上周,美国最大的成品油管道运营商Colonial遭到勒索软件攻击,被迫关闭所有石油管道作业,一时间成为国内外关注的焦点,引发国内外对国家重点基础设施建设的高度重视。美国最大成品油管道公司遭勒索软件攻击5月8日,据外媒《纽约时报》报道,美国最大成品油管道公司ColonialPipeline遭到勒索软件攻击。为避免造成更大影响,公司已主动切断部分系统网络,暂停所有管线作业。目前,尚不清楚这起事件的幕后黑手是谁。路透社援引业内人士的话称,实施网络攻击的黑客很可能是专业的网络犯罪团伙。美国政府9日宣布进入紧急状态,解除对燃料运输的各种限制,确保石油产品可以通过公路快速运输。疑似勒索软件DarkSide发起攻击虽然目前还无法证实美国最大的输油管道遭受了何种勒索软件攻击,但从该公司的声明中可以得知,这家最大的输油管道公司关闭的主要原因在美国这次是勒索软件攻击攻击。不过,据外媒BBC报道,多方消息人士证实此次勒索软件攻击是一款名为DarkSide的勒索软件。消息称,犯罪团伙在目标系统植入恶意软件索取赎金,劫持了该公司近100GB的数据,并声称如果不支付赎金,数据就会泄露到互联网上。图片来源为BBC关于DarkSide勒索软件团伙的报道,深信服早在2020年9月就进行了跟踪报道。已经变得富有和免费)DarkSide勒索软件团伙是勒索软件即服务(RaaS)的新代表之一。活动增长迅速,受害者往往不愿冒支付高额赎金的风险,这使得勒索团伙开始包装自己“专业可靠”的形象。DarkSide勒索软件TXT和“批量”勒索软件的区别在于DarkSide勒索软件组非常有针对性。他们会对标的进行数周甚至数月的技术分析,甚至对标的进行财务分析。该团伙曾公开表示,他们不针对医院、学校等非营利组织,而是攻击有能力支付大笔赎金的公司或机构。另外,DarkSide勒索病毒与其他勒索病毒的区别在于其加密后缀不固定,通常为8个随机字符,加密后的文件类型包括以下后缀:386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb加密文件后缀类型为了保证勒索用户成功勒索,在加密前,攻击者会渗透目标环境,安装后门程序窃取重要数据信息。当勒索目标拒绝支付赎金时,攻击者将公开数据作为威胁目标的手段。此前4月23日,DarkSide勒索软件团伙被曝曾在暗网门户发布信息。Darkside会提前通知那些邪恶/动机不良的股票交易者,然后在网站上公布受害公司。做空公司股价。针对关键信息基础设施的攻击需要高度重视。关键信息基础设施关系国计民生,是经济社会运行的神经中枢,是网络安全的重中之重。随着经济社会对网络的依赖程度越来越高,关键信息基础设施的安全保护更加迫切。网络空间军事化、网络武器民用化、网络攻击常态化趋势日益明显,关键信息基础设施成为网络攻击的主要目标。面对如此重大的勒索病毒攻击,也为我国关键信息基础设施建设和保护敲响了警钟。这启发我们不仅需要完善的关键信息基础设施,更要对关键信息基础设施的安全进行实时、全面的监控和保护。深信服EDR产品基于勒索病毒攻击链,提供从预防、防护、检测到响应全生命周期的全方位防护。预防:通过安全基线检查、漏洞检测修复,提前识别系统漏洞,阻断勒索软件攻击入口。防护:启用RDP爆破检测、无文件防护、勒索病毒诱饵防护、远程登录防护等安全策略,针对勒索病毒的多种攻击方式进行针对性对抗和防护。检测响应:通过SAVE人工智能引擎对文件进行实时检测,全网威胁定位,网端云联动,快速定位、应对、阻断全网勒索病毒,防止威胁爆发。此外,深信服“人机共智”MSS安全运营服务,为用户提供勒索病毒防范与应对的特殊场景服务。基于安全运营中心的100多个勒索病毒清单,服务专家定期进行风险排查,协助用户加固;安全运营中心7*24小时不间断监控,确保第一时间发现勒索攻击、感染、传播行为,第一时间为用户准确预警,服务专家5分钟在线响应,高效关闭-循环勒索软件事件。深信服安全团队再次提醒用户,勒索病毒主要还是预防为主。目前,大多数被勒索软件加密的文件都无法解密。注意日常防范措施:勒索病毒日常防范建议及时更新系统和应用程序,修复常见的高危漏洞;有重要数据文件定期异地多媒体备份;不要点击来历不明的邮件附件,不要从不明网站下载软件;尽量关闭不必要的文件共享权限;更改账户密码,设置强密码,避免使用统一密码,因为统一密码会导致一台设备被攻破,多台设备受害。如果业务不需要使用RDP,建议禁用RDP,尽量避免直接将RDP服务映射到外网。信服的EDR用户,建议及时升级到最新版本,连接安全云大脑,使用云搜索服务及时检测和防御新的威胁。32位工具下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z64位工具下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z如果你熟悉勒索软件如果您还有其他问题,请联系我们。
