Phoenix的组织,在遭遇Phoenix勒索软件程序后,CNA 15000台设备被加密,网络被强行中断,部分系统无法运行。除了CAN的内部网络之外,Phoenix CryptoLocker还对在攻击过程中连接到公司VPN的远程员工的计算机进行了加密。CNA最初无视Phoenix组织的要求,但因无法自行恢复数据,不久后还是被迫支付了这笔赎金。
3、 美国多家医疗机构遭连环勒索
近日,FBI发布安全通告指出,勒索软件团伙Conti试图攻击破坏十多家美国医疗和应急机构的网络。Conti在全球400多个攻击目标中,超过290个位于美国,其中包括市政府、急救911中心等。
Conti勒索软件据悉是由总部位于俄罗斯的网络犯罪组织Wizard Spider所控制。Conti与臭名昭著的勒索软件Ryuk共享部分代码,Ryuk在2020年7月左右活动减少后,Conti开始使用TrickBot分销渠道。根据FBI的说法,Conti赎金要求是针对每家机构量身定制的,赎金要求最高达2500万美元。
4、 广东某30强房企遭勒索攻击
广东某30强房企遭受勒索软件的攻击,全集团的网络无法使用,导致全公司无法进行正常办公作业,数天都不得不采取最原始的方式进行沟通和办公。勒索方要求400万美元的赎金,并且只能支持数字货币结算。
正是因为房企的数字化转型,网络系统对于企业的重要性增加,大量的购房信息、数据报表、财务信息存放在网络环境中,被勒索组织盯上的机率也就愈大。
近几年,关键信息基础设施一直是黑客利用勒索软件攻击的重点目标,一旦感染将给企业和用户带来无法估量的损失,具有数据恢复代价大和数据恢复可能性极低的特点。下面是一些关于勒索软件的防护建议,提醒大家警惕勒索软件,做好相关防范工作。
勒索软件传播途径:
(一)网站挂马
用户浏览挂有木马软件的网站,上网终端计算机系统极可能被植入木马并感染上勒索软件。
(二)邮件传播
攻击者在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索软件的链接或附件,勒索软件就会在计算机后台静默运行,实施勒索。
(三)漏洞传播
通过计算机操作系统和应用软件的漏洞攻击并植入软件。2017年在国内泛滥的WannaCry大规模勒索事件,正是利用微软445端口协议漏洞,进行感染传播网内计算机。
(四)捆绑传播
攻击者将勒索软件与其他软件尤其是盗版软件、非法破解软件、激活工具等进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。
(五)介质传播
攻击者通过提前植入或通过交叉使用感染等方式将携有勒索软件的U盘、光盘等介质进行勒索软件的移动式传播,勒索软件随着其自动运行或用户点击运行导致计算机被感染。
防护建议:
(一)定期做好重要数据、文件的异地/异机容灾备份工作,重要系统应采取双活容灾备份;
(二)采取必要措施加强计算机系统安全防护,定期开展漏洞扫描和风险评估;
(三)及时更新升级系统和应用,修复存在的中高危漏洞;
(四)安装主流杀毒软件并及时升级软件库,定期进行全面软件扫描查杀;
(五)在系统中禁用U盘、移动硬盘、光盘的自动运行功能,不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件;
(六)在电脑及服务器等终端上关闭445、135、137、138、139、3389、5900等端口;
(七)避免使用弱口令,为每台服务器和终端设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构;
(八)不要在网上下载安装盗版软件、非法破解软件以及激活工具;
(九)关闭不必要的文件共享权限;
(十)尽量避免直接对外网映射RDP服务及使用默认端口。
今年是勒索软件频发的一年,社会数字化转型的同时也需考虑数据安全,云祺在此也提醒广大用户,重视数据安全工作,建立高效的容灾备份解决方案,才是应对勒索软件的最优解决方案。
云祺针对勒索软件的的应对措施:
1、从源头防范勒索软件
自动检查文件的合法性,当文件类型被修改或文件被加密时能够及时发现,不会同步变化数据到备份服务器,从而有效防止勒索软件再入侵。
2、实时备份,RPO=0
云祺容灾备份系统支持实时备份,实时监控每一次 IO 变化,并通过增量方式记录变化数据,无备份时间窗口,真正实现数据零丢失,备份恢复至被勒索软件感染的前一刻,最小备份恢复力度可达毫秒级。
3、异地灾备,本地异地双重保护
云祺容灾备份解决方案可帮助用户建设异地容灾系统,异地备份系统与生产环境相互隔离,副本任务独立,且不会对主备份产成影响。即使本地业务系统因勒索软件导致业务暂时中断,也可在异地拉起业务,实现业务接管。
4、归档上云,数据第三重保护
云祺支持将用户重要备份数据本地归档或者云归档,有效地管理数据,实现数据的长期保存。发生意外后,可通过归档的数据恢复至容灾端实现数据恢复。多种数据备份方式供用户选择最合适的解决方案。
云祺针对勒索软件防御功能预览
云祺将在今年发布云祺容灾备份系统最新版本,创新性的加入备份数据保护功能,可以有效的防止勒索软件篡改数据。
云祺通过特有的Vinchin Encrypted backups技术,全周期全方位对备份数据进行监控和保护,当有勒索软件或恶意软件尝试修改备份数据时,将被直接拒绝访问,从而有效保护备份数据。
云祺备份数据保护功能可以有效抵御恶意攻击,为用户数据安全再添保障,云祺容灾备份系统最新版本将于今年上线,敬请期待吧!