勒索病毒|哪些行业成勒索攻击重灾区？《深信服2021年度勒索病毒态势报告》重磅发布( 二 ) 努比亚Z40Pro|z40|磁吸|无线充电

除了整体的大演变趋势外，勒索团伙也时刻跟进热点、注重创新，无论是在攻击阶段，还是在执行勒索加密阶段，都融合了一些新的技术手段，在2021年出现了四个小演变趋势。
Apache Log4j2 “核弹级”漏洞加持
深信服安全云脑数据显示，截至2021年底，利用该漏洞的攻击已超千万次，深信服成功帮助6000多家用户阻断非法入侵，并捕获Tellmeyoupass、Mirai、z0miner、H2miner、BillGates等十几个黑产组织。
从“永恒之蓝”到Apache Log4j2组件漏洞可以看出，勒索团伙对新型漏洞的捕捉非常迅速，但其感染数据反映了当前仍存在大量主机没有针对常见高危漏洞进行合理加固的现象。由此针对Apache Log4j2漏洞，不得不引起高度重视，详见深信服往期分析：《再曝3个高危漏洞！Apache Log4j 漏洞1个月回顾：警惕关键信息基础设施安全》
浏览器漏洞陷阱
从2021年11月开始，深信服终端安全专家监测到一款名为Magniber的勒索病毒，该攻击团伙通过网页挂马、恶意广告等方式，让用户在不知不觉中访问了带攻击代码的恶意链接，触发浏览器漏洞后自动下载执行勒索病毒。该团伙目前主要利用到的漏洞有CVE-2021-26411与CVE-2021-40444，执行远程命令下载恶意DLL再注入白进程进行加密。

文章插图

文章插图
“白+黑”绕过检测在2021年的勒索病毒跟踪中，深信服终端安全专家发现了2种“白+黑”利用方式，一种是常见的DLL注入，而另一种则是直接利用微软的编译程序直接编译执行加密代码，例如aspnet_compiler.exe。

文章插图
△攻击者释放恶意代码目录下的aspnet_compiler.exe
MSSQL暴力破解入侵
在2021年的勒索病毒攻击事件攻击中，深信服安全团队跟踪发现，GlobeImposter勒索病毒已经利用MSSQL暴力破解进行入侵攻击，暴力破解成功后，通过存储过程执行系统命令，使用cmd命令或powershell命令下载病毒执行勒索病毒。由于MSSQL服务所关联的业务通常较为重要，一旦入侵成功，攻击者可以选择投放后门程序进一步人工渗透，也可以直接通过自动化的执行命令下载运行勒索软件。

文章插图

△图片来源于深信服EDR检测日志
深信服提醒：科学“抗病毒”，预防姿势分两步
勿以“勒索”为小事，积小疾而成大患。
要想科学“抗病毒”，预防姿势分两步。
STEP 1：免费享受勒索风险排查针对用户担忧业务安全、想了解业务现存风险的情况，深信服特推出“免费勒索风险排查”。从“高危可利用漏洞”、“高危端口”、“攻击行为”、“安全设备行为”的不同维度，安全专家将帮助用户深入排查勒索利用的脆弱项，提前预知入侵风险，同时免费送上专家级安全加固方案，更有详细操作指引。报名成功后，0.5天即可部署上线，3天内即可完成围绕勒索病毒入侵全流程的风险排查。

文章插图
STEP 2：贴心制定“健康方案”深信服全新升级的勒索病毒防护解决方案，以“安全设备+勒索预防与响应服务”为基础，围绕边界投毒+病毒感染+加密勒索+横向传播的完整勒索攻击链，全面帮助用户补齐在勒索预防、监测、处置能力方面的缺失，构建有效预防、持续监测、高效处置的勒索病毒防护体系。

文章插图

3大优势，强力对抗勒索病毒1. 7*24 小时持续监测，微信告警推送全程保护
本地勒索病毒攻击、感染、传播等全攻击链检测机制，云端安全专家7*24小时勒索病毒监测预警体系，勒索威胁微信告警推送，全程保障用户业务安全。
2. 5 分钟快速响应，多设备联动高效处置
服务专家在线 5 分钟响应，多款安全设备联动快速隔离遏制勒索病毒。线上线下协助用户精准溯源排查，彻底根除勒索病毒，高效处置全面降低用户损失。
3. 专项检测、专家定期全面排查，有效预防
专项的勒索预防 Checklist，服务专家定期开展勒索风险排查，确保勒索风险全面可视。安全设备内置勒索病毒对抗专项配置及加固，勒索病毒防御更有效。
雷峰网