漫谈企业信息化安全 - 勒索软件攻击

一、引言

首先,网络攻击是一个非常广泛的话题,网络攻击从一般分类上包含了恶意软件攻击、钓鱼攻击、拒绝服务攻击(DoS/DDoS)、中间人攻击、SQL注入、跨站脚本、0-Day攻击、供应链攻击、密码攻击等等,勒索软件攻击只是其中的一种类型。本文的主题是从勒索软件攻击说起,是因为在整个勒索软件攻击的工程中,涉及了企业信息安全建设里的多个环节,这里的每个环节可能是黑客的突破口,只有知己知彼,才能在企业信息安全建设上筑起牢固的防护墙。

那么黑客发起网络攻击的目的是什么呢?黑客可能是出于财务利益、间谍活动、破坏等等目的,发起网络攻击。今年来,随着虚拟化货币的盛行,让勒索软件攻击变得更为猖獗。

很多人说我们这么小的企业,黑客根本看不上,这是错误的观点。事实上,黑客实施的是一种无差别攻击,发起攻击的边际成本非常低,收益非常高。我们平时听到的勒索软件攻击都是大型攻击,这其实是一种幸存者偏差,小的案子无从被注意到而已。可是这些小的案子对于当事人来讲,也有可能是毁灭性的。

二、什么是勒索软件攻击

勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁受害者,使其保持锁定状态(或更糟糕的状态),并要求受害者向攻击者支付赎金。根据 IBM Security X-Force Threat Intelligence Index 2023,勒索软件攻击占 2022 年网络攻击总数的 17%。

最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份,组织可以限制此类勒索软件攻击的成本,并且通常可以避免支付赎金要求的情况。

但近年来,勒索软件攻击已经演变为包括双重勒索和三重勒索攻击,这使受害者面临的风险大幅增加 — 即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。双重勒索攻击增加了受害者面临数据被窃取并将其泄露到网上的威胁;除此之外,三重勒索攻击还威胁受害者要使用窃取的数据来攻击受害者的客户或业务合作伙伴。

勒索软件受害者和谈判者不愿透露赎金金额。然而,根据 勒索软件权威指南,赎金要求已增至七位数和八位数金额。赎金只是勒索软件感染总成本的一部分。根据 IBM 的《2022 年数据泄露成本报告》,勒索软件攻击造成的数据泄露的平均成本(不包括赎金)为 454 万美元。预计到 2023 年,勒索软件攻击将给受害者造成总体约 300 亿美元的损失。

三、勒索软件攻击案例

在网上搜索一下,我们能找到很多勒索软件攻击的案例,这里罗列了几个:

1. DarkSide 黑客组织对美国输油管道公司 Colonial Pipeline 的攻击

殖民地管道公司在5月初得知,它已成为勒索软件攻击的受害者,迅速中断了美国东南部大片地区的燃料供应,并可能蔓延到纽约以北。 殖民地管道勒索软件攻击 ,到目前为止,是2021年最受瞩目的攻击。 这也难怪--我们是一个机动车社会,而美国人需要他们的燃料。 殖民地公司提供东海岸50%的燃料。

此次攻击尤为危险的原因是消费者的反应。人们陷入恐慌,大量抢购燃油。而且,有些人把燃油存放在塑料箱、塑料袋等不安全的容器中,容易引起火灾。

依据相关报道,此次攻击采取的方法极为简单,这让人非常震惊。Colonial 没有采取适当的安全措施,例如多因素身份验证(MFA)。黑客只需尝试不同的密码就能非常轻松地进入该公司的 VPN。

国家重要基础设施如此轻易便被入侵,这让黑客组织备受鼓舞。相信他们在2022年也能毫不费力地摧毁其他关键基础设施。

已支付赎金:440万美元

2. REvil 黑客组织对 JBS USA 的攻击

今年5月下旬,全球最大的牛肉供应商 JBS 遭到 REvil 勒索软件组织的攻击。此次攻击导致 JBS 美国分部不得不彻底停止运营。JBS USA 是牛肉供应链的源头,此次攻击对牛肉供应链造成破坏,中断了美国许多商店的牛肉供应。

此次 REvil-JBS 事件凸显了美国食品供应链在遭受影响广泛、极具破坏性的攻击时的脆弱性。不难看出,受到政府支持、协调统一地同时攻击多家大型食品供应商可能会在全国引发大规模食品短缺。

虽然 JBS 表示其“强大的 IT 系统和加密备份服务器”有助于确保快速恢复系统,但仅凭这些措施似乎并不足以恢复系统。6月下旬,有消息称 JBS 实际上已支付巨额赎金,以避免公司、客户和员工数据受到损害。

已支付赎金:1100万美元

3. 不明黑客组织对美国 Buffalo 公立学校的勒索软件攻击

今年3月12日,不明勒索软件黑客组织攻击了美国纽约 Buffalo 公立学校的系统。该系统目前为34,000名学生提供服务。虽然该校负责人对此次攻击的影响不以为然,但经调查发现,已丢失的记录包括数十年的教学资料、学生档案以及大约5,000份9月份的入学申请。此外,根据 WGRZ 就此次攻击发布的详细信息和一段视频,法律、会计等对该地区运作至关重要的系统已瘫痪。

这起事件表明,美国许多学校都面临着各种令人不安的情况。学校在 IT 安全性方面人手不足,尤其是网络安全方面。截至2021年8月,一半以上的网络攻击均以学校为攻击目标。

已支付赎金:不详

4. Evil Corp 黑客组织对 CNA Financial 的攻击

3月21日,美国最大的保险公司之一CNA金融公司遭到勒索软件的攻击,导致网络严重中断。 六个星期后,该公司的网络仍然没有完全运行,尽管 公司高管在一份声明中声称,它立即采取了",主动切断了[其]系统" 与CNA网络的连接。

这一事件最令人不安的是,CNA拥有比大多数组织更复杂的安全环境。 然而,他们还是被黑了。 具有讽刺意味的是,该公司提供网络保险。 该事件还揭示了一个日益增长的威胁状况--远程访问操作。 在这个案例中,黑客加密了15000台设备,包括许多远程员工的电脑。

我们不能100%确定邪恶集团是这次攻击的幕后黑手。 然而,黑客使用了名为Phoenix Locker的恶意软件,这是邪恶集团的勒索软件,名为'哈迪斯'。 总部设在俄罗斯的Evil Corp不受美国的制裁,CNA表示,黑客不受美国的制裁。

已支付赎金:4000万美元

5. Wizard Spider 黑客组织对爱尔兰卫生服务行政部门(HSE)的攻击

今年5月14日,为避免恶意软件的传播,爱尔兰政府运营的公共卫生服务卫生系统不得不关闭所有 IT 系统。不幸的是,勒索软件攻击期间,恶意软件已经渗入部分网络。直到6月30日,HSE 的在线医疗卡注册系统才得以恢复。

黑客访问了患者和员工信息,HSE 的100,000名员工和数百万患者的数据遭到泄露。重要的是,病例、笔记和治疗记录似乎都包括在受损数据中。根据 HSE 发布的声明,这些黑客是俄国人,他们把部分受损数据公布在“暗网”上,人们正在受到此次攻击的影响。在7月份的网络安全事件更新中,HSE 表示医疗服务仍然受到此次攻击的严重影响。

毋庸置疑,卫生系统数据泄露对社会的影响非常重大,无论是在信息泄露方面还是公众心理方面。不怀好意的外国团伙对自己的病例了如指掌,还将其公之于众,谁愿意相信?

尽管此次攻击造成影响非常严重,但 HSE 表示不会支付任何赎金。

四、勒索软件攻击途径

勒索软件攻击有很多途径,下面是一些常见的途径,我在每种途径中添加了在后续文章中,我们会具体展开的一些主题作为参考:

  1. 钓鱼邮件:攻击者通过伪装成合法机构发送带有恶意附件或链接的电子邮件,诱骗受害者点击,从而下载并安装勒索软件。(后续相关主题:安全培训、安全互联网访问)

  2. 恶意广告:攻击者在合法网站上投放带有恶意代码的广告,用户点击后可能会被重定向到恶意网站,从而感染勒索软件。(后续相关主题:安全互联网访问)

  3. 漏洞利用:攻击者利用系统或软件中的已知漏洞,未经用户许可直接在系统上执行恶意代码,安装勒索软件。(后续相关主题:终端管理)

  4. 社会工程学攻击:攻击者利用心理操控技术,诱骗用户执行某些操作(如下载文件或访问恶意网站),导致勒索软件的感染。(后续相关主题:安全互联网访问、终端管理)

  5. 不安全的远程桌面协议 (RDP):攻击者通过扫描开放的RDP端口,使用暴力破解等手段获得访问权限,然后手动在系统上安装勒索软件。(后续相关主题:特权访问、零信任、)

  6. 软件捆绑:攻击者将勒索软件捆绑在合法软件或应用程序中,当用户下载和安装这些软件时,勒索软件也随之安装。(后续相关主题:安全互联网访问、终端管理)

  7. 供应链攻击:攻击者通过侵入开发者的环境或利用分发渠道,将恶意软件注入到软件产品中,使得下游用户在不知情的情况下受到感染。(后续相关主题:终端管理)

  8. USB设备和其他外部介质:攻击者将勒索软件放在USB驱动器或其他外部存储设备上,当用户将这些设备连接到计算机时,勒索软件会自动运行并感染系统。(后续相关主题:终端管理)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/638077.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【永洪BI】传参组件

1. 参数 参数也叫做变量。永洪中,支持参数的地方很多,几乎涉及整个永洪产品,用起来非常灵活,而且具有强大的能力,可用于各种需要动态改变值的场景。数据源、数据集、报表、实验都可以定义和使用参数,比如在…

爬虫技术升级:如何结合DrissionPage和Auth代理插件实现数据采集

背景/引言 在大数据时代,网络爬虫技术已经成为数据收集的重要手段之一。爬虫技术可以自动化地从互联网上收集数据,节省大量人力和时间成本。然而,当使用需要身份验证的代理服务器时,许多现有的爬虫框架并不直接支持代理认证。这就…

5.1网安学习第五阶段第一周回顾(个人学习记录使用)

本周重点 ①日志检测与HIDS系统 ②Wazuh的应用 ③Wazuh配合syslog的应用 ④Wazuh配置邮箱预警 ⑤Wazuh与Elastic整合 ⑥Wazuh检测木马与配置 ⑦各类日志分析工具(详见笔记) 本周主要内容 ①日志检测与HIDS系统 一、安全服务工程师岗位职责 网络安全服务工程师的职责主…

【Sync FIFO介绍及基于Verilog的实现】

Sync FIFO介绍及实现 1 Intro2 Achieve2.1 DFD2.2 Intf2.3 Module 本篇博客介绍无论是编码过程中经常用到的逻辑–FIFO;该FIFO是基于单时钟下的同步FIFO; FiFO分类:同步FiFO VS 异步FiFO; 1 Intro FIFO可以自己实现,但…

mysqldump提示Using a password on the command line interface can be insecured的解决办法

mysql数据库备份一句话执行命令 mysqldump --all-databases -h127.0.0.1 -uroot -p123456 > allbackupfile.sql 提示如下提示 [rootyfvyy5b2on3knb8q opt]# mysqldump --all-databases -h127.0.0.1 > allbackupfile.sql mysqldump: Couldnt execute SELECT COLUMN_NA…

Unity Miscellaneous入门

概述 在Unity中有非常多好用的组件,也是Unity为我们提供的方便的开发工具,它的功能可能不是主流的内容,比如渲染,音乐,视频等等,所有Unity把这些内容统一归到了一个杂项文件组中。 Unity组件入门篇总目录-…

[AI Google] 10个即将到来的Android生态系统更新

新的体验带来了更强的防盗保护、手表电池寿命优化,以及对电视、汽车等的娱乐功能改进。 昨天,我们分享了Android如何以人工智能为核心重新构想智能手机。今天,我们推出了Android 15的第二个测试版,并分享了更多我们改进操作系统的…

经纬恒润第三代重载自动驾驶平板车

随着无人驾驶在封闭场地和干线道路场景的加速落地,港口作为无人化运营的先行者,其场景的复杂度、特殊性对无人化运营的技术提出了各种挑战。经纬恒润作为无人驾驶解决方案提供商,见证了港口在无人化运营方面的尝试及发展,并深度参…

elementUI使用el-tabs加el-form导致页面崩溃以及el-form里的input事件丢失问题

elementUI使用el-tabs加el-form导致页面崩溃以及el-form里的input事件丢失问题 解决 el-form外面包一层el-row和el-col,el-tabs也包一层 el-fom e-tabs

《基于Jmeter的性能测试框架搭建》改进一

《基于Jmeter的性能测试框架搭建》文末笔者提到了不少待改进之处,如下所示。 Grafana性能图表实时展现,测试过程中需实时截图形成测试报告,不够人性化。解决方案:自动生成测试报告并邮件通知。 Grafana性能图表需测试人员实时监控…

设计模式使用(成本扣除)

前言 名词解释 基础名词 订单金额:用户下单时支付的金额,这个最好理解 产品分成:也就是跟其他人合做以后我方能分到的金额,举个例子,比如用户订单金额是 100 块,我方的分成是 80%,那么也就是…

《Fundamentals of Power Electronics》——开关电源环路稳定性分析(下)

第二步:我们把控制到输出传递函数的波特图画出来,此时有相位和增益; 第三步:我们已经掌握了一个电源要稳定需要什么样的稳定性条件;

从0开始写一个环境保护网站的第3天(JAVAWEB)

1.目标 实现首页的环境保护原因的查询,和底部友情连接部分 2.实现 2.1建立数据库表格(这里数据全是百度查询) 环境保护原因表: 友情连接表:(数据来源https://zhuanlan.zhihu.com/p/696243646) 2.2前端部分可以自己写,但是我一般都是用框架中的控件,这里用的是boot…

机器学习模型可视化分析和诊断神器Yellowbrick

大家好,机器学习(ML)作为人工智能的核心,近来得到巨大应用,ML是使计算机能够在无需显式编程的情况下进行学习和预测或决策。ML算法通过学习历史数据模式,来对新的未见数据做出明智的预测或决策。然而,构建和训练ML模型…

Jmeter示例参数化

Jmeter示例 1.Jmeter第一个案例操作步骤 2.重点组件线程组1.添加线程组2.线程组的特点3.线程组的分类4.线程组参数详解在取样器执行错误后要执行的动作线程属性调度器配置 5.http请求6.查看结果树 3.Jmeter 参数化1.用户定义的变量场景操作步骤 2.CSV数据文件设置场景操作步骤参…

idea中显示git的Local Changes

1. 第一打开idea中的Settings文件 2. 找到Version Contro中的commint 3. 取消勾选应用即可 4. 本地提交就会显示出来

eNSP小练习一枚

问答看到的,随便敲了敲,希望各路大佬不吝赐教~ 话说现在的问答全是ai,乌烟瘴气的 首先配置全互通,ip vlan 端口隔离 ospf啥的 SWA # vlan batch 10 20 30 99 # interface Vlanif1ip address 10.1.1.2 255.255.255.0 # interf…

Linux--09---RPM 、YUM

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 RPM1 什么是RPM2 RPM包的名称格式3.RPM查询命令4.RPM卸载命令5.RPM安装命令 YUM1 什么是YUMYUM优势1.自动下载RPM包并且安装2.自动处理依赖性关系,并且一…

西门子CPU与汇川伺服通信与控制

西门子CPU与汇川620F伺服通信与控制 一、西门子CPU与汇川620F伺服通信与控制1、器件准备2、伺服软件设置3、PLC添加汇川伺服描述文件4、PLC编程调试5、总结 二、西门子s7-1500限位信号接到伺服的方法1、通过默认报文获取限位信号2、添加自定义报文获取限位信号3、总结 三、西门…