近日,騰訊安全正式對外發布《2020上半年勒索病毒報告》(以下簡稱“報告”)。《報告》顯示,上半年全球大型企業遭受勒索病毒打擊的事件依然高頻發生。新型勒索病毒層出不窮,技術上不斷進化,呈現五大最新攻擊態勢。騰訊安全也提供從威脅情報到安全產品的整體防護解決方案,協助企業抵禦勒索病毒攻擊。
報告重點內容如下。
01 勒索病毒危害半年概覽
-
勒索病毒產業鏈針對政企目標的精確打擊、不斷革新的加密技能、規模化的商業運作,正在世界範圍內持續產生嚴重危害。
-
整體來看,2020上半年依舊十分活躍,但勒索病毒總的感染情況較去年略有下降。
-
從地區分佈看,廣東、浙江、山東、河南、上海最爲嚴重,其它省份也有遭受到不同程度攻擊。
-
從影響行業看,傳統企業、教育、醫療、政府機構遭受攻擊最爲嚴重,互聯網、金融、能源也遭到勒索病毒攻擊影響。
02上半年勒索病毒攻擊的主要特點
1.攻擊精準,迫使受害者就範
活躍勒索病毒團伙,越來越多地將高價值大型政企機構作爲重點打擊對象。爲了追求利益最大化,多數情況下,攻擊者在攻陷企業一臺網絡資產之後,會利用該資產持續滲透攻陷更多資產,之後大量植入文件加密模塊,從而迫使企業在業務系統大面積癱瘓的情況下繳納贖金。
2.不付贖金就公開企業機密
爲避免勒索失敗,攻擊者採取了新的勒索策略:先竊取政企機構敏感數據,之後再對企業資產進行加密。如果企業拒絕繳納贖金解密,就在暗網“恥辱牆”頁面公開企業部分敏感數據進一步實施勒索,如果企業依然拒絕繳納贖金,勒索團伙會直接公開所竊取的企業敏感數據。
3.殭屍網絡成勒索病毒傳播中堅力量
爲了對攻擊目標進行精準打擊,很多勒索病毒會利用殭屍網絡龐大的感染基數進行迅速擴張。新開發出的勒索家族爲了快速切入市場,也會選擇與殭屍網絡進行合作以獲得市場知名度。
4.勒索病毒技術升級
經過長期的演變,勒索病毒技術上越發成熟,作者也在加密流程的細節上進行優化,從早期的單線程文件加密到針對每個磁盤分區進行多線程加密;從單一的x86可執行病毒版本到增加x64可執行版本等等,受害者更加難以察覺。
5.多病毒投放,中文化定製
據觀察發現,有攻擊者開始與多個勒索病毒家族合作,以避免單一病毒由於安全環境等問題導致的加密失敗。同時,更多的勒索病毒開始針對國內市場做優化,例如增加中文版本的勒索信件等。