12日,全球爆发新型比特币勒索病毒,名为Ransom.CryptXXX(WannaCry)。赛门铁克针对WannaCry发布全球预警后,15日又进一步更新了预警信息。
其实勒索病毒的发展演进一直是赛门铁克关注的重点之一,在赛门铁克发布最新的第22期《互联网安全威胁报告》(ISTR)中显示,随着勒索软件的不断升级,网络攻击者能够获得更加丰厚利润,导致这种恶意软件成为一个全球性问题。从近期发生的 WannaCry勒索软件的特性可以看出,这不是一个偶然爆发的全球性勒索软件攻击。据介绍,2016年,赛门铁克共监测到超过100个肆意传播的新型恶意软件家族,2015年的此数字也仅仅是30,数量翻了三倍之多。
赛门铁克于5月11日至15日检测到WannaCry的热度 (图)
关于赎金,攻击者所要求的平均赎金也急剧增长,2016年,勒索软件的平均赎金较往年激增 266%,赎金金额从2015年的294美元攀升至1,077美元,单台设备所要求的最高赎金竟高达28730美元。在全球范围内,勒索软件攻击事件的数量较去年增长了36%。赛门铁克公司大中华区首席运营官罗少辉补充表示:“美国依然是勒索软件攻击锁定的头号目标国家。”有意思的是,赛门铁克发现,64%的美国勒索软件受害者更情愿支付赎金,相比来说,全球范围只有34%的受害者愿意支付赎金。实际上,同意支付赎金反而导致了更加严重的后果——攻击者更加猖獗。
罗少辉补充:“目前,勒索软件的针对目标依然以消费者为主,这是因为用户对于电脑防护的安全意识较低,对电子邮件的链接点击一般比较随意,所以受到攻击的情况是相对严重的。”WannaCry爆发时在网络中快速传播,个人计算机有可能受到感染,但是企业机构面临更高的风险。针对企业进行勒索的比例目前占30%的比例,安全形势依然较为严峻。
赛门铁克公司大中华区首席运营官罗少辉
回到我国,中国主要的安全威胁是僵尸网络,垃圾邮件以及网页攻击。就勒索软件来讲,按地区排名,中国是排在第五位,全球排名是16位。刚爆发的WannaCry在全球范围内的重灾区也在欧洲。所以,全球占比,勒索软件在中国不算是最厉害,反而是僵尸网络以及网络钓鱼攻击在中国的比例更大。罗少辉强调,中国遭遇恶意邮件的比例相对全球而言更高。ISTR报告中指出,2015年,平均每393封邮件才有一封恶意邮件,但2016年,恶意邮件的比例为1:63,有6倍的增长。
除了勒索软件的攻击态势,第22期ISTR报告还对全球威胁活动、网络犯罪趋势以及犯罪动机进行了深度调查研究。接下来,我们简单概括的了解一下赛门铁克为企业和消费者提供的威胁环境“全视图”。
- 攻击者使用常用软件作为“武器”,电子邮件成为首选
2016年,网络攻击者使用PowerShell和微软 Office 文件等常用软件作为攻击武器。电子邮件也已经成为网络攻击者实施感染的首选途径,对用户的安全构成了严重威胁。
“使用常见IT工具进行攻击,既不容易留下犯罪痕迹,同时能够更好地躲避普通检查。”罗少辉解释到,赛门铁克发现,PowerShell被攻击者广泛使用,95%为恶意邮件。此外,借助电子邮件进行感染的比例同样增加,对用户的安全构成了严重威胁。赛门铁克发现,电子邮件中包含恶意链接或附件的比例为1:131——成为五年来最高比率。
- 针对性攻击从利益目的逐渐转向政治目的
网络罪犯正在实施具有政治色彩的破坏性攻击,以对新型攻击目标进行暗中破坏。犯罪分子专门针对具有高公开性的宣传活动,以此动摇和破坏目标企业与国家。
罗少辉提起乌克兰能源机构以及韩国遭遇的针对性攻击,还有影响美国大选的攻击事件,他表示,这些攻击过往偏重于为了获取利益,但从这些案例中我们能够看到两大趋势,第一,针对性攻击分化为破坏性攻击,和颠覆性攻击两种。破坏性攻击主要针对电力、能源等机构;颠覆性攻击对目的则在于将数据暴露出来,意图引起某些重大事件。罗少辉总结道:“犯罪分子正在试图影响政治,离间其他国家的趋势正在不断增加。”
- 网络银行盗窃手段愈发高明
新一代攻击者表现出对金融的巨大野心。尽管部分攻击事件是由网络犯罪组织所实施,但赛门铁克首次发现民族国家似乎也参与其中。赛门铁克公司大中华区总裁陈毅威谈到:“2016年在全球范围内,针对银行的攻击事件也发生了数起,我自己最深刻是台湾第一银行ATM机遭遇黑客入侵。”
据ISTR报告指出,到目前为止,大型金融抢劫案在虚拟世界不断发生,并造成了数十亿美元的损失。尽管部分攻击事件是由网络犯罪组织所实施,但赛门铁克首次发现民族国家似乎也参与其中。赛门铁克揭露了朝鲜试图攻击孟加拉国、越南、厄瓜多尔和波兰等超过30个国家的104家银行的证据,罗少辉感叹:“这是一次令人难以置信的大胆攻击,攻击者的攻击不仅限于一个银行,至少窃取了9,400万美元,而他们的设定目标甚至更高;这也是我们首次观察到民族国家参与金融网络犯罪的明显迹象。”
赛门铁克公司大中华区总裁陈毅威
- 云端安全出现‘裂缝’:云成为网络犯罪的下一个目标
企业对云服务的日益依赖,使得他们更容易受到攻击。2016 年,由于用户在互联网上将过期数据库保持开放状态,并且未开启身份认证,这导致数以万计的云数据库遭到劫持,并遭遇勒索。陈毅威严肃的表示:“云安全对于企业首席信息官(CIOs)来讲,依然是一项重大的挑战。”
报告指出,在调查时,当被问到“您企业所采用的云应用数量”时,CIO们的回答是“最多为40个”,但企业的实际应用数量已接近1,000个,企业尚且不能做到“知己”,又谈何“知彼”呢?罗少辉表示:“除非企业首席信息官能够严格控制企业内部所使用的云应用,否则未来将面临严重的安全威胁。”
- 只需2分钟,接入网络的物联网设备就会遭受攻击
2016年1月到12月,赛门铁克物联网蜜罐(Honeypot)受到的攻击增加一倍,从一月受到的每小时5次的攻击涨到每小时受攻击9次。报告用实际数据指明,物联网的安全问题日益严峻。
赛门铁克看到了物联网中存在的大量安全隐患,罗少辉表示,物联网目前没有系统加固,也没有更新机制,他还强调,默认或硬编的账号密码是物联网安全的“硬伤”。陈毅威也用实例指出:“小小的一个物联网设备,也许你从没想过它会与互联网攻击有关系,但由于默认用户名与密码的使用,黑客便轻而易举地发动了DDoS攻击,美国的Mirai系列攻击事件就是最好的例子。“
基于以上问题,赛门铁克给出了最基础,也最简单实用的安全建议。
对于企业:
- 部署安全解决方案:企业应该部署高级威胁情报解决方案,及时发现入侵信号并做出快速响应。
- 为最坏的情况做好准备:事件管理可以确保企业的安全框架得到优化,并具备可测量性和可重复性,帮助企业吸取教训,从而改善安全态势。赛门铁克建议,企业用户考虑与第三方专家开展长期合作,强化危机管理。
- 实施多层防护:实施多层防护策略,从而全面应对针对网关、邮件服务器和端点的攻击。企业应该部署包括双重身份验证、入侵检测或防护系统(IPS)、网站漏洞恶意软件防护及全网 Web 安全网关解决方案在内的安全防护。
- 定期提供关于恶意电子邮件的培训:向员工讲解鱼叉式网络钓鱼电子邮件和其他恶意电子邮件攻击的危害,采取向企业报告此类尝试性攻击的措施。
- 监控企业资源:确保对企业资源和网络进行监控,以便及时发现异常和可疑行为,并将其与专家所提供的威胁情报相关联。
对于消费者:
- 更改设备及服务的默认密码:在电脑、物联网设备和Wi-Fi网络中采用独特且强大的密码。
- 确保操作系统和软件为最新版本:攻击者通常会利用最新发现的安全漏洞进行攻击,而软件更新通常会包含修复安全漏洞的相应补丁。
- 谨慎对待电子邮件:电子邮件是网络攻击的主要感染途径之一。消费者应该删除收到的所有可疑邮件,尤其是包含链接或附件的邮件。
- 备份文件:对数据进行备份是应对勒索软件感染最有效的方式!
ISTR报告的出炉,和最后切实可行的网络安全防护建议,无一不显示了赛门铁克在全球范围内的网络安全防护水平,本期ISTR原版报告的下载地址也给看官您送
原文发布时间为: 2017年5月18日
本文作者:杨昀煦
本文来自合作伙伴至顶网,了解相关信息可以关注至顶网。