知名企业接连遭受勒索软件攻击,邮件安全警钟再次敲响

7月底,知名运动穿戴设备制造商Garmin遭遇勒索软件攻击,导致国际服务器瘫痪,大量穿戴设备无法同步数据,此次事故持续长达数日;

8月6日,佳能被爆遭遇毁灭性勒索软件攻击,多达10TB数据被盗,始作俑者正是曾攻击LG、施乐等多个大品牌企业的Maze勒索软件团伙。
……

短短几日,接连有国际知名企业遭受勒索软件攻击,给所有企业和机构又一次敲响警钟。对于企业而言,勒索软件攻击所造成的损失可能远远超过赎金,包括重要数据丢失或破坏、声誉受损以及核心业务被中断……每一项都能给企业带来毁灭性打击。

电子邮件作为网络攻击中最常见的手段,也成为传播勒索软件的主要途径之一。根据360反勒索服务数据,2019年勒索病毒传播方式中,邮件传播占比排名第二,高达12.8%,仅次于远程桌面入侵。

勒索病毒如何通过电子邮件传播?

据统计,约有91%的网络攻击是由电子邮件散布恶意链接和不可信任的文档散播进行恶意攻击,在新冠肺炎疫情期间,通过网络钓鱼(Phishing)和勒索软件(Ransomware)的恶意攻击增长5倍,此类攻击可能埋伏许久,在最适时机发动攻击,并非一朝一夕发生。

黑客通过不断扫描网络,找出计算机未修补的系统漏洞,或采用暴力破解方式,以远程桌面服务进行强制登入,目的就是要取得系统管理者权限,以便在企业计算机上安装勒索软件、进行大规模破坏与勒索,而为了要提高受害者付款机率,攻击者有可能会潜伏在企业一阵子。

此外,无论是个人还是商业用途,电子邮件应用都非常广泛,因此作为勒索软件的传播工具具备天然的普及性。即便在2020年,互联网用户整体安全意识仍然较差,往往会成为攻击者成功渗透进入企业内部系统的“漏洞”。

利用社交工程,攻击者伪装成简历、企业通知、发票等文档或者可执行文件类的钓鱼邮件,在附件中添加包含有恶意代码的脚本,一旦用户打开附件,系统便会自动执行恶意脚本释放勒索病毒;同时还可以通过大批量分发包含钓鱼网站地址的垃圾邮件,诱导用户进入网站下载恶意文件。

如果附件要求启用宏,也需要特别小心,这也是勒索软件传播的一种常见方式。

一旦被勒索软件感染,计算机或者服务器将可能无法正常访问,或者重要数据、文件被加密,进而被告知支付赎金后才可以解密文件、恢复系统正常运行。而支付赎金后是否能完全恢复数据,这也是个未知数。

以这次攻击佳能的Maze勒索病毒为例,其又被称为Chacha勒索病毒,在去年五月份被首次发现。

image001

Maze勒索病毒可以通过诱饵文档传播,其中包含恶意宏代码。启动宏代码会读取窗体中的数据,然后进行解析,其主要功能是下载Maze勒索病毒主体文件,对于不同的变种文件,其勒索主体文件下载地址和文件名称会发生变化。

image002

Maze勒索病毒运行后便会加密系统数据,而且加密完成后,病毒不会自动删除,而是循环播放文件被加密的录音,同时强制更改桌面背景图告知用户感染病毒需支付赎金。

如何预防邮件勒索病毒?

根据守内安与 ASRC 研究中心数据统计,2020年第二季度病毒邮件数量较上一季度增长了约60%,以夹带恶意 .img 文件为多,占了总量 1/3 以上。病毒邮件常用的压缩文件格式分别为 .ace 与 .rar,甚至比 Windows 内能解压缩的.zip压缩格式还要多。2020 年第二季度,守内安的客户服务事件同比增长了 35.6%。邮件攻击形势愈发严峻。如何辨认恶意邮件,防止感染勒索病毒,这里给出以下几条建议:

1、使用高效的电子邮件过滤系统

建议使用能防御病毒、未知威胁的电子邮件过滤系统,在遇到威胁邮件时,系统能发出提醒,让收件人提高警惕。该系统能保持实时更新,拥有完善的特征库、指纹库和恶意网址数据库云端差分更新技术。

此外,使用者不要忽略每一次系统发出的警告,合理设定重送、取回及白名单策略。

2、检查邮件发送者,确认邮件地址是否可信

一般来说,通过电子邮件传播恶意软件基本是广撒网的形式,通常仔细辨认邮件地址的来源能判断出是否为可信地址;当然,也不排除朋友或者同事的企业邮箱账号密码泄露,被攻击者利用来群发邮件,这种情况下最好事先跟本人确认邮件的真实性。

3、不要轻易打开不明来源文件

无论是邮件附件还是网站下载的文件,在无法确认来源是否安全的前提下不要轻易打开,尤其是Office文件、zip、rar等压缩包文件。如有必要,企业用户可以求助专业部门协助安全检查。

4、关闭Office宏服务

如果没有特别需求,可以关闭Office的宏服务,能够减少中招几率。

5、定期做好数据备份

为以防万一,个人和企业都应该定期备份重要数据、文件,有必要甚至可以多重备份。以便在发生紧急事故造成数据丢失或者被加密,能够尽快恢复正常工作。

6、企业安全意识培训不可忽视

在现在的网络安全体系中,人往往会成为最薄弱且最容易被忽视的部分。事实证明,多数网络攻击都是因为员工的安全意识薄弱才让攻击者趁虚而入。因此企业有必要加强员工安全意识培训,甚至可以严格要求其采用一些安全保护措施,例如开启邮箱的双重验证等。

守内安 SPAM SQR 以多层过滤机制对抗勒索病毒入侵

  • ASRC 威胁特征、指纹库及附件辨识技术,分级分类恶意邮件
  • 防毒引擎结合自动指纹辨识与ASRC 病毒特征,提供邮件双向扫描过滤,可以防堵病毒、蠕虫等恶意软件扩散
  • ADM 高级防御模块,深层防御 APT、BEC诈骗等新型态邮件攻击
  • 动态沙箱整合,可疑附件拆离传送至沙箱进行比对提高分析效能
  • 威胁邮件行为控管,降低误点击不当恶意网站或是执行恶意软件的风险

上一篇:印度正在制定新的国家网络安全战略

下一篇:美国酒业巨头遭遇勒索软件攻击