LockBit勒索攻击大杀四方:金融、能源等成重灾区-专家:应加强企业员工安全意识
2023-11-22 08:31:21 Author: 黑白之道(查看原文) 阅读量:10 收藏

近期以来,针对金融、能源等关基行业的勒索攻击,又开始全球发酵。不久前,某金融机构在官网发布声明称遭受了勒索软件攻击,导致部分系统中断,LockBit组织确认对本次攻击负责。奇安信服务器安全专家提醒,LockBit勒索家族号称加密最快的勒索软件,包括波音公司在内,超过千家企业遭受LockBit勒索软件攻击。

图源于网络

金融、能源等行业更易受到勒索攻击

值得注意的是,这并非LockBit今年头一次发动扰乱全球金融体系的网络攻击,八个月前,ION Trading UK(一家为全球衍生品交易者提供服务的公司)遭遇LockBit勒索软件攻击,导致市场瘫痪,迫使其手动处理每天数千亿美元的交易。

众所周知,金融安全是国家安全的重要组成部分,是经济平稳健康发展的重要基础。与此同时,金融行业由于业务系统的复杂性,以及对数字化的高度依赖性,导致其容易受到勒索软件的攻击,且受到的损失更大。今年的一份报告估计,汇总全球自2018年以来的数据,金融业因勒索软件攻击造成宕机的经济影响高达323亿美元。而且,有报道称发生在金融业的勒索软件攻击正在增加。据SOCRadar在2023年上半年的统计,在勒索软件攻击的前十大目标行业中,金融业排名第7。
除了金融行业之外,同为关乎国计民生的能源行业也是勒索攻击的主要目标。国外网络安全公司发布了《针对能源行业的勒索软件攻击呈上升趋势-核能、石油和天然气是2024年的主要攻击目标》,总结了其发现的勒索软件攻击趋势。其中,针对能源行业的勒索软件攻击显着增加。在北美、亚洲和欧盟(EU)都发现了恶意活动。网络犯罪分子瞄准了这一领域,他们的行动假设是,由于涉及的数据资产价值更高,他们可以索取更有利可图的赎金。该公司报告显示,针对能源公司的勒索软件运营商将继续将勒索要求提高到700万美元以上。

奇安信服务器安全团队研究发现,2022年,LockBit成为最活跃的勒索软件团伙,拥有全球植入最多的勒索软件变种,并在2023年持续在全球发酵,根据其他网络机构的数据,2022年,大约六分之一的针对美政府办公室的勒索软件攻击由LockBit组织负责。遭受LockBit攻击的行业涵盖多个领域,包括金融业、制造业、能源、政府、医疗、教育、运营商等。

目前的LockBit不断演进迭代,经历了多个版本,现在主流的LockBit 3.0是勒索软件LockBit 2.0和 LockBit的延续,同时LockBit也将BlackMatter和 ALPHV(BlackCat Ransomware)等其他勒索软件集成到LockBit3.0中,更重要的是,有组织观察到LockBit利用工具进行二次勒索事件。

LockBit最常用的攻击手段,包括了利用钓鱼邮件攻击、利用系统漏洞攻击(例如永恒之蓝、log4j、OA漏洞等)、利用安全漏洞攻击(如弱口令、远程代码执行等网络产品安全漏洞)、利用远程登录攻击、利用网站挂马传播、利用移动介质传播、利用软件供应链传播、利用远程桌面入侵传播等,由于攻击手法多样,给网络安全防护造成极大的难度。

日前,工行在美全资子公司ICBCFS在声明中提到,“由于遭勒索软件攻击,导致部分系统中断。在遭遇勒索病毒攻击后,已隔离系统。”北京明朝万达科技股份有限公司助理总裁兼研发中心总经理安鹏向记者解释称,病毒都会有攻击链路,一开始黑客只能攻击外围系统,比如某一台办公电脑、邮箱系统等。因为这些外围系统暴露面较多,很容易入侵进去。

但是继续入侵,IDS系统(入侵检测系统)或防火墙可能就会起到作用。此次事件中,可能ICBCFS末端设备的一些杀毒软件、沙箱或者蜜罐技术已经检测到入侵行为,并及时进行阻断,以降低损失。
“病毒的传播是从一台设备到另外一台设备,这个过程是通过网络通信进行的。传播的过程,首先恶意软件会有一个扫描系统,探测与之相同网络域里有哪些IP地址。然后,向这些IP地址发送探测报文,根据探测报文返回的结果,确定哪些系统有脆弱性,比如操作版本比较低,或没打‘补丁’。而后针对性地攻击这个系统,利用漏洞远程执行代码,将这个系统变为跳板机,再去探测攻击与之有网络连接的设备,一步步渗透到系统内部。所以,只有当系统内部确实有漏洞和脆弱性,病毒才能进得去。”
此外,安鹏进一步补充,“如果采取物理隔离的方式,病毒失去了传播途径,再怎么传播也只能局限在外围,无法进入系统内部。所以通过网络隔离的方式,肯定是可以阻止勒索病毒进入到内部系统的。”
上海银联的王工程师告诉《每日经济新闻》记者,“目前银行的核心系统,一般情况下都会采用‘主+备’的机制,系统不会设置在同一个地方。虽然不清楚此次工银美国系统为何受攻击,以及受攻击后采取了哪些应对措施,但银行系统的应对流程大差不差。从官方声明来看,业务没有受太大影响,很可能是灾备系统起了作用。此时勒索软件再去攻击的话,由于无法及时获取到灾备系统的IP信息和网络策略,从而失败。”
值得注意的是,这起事件的主角之一,“勒索病毒”究竟是什么呢?有业内人士比喻称,“如果自己存放重要资料的抽屉被他人上了锁,锁上贴着字条——‘交赎金拿钥匙’,这就是‘勒索病毒’。”
安鹏在接受《每日经济新闻》记者采访时表示,“勒索病毒”其实是一种恶意软件,与普通计算机的病毒传播类似,勒索病毒也可以通过网络传播,感染计算机。勒索病毒发作时,可以加密用户的文件,也可能阻止用户访问计算机操作系统,或文件目录。黑客将本来用于保护用户数据的加密技术,反向用于勒索,用户只有通过交赎金的方式获取密钥,才能解开被加密的数据。
记者注意到,近年来勒索病毒肆无忌惮四处攻击,不少金融机构都成为其下手目标。深圳市网络与信息安全行业协会在其公众号上发布,仅在2022年,全球多家保险、银行乃至央行成为勒索病毒的攻击目标。例如:2022年1月,印尼央行遭勒索软件袭击,超13GB数据外泄;2022年3月,保险业巨头AON遭网络攻击,不过该事件并未对公司业务、运营和财务状况产生重大影响;2022年5月,赞比亚央行遭勒索软件攻击,部分系统中断服务;2022年11月,澳大利亚医疗保险巨头Medibank遭勒索软件攻击,网络犯罪团伙有关的攻击者已经泄露了大量公司的敏感信息,包括客户的个人信息和健康数据等。
如今,随着加密货币兴起,这一病毒更加难以溯源,至今仍然活跃异常。安鹏表示,勒索病毒的“活跃”与比特币等通过区块链技术制作的支付货币有关。
以前,黑客要收赎金就要提供账号,容易在这个环节暴露身份;现在,黑客要求用比特币的方式支付,因为比特币是一种加密货币,可以在互联网上以匿名的方式交易,所以很难溯源。据介绍,在区块链的系统内,所有交易信息都以哈希值(用以标识加密信息的字符串)的形式呈现,不可篡改也难以溯源。
难以溯源,犯罪成本就变得很低;比特币等可以交易,存在利益链条。但这也不是完全无法追踪,安鹏指出,“比如,由比特币转换成实际货币的过程,会留下交易记录,可以针对一些异常线索,展开追踪。”
除了“勒索病毒”,还要关注哪些“攻击”?业内:每月都要定期更新,查漏洞打“补丁”
此次事件发生后,记者采访了某大行渠道部陈经理。陈经理告诉记者,近期,他所在的银行总行专门下发邮件,要求全行加强网络安全意识。邮件指出,要加强银行核心系统病毒库的升级、及时更新,并着重强调各级机构加强网络安全监控,务必做到互联网终端与内网的隔离。同时,进一步提升员工安全意识,比如日常工作中不要点击来历不明的邮件链接、安全使用U盘等事项。

No news is good news

是一句很有哲理的话。

我们都希望这个世界充满peace&love,可网络安全却偏偏不让我们省心。

比如某银行遭遇勒索攻击损失XX亿;某员工因误点钓鱼邮件致公司信息泄露......

很多组织把这类新闻视为“偶然事件”,直到有更多的安全事件相继发生:

1

2023年11月

上海某家装公司员工陈某利用职位之便,多次在家中登录公司客服系统,以60元一条的价格出售客户信息,不仅遭到投诉,还导致多名客户流失。

2

2023年10月

菲律宾某健康保险公司服务器大量个人数据被窃取,受害者达数百万人。有匿名黑客在社媒上表示,该网站后台的管理员密码居然只是Admin123……

3

2023年9月

微软在GitHub发布开源训练数据时意外暴露38TB的其他内部数据,其中包含数百名Microsoft 员工超过 30000条Microsoft Teams内部消息。

4

2023年8月

南昌某高校在开展数据处理活动中,由于数据安全管理制度不健全,导致存储教职工信息、学生信息的数据库被黑客非法入侵,被罚款80万。

5

2023年7月

某公司运维工程师殷某将约2500万条客户信息拷贝到自己的电脑中,在互联网平台进行售卖,导致公司遭受严重的经济和荣誉损失。

6

2023年6月

中信银行哈尔滨和平路支行因对理财POS机管理不力,原员工利用理财POS机管理漏洞违规划转并侵占客户资金等违法行为,被罚款30万元。

7

2023年5月

两名特斯拉前员工违反了公司的IT安全和数据保护政策,盗用了这些信息,并将其分享给媒体,导致公司收到了数千份的客户投诉。

8

2023年4月

平安人寿几名电话客服先后查询保险客户个人信息,并售卖给他人赚取利益,从中非法获利共计近27万元。最终平安人寿因管理不到位被罚款10万元。

9

2023年3月

浙江某公司为政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将敏感数据擅自上传至公有云,造成了严重数据泄露。最终被罚款100万元。

10

2023年2月

某铝业公司内部服务器遭到恶意攻击,服务器数据被恶意删除,导致系统崩溃。经调查,确定为前网络主管因被辞退缠身不满所为,该事件给企业造成巨大经济损失。

11

2023年1月

东莞某机械有限公司高管、工程师合伙窃取机械图纸,后自行生产、销售冲孔机,致使该公司损失上千万元。

事实证明,人是网络安全最大的“漏洞”,人员已成为全球网络攻击的主要媒介。

正如Verizon2022年数据泄露调查报告所揭示的,现在对企业构成最大风险的是人,而不是技术。有效的安全意识计划已经成为人为风险管理的关键所在,也是投入产出比最高的网络安全投资。

您的组织是否存在遭遇潜在网络攻击的可能?

您的员工是否存在不安全的办公行为?

如果存在,又该如何去防范呢?

众所周知,在当前严峻的市场环境下,越来越多的企业走上了降本增效的道路。为此承制特推出网安意识宣贯 toB 大狂欢活动:

北京承制科技专注于网络安全“人的因素”,网络安全意识教育是公司的六大核心业务之一。承制科技自成立至今,一直以全球化的视野,致力于研发国际一流的创新互动型及员工友好型的网络安全意识教育产品和服务。

我们始终明白,帮助组织提升员工安全意识水平仅仅商业行为,更是承制科技在网络安全行业的责任、担当和使命。因此,我们希望与众多合作伙伴彼此守望、抱团取暖,在变化多端的市场环境中,携手应对挑战!

往期推荐

实施喜讯 | 承制科技协助某大型汽车制造企业完成宣传周活动

迈向国际!承制与某跨国企业达成MG安全意识内容系统采购协议

对标KnowBe4!承制Mind4All旗下安全意识内容系统Mental Gear震撼上线

出海东南亚!承制科技亮相第九届亚洲网络安全展览会

扫码参与

网安意识ToB大狂欢活动

服务电话/微信:13810396860


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650582526&idx=1&sn=a063b0b6c09050c6b7028f749d9df808&chksm=83bdc81ab4ca410cc97c54a4f4ab0b07b020d3abbbadaa0df229e03f3570ecab94bd72065ce4&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh