Fireeye勒索软件部署趋势分析

安全 网站安全
勒索软件是一个远程数字化恶意软件,具有破坏性强和经济影响高,影响范围广的特点,从尖端空间技术公司到羊毛工业,再到工业环境都受其影响。

勒索软件是一个远程数字化恶意软件,具有破坏性强和经济影响高,影响范围广的特点,从尖端空间技术公司到羊毛工业,再到工业环境都受其影响。近期,勒索软件将数据加密与数据泄露相结合,增加对受害者的影响。Mandiant情报研究表明,关键领域的防御力与行动力,可能会让组织遭受署勒索软件攻击前阻止其行为。

Mandiant Intelligence回顾了2017年至2019年数十起勒索软件事件调查。通过这项研究,从初始入侵向量、驻留时间和勒索软件部署中识别出一些共同的特征。还发现攻击者在利益最大化上的创新(图1)。所有事件影响到了北美、欧洲、亚太和中东几乎所有行业组织,包括金融服务、化学材料、法律和专业服务、地方政府和医疗保健等。

这些事件使我们对勒索软件发展趋势有了更深入的了解,但这些数据只是所有活动的样本。例如,从2017年到2019年,勒索软件事件增加了860%。这些事件中的大多数是被入侵后发生感染勒索行为,攻击者正在利用入侵勒索的策略增加支付赎金的可能性。还观察到勒索软件被立即执行的事件,例如GANDCRAB和globeimparter,但大多数受害者被入侵时间较长,且在被入侵后部署了勒索软件。

1. 常见初始感染载体

多个勒索软件事件中的几个初始感染媒介:包括RDP、带有恶意链接或钓鱼邮件,以及通过下载恶意软件来进行后续活动。2017年观察到RDP更频繁,2018年和2019年有所下降。这些攻击向量表明勒索软件可以通过各种方式进入受害者环境,不是所有这些攻击方式都需要用户交互。

(1) RDP或其他远程接入

最常见得攻击向量之一是通过远程桌面协议(RDP)登录到受害者的系统,RDP登录是受勒索软件感染前的第一个证据,目标系统可能使用默认或弱凭据,攻击者通过其他未察觉的恶意活动获取有效凭据,攻击者通过暴力破解获取登录凭据或者向其他组织个人购买了RDP访问权限。

(2) 钓鱼链接和附件

大量勒索软件案件与网络钓鱼有关,这些活动出现了一些以经济获利为目的的恶意软件家族:TRICKBOT、EMOTET和Factedamyy。

(3) 恶意文件下载感染

几起勒索软件感染可追溯到受害者访问恶意网站导致DRIDEX感染。在2019年10月发现受感染的Web基础设施,这些基础设施提供了FAKEUPDATES,DRIDEX等恶意文件。

2. 感染时间

大多数勒索软件部署发生在感染后的三天或三天以上,从第一次发现恶意活动到部署勒索软件之间经过的天数从0到299天不等(图2)。驻留时间的范围很长,基本上第一次访问和勒索软件部署之间存在时间间隔。在75%的事件中,从最初的恶意活动到勒索软件部署之间要经过三天及以上。

表明许多组织如果能够快速检测、控制和补救,就可以避免勒索软件感染造成重大损害。几项调查发现有证据表明勒索软件安装在受害者机器中,但尚未成功执行。

3. 部署时间

勒索软件通常在下班后部署,在审查的76%的事件中,勒索软件是在周末或上午8:00之前下午6:00之后执行的,如图3和图4。

一些攻击者可能有意选择在下班后,周末或节假日期间部署勒索软件,最大程度发挥其有效性。 在其他情况下,攻击者将勒索软件部署与用户操作关联。 例如,在2019年针对零售和服务公司攻击事件中,攻击者创建了Active Directory组策略,可根据用户登录和注销来触发勒索软件。

4. 意见建议

 

  • 企业需要使用电子邮件和主机的安全产品,预防和检测常见的恶意软件,例如TRICKBOT,DRIDEX和EMOTET。
  • 快速遏制和补救感染,防止攻击者进行后续活动或出售访问权。
  • 网络外围和防火墙规则审核,识别任何无法访问Internet的系统。 禁用RDP和其他协议,启用多因素身份验证,尤其是可通过Internet访问的连接。
  • 强制实施多因素身份验证,不允许尚未设置多因素机制的用户进行单因素身份验证。
  • 定期对所有员工进行反网络钓鱼培训。
  • 尽可能实施网络分段,防止潜在的感染扩散。
  • 关键数据备份,确保业务连续性;必要时异地存储,攻击者经常将备份作为目标。
  • 限制本地管理员帐户使用特定的登录类型。
  • 使用LAPS解决方案为每个系统生成唯一的本地管理员密码。
  • 禁止将明文密码存储在内存中。
  • 考虑勒索软件感染网络保险。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-10-24 12:01:32

勒索软件恶意软件安全

2021-05-19 10:13:17

勒索软件勒索赎金网络攻击

2021-05-21 10:10:26

勒索软件勒索赎金网络攻击

2011-07-26 10:09:07

组策略软件部署

2019-12-12 13:50:27

strace追踪系统调用Linux

2022-09-01 09:41:20

勒索软件网络攻击

2021-03-02 10:17:09

勒索软件Nefilimr网络安全

2019-08-21 08:29:23

云计算内部部署软件

2014-06-11 17:00:05

Docker开源

2020-05-09 10:01:51

LockBit勒索软件网络设备

2022-04-27 11:12:14

自动驾驶开发技术

2021-03-04 09:23:16

勒索软件FBIDoppelPayme

2018-10-18 09:27:00

勒索病毒网络攻击网络安全

2022-09-11 12:36:52

Lockbit勒索软件

2021-06-01 11:01:08

勒索软件发展分析反勒索软件日

2020-12-02 13:28:56

勒索软件漏洞网络攻击

2021-11-26 11:50:54

勒索软件恶意软件安全

2022-10-13 11:33:19

勒索软件加密

2017-02-27 16:57:58

点赞
收藏

51CTO技术栈公众号