勒索病毒|哪些行业成勒索攻击重灾区？《深信服2021年度勒索病毒态势报告》重磅发布( 二 )

文章插图
△海外重要政策和举措
但遗憾的是，勒索病毒攻击事件并没有就此减少，新型勒索病毒不断冒头，老牌勒索团伙宣称退出运营只是为了暂避风头，改名换姓后重出江湖。
据深信服安全专家接到的勒索攻击咨询情况来看，2021 年全年勒索病毒活动数量仍然持续高走，勒索攻击咨询数据中，勒索病毒家族种类增加了约 80%。

文章插图

安全攻防是一场没有尽头的战争，而勒索病毒攻击则是战场上烧不尽的“野火”。
勒索病毒攻击演变趋势，须“窥一斑而知全豹”在《2021上半年勒索病毒趋势报告》中，深信服安全专家提到了勒索病毒攻击的“三大演变趋势”，从勒索方式、攻击方式以及目标平台三个方面总结了勒索病毒近年来的演变特点，详情点击链接查看：《深信服「2021上半年勒索病毒趋势报告」：一场全球爆发“流行病”需要这份“防疫药方”》
除了整体的大演变趋势外，勒索团伙也时刻跟进热点、注重创新，无论是在攻击阶段，还是在执行勒索加密阶段，都融合了一些新的技术手段，在2021年出现了四个小演变趋势。
Apache Log4j2 “核弹级”漏洞加持
深信服安全云脑数据显示，截至2021年底，利用该漏洞的攻击已超千万次，深信服成功帮助6000多家用户阻断非法入侵，并捕获Tellmeyoupass、Mirai、z0miner、H2miner、BillGates等十几个黑产组织。
从“永恒之蓝”到Apache Log4j2组件漏洞可以看出，勒索团伙对新型漏洞的捕捉非常迅速，但其感染数据反映了当前仍存在大量主机没有针对常见高危漏洞进行合理加固的现象。由此针对Apache Log4j2漏洞，不得不引起高度重视，详见深信服往期分析：《再曝3个高危漏洞！Apache Log4j 漏洞1个月回顾：警惕关键信息基础设施安全》
浏览器漏洞陷阱
从2021年11月开始，深信服终端安全专家监测到一款名为Magniber的勒索病毒，该攻击团伙通过网页挂马、恶意广告等方式，让用户在不知不觉中访问了带攻击代码的恶意链接，触发浏览器漏洞后自动下载执行勒索病毒。该团伙目前主要利用到的漏洞有CVE-2021-26411与CVE-2021-40444，执行远程命令下载恶意DLL再注入白进程进行加密。

文章插图

文章插图
“白+黑”绕过检测在2021年的勒索病毒跟踪中，深信服终端安全专家发现了2种“白+黑”利用方式，一种是常见的DLL注入，而另一种则是直接利用微软的编译程序直接编译执行加密代码，例如aspnet_compiler.exe。

文章插图
△攻击者释放恶意代码目录下的aspnet_compiler.exe
MSSQL暴力破解入侵
在2021年的勒索病毒攻击事件攻击中，深信服安全团队跟踪发现，GlobeImposter勒索病毒已经利用MSSQL暴力破解进行入侵攻击，暴力破解成功后，通过存储过程执行系统命令，使用cmd命令或powershell命令下载病毒执行勒索病毒。由于MSSQL服务所关联的业务通常较为重要，一旦入侵成功，攻击者可以选择投放后门程序进一步人工渗透，也可以直接通过自动化的执行命令下载运行勒索软件。

文章插图

△图片来源于深信服EDR检测日志
深信服提醒：科学“抗病毒”，预防姿势分两步
勿以“勒索”为小事，积小疾而成大患。
要想科学“抗病毒”，预防姿势分两步。