近日,Sophos在最新發(fā)布的《2018年惡意軟件預(yù)測(cè)》報(bào)告中明確指出,勒索軟件對(duì)于企業(yè)而言仍然是一個(gè)巨大的問(wèn)題,且不會(huì)消失。2017年,攻擊者已經(jīng)進(jìn)一步完善了勒索軟件的傳播技術(shù),致使WannaCry、NotPetya以及最近的Bad Rabbit在全球范圍內(nèi)爆發(fā)危機(jī)。
SophosLabs安全研究員、《2018 惡意軟件預(yù)測(cè)》報(bào)告中勒索軟件分析作者Dorka Palotay表示:
“勒索軟件已經(jīng)發(fā)展成與平臺(tái)無(wú)關(guān)的威脅。雖然勒索軟件的主要對(duì)象是Windows用戶,但是很明顯,如果他們使用其他平臺(tái)(包括移動(dòng)設(shè)備),人們也不會(huì)因此幸免于難。一個(gè)最重要的證明是,我們?cè)谌蚩蛻羰褂玫牟煌b置和作業(yè)系統(tǒng)上都看到加密攻擊的數(shù)量增加了。”
2017年4月1日-2017年10月3日的勒索軟件攻擊
勒索軟件仍然是令許多企業(yè)頭疼的問(wèn)題,SophosLabs通過(guò)對(duì)過(guò)去6個(gè)月中最高產(chǎn)且最活躍的勒索軟件家族及其攻擊媒介進(jìn)行分析,為企業(yè)應(yīng)對(duì)這些威脅提供了解決之道。
以下統(tǒng)計(jì)數(shù)據(jù)涵蓋了2017年4月1日至10月3日這六個(gè)月時(shí)間的勒索軟件攻擊情況,數(shù)據(jù)是通過(guò)對(duì)Sophos的客戶計(jì)算機(jī)進(jìn)行查詢收集的。
其中,發(fā)現(xiàn)于今年 5月的WannaCry居客戶電腦攔截回報(bào)的勒索軟件的首位,取代了長(zhǎng)期以來(lái)的主流勒索軟件Cerber(于2016年初首次出現(xiàn))的領(lǐng)導(dǎo)地位。在所有SophosLabs追蹤的勒索軟件中,WannyCry占了45.3%,Cerber占了44.2%。
Palotay表示:
“這是我們第一次看到具有蠕蟲(chóng)特征的勒索軟件,而這項(xiàng)特色讓W(xué)annaCry得以快速擴(kuò)張。這個(gè)勒索軟件利用已知的Windows漏洞感染并傳播到所有計(jì)算機(jī)設(shè)備中,因此很難管控。盡管WannaCry已經(jīng)逐漸減少,而且我們的客戶已經(jīng)受到了保護(hù),但是我們?nèi)匀豢梢钥吹酵{存在,因?yàn)樗c生俱來(lái)的特性就是會(huì)繼續(xù)掃描和攻擊電腦。我們預(yù)計(jì)網(wǎng)絡(luò)犯罪分子會(huì)利用WannaCry和NotPetya以及其復(fù)制能力,而這一點(diǎn)已經(jīng)出現(xiàn)在Bad Rabbit勒索軟件中,其與NotPetya有許多相似之處。”
SophosLabs發(fā)布的《2018 惡意軟件預(yù)測(cè)》顯示,2017年6月,NotPetya勒索軟件在經(jīng)歷快速爆發(fā)后開(kāi)始銷聲匿跡。NotPetya最初是通過(guò)一家烏克蘭會(huì)計(jì)軟件套件向外傳播,但影響力僅限于當(dāng)?shù)?。像WannaCry一樣,它能夠通過(guò)EternalBlue漏洞進(jìn)行傳播,但是由于WannaCry先前已經(jīng)感染了大多數(shù)有漏洞的電腦,所以幾乎所有電腦都已經(jīng)打了補(bǔ)丁,容易受到攻擊的并不多。
NotPetya 背后的動(dòng)機(jī)還不清楚,因?yàn)檫@次攻擊有許多失誤、漏洞和缺點(diǎn)。例如,根據(jù)Palotay的說(shuō)法,受害者聯(lián)系攻擊者所需的電子郵件帳戶無(wú)效,因此受害者無(wú)法解密和恢復(fù)他們的數(shù)據(jù)。
Palotay表示:
“NotPetya擴(kuò)散的速度迅猛且激烈,并真正對(duì)企業(yè)造成了傷害。這是因?yàn)樗谰玫仄茐牧四繕?biāo)電腦上的數(shù)據(jù)。幸運(yùn)的是,NotPetya消失的速度幾乎和出現(xiàn)的一樣快,我們懷疑網(wǎng)絡(luò)犯罪分子正在進(jìn)行實(shí)驗(yàn),或者他們的真正目標(biāo)并不是勒索軟件,而是像數(shù)據(jù)“雨刮器”那樣更具破壞性的東西。無(wú)論其意圖如何,Sophos都強(qiáng)烈建議受害者不要支付贖金,并推薦了一些最佳作法,其中包括備份數(shù)據(jù)和安裝Sophos Intercept X,該軟件可以在幾秒鐘內(nèi)檢測(cè)到零日勒索軟件。”
此外,Cerber仍然在暗網(wǎng)上以勒索軟件套件的形式進(jìn)行出售,它也是一個(gè)危險(xiǎn)的威脅。Cerber 的開(kāi)發(fā)者主要通過(guò)從使用它的攻擊者處抽取受害者繳納的部分贖金作為利潤(rùn)。該惡意軟件正在不斷進(jìn)行完善和更新,以保持其領(lǐng)先安全軟件的絕對(duì)優(yōu)勢(shì)。定期更新的新功能使得Cerber不僅是一個(gè)有效的攻擊手段,而且廣受網(wǎng)絡(luò)犯罪分子青睞。
Palotay表示,
“不幸的是,暗網(wǎng)的商業(yè)模式可以運(yùn)作且與合法的公司類似,可能會(huì)資助 Cerber持續(xù)發(fā)展。我們可以假設(shè)牟利是撰寫者維護(hù)程式碼的一大動(dòng)機(jī)。”
Android勒索軟件正在不斷攀升
Android勒索軟件也吸引了網(wǎng)路犯罪分子的目光。根據(jù)SophosLabs分析,2017年,使用Android設(shè)備的Sophos客戶幾乎每個(gè)月受到的攻擊都增加了。
SophosLabs安全研究員Rowland Yu表示:
“僅在9月份,SophosLabs處理的Android惡意軟件中就有30.4%是勒索軟件。我們估計(jì)10月份將躍升至45%左右。我們認(rèn)為Android勒索軟件暴增的原因之一,是因?yàn)檫@是網(wǎng)絡(luò)犯罪分子牟利的簡(jiǎn)單方法,而不需要使用如竊取聯(lián)絡(luò)人和短信、彈出式廣告或銀行網(wǎng)絡(luò)釣魚(yú)等復(fù)雜的黑客手法。另外需要注意的是,我們注意到Android勒索軟件主要都是在非Google Play市場(chǎng)上發(fā)現(xiàn)的,這也是用戶對(duì)下載的應(yīng)用程序的位置和類型需要更為謹(jǐn)慎的另一個(gè)原因。”
截止到2017年年底,SophosLabs分析系統(tǒng)將處理大約1,000萬(wàn)個(gè)可疑的Android應(yīng)用程序,高于整個(gè)2016年處理的850萬(wàn)個(gè)。其中絕大多數(shù)(77%)是惡意軟件,另有23%是PUA。
惡意應(yīng)用程序的數(shù)量在過(guò)去四年呈現(xiàn)穩(wěn)步增長(zhǎng)的趨勢(shì)。在2013年,只有50多萬(wàn)的惡意應(yīng)用程序。到了2015年,這一數(shù)字已經(jīng)上升到了大約250萬(wàn)。再到2017年,這個(gè)數(shù)字已經(jīng)高達(dá)近350萬(wàn)。
同時(shí),我們也看到了PUA呈現(xiàn)了下降趨勢(shì)。其數(shù)量在2013年至2016年間呈穩(wěn)步上升趨勢(shì),但到了2017年則從140萬(wàn)降至100萬(wàn)以下。
2017年,在最頂級(jí)的移動(dòng)惡意軟件家族中,最活躍的當(dāng)數(shù)Rootnik(SophosLabs阻止了42%的此類惡意軟件),其次PornClk(14%),而Axent、SLocker和Dloadr則分別以9%、8%和6%的比例排在第3、4、5名。
此外,研究人員還發(fā)現(xiàn),Google Play上的很多應(yīng)用程序與Rootnik存在聯(lián)系,而且該家族在9月下旬也被發(fā)現(xiàn)利用DirtyCow Linux漏洞進(jìn)行傳播。
勒索軟件防御措施
Sophos建議用戶可以通過(guò)如下手段更好地保護(hù)自身免受勒索軟件威脅:
定期備份并保留最近的備份副本。除了勒索軟件之外,還有很多方法可以丟失文件,比如火災(zāi)、洪水、盜竊、掉落的筆記本電腦甚至意外刪除。加密您的備份,您將不必?fù)?dān)心備份設(shè)備落入不法之徒手中。
不要在通過(guò)電子郵件接收到的文檔附件中啟用宏。為了保障安全,微軟已經(jīng)在多年前故意關(guān)閉了宏的自動(dòng)執(zhí)行。如今,許多惡意軟件感染依賴于說(shuō)服你重新開(kāi)啟宏,所以不要這樣做!
謹(jǐn)慎對(duì)待來(lái)自不明的附件。如果你不點(diǎn)擊收到的可疑文件,攻擊者便難以執(zhí)行下面的操作,所以,除非你明確文件的來(lái)源,否則不要輕易點(diǎn)開(kāi),如果存在疑問(wèn),可在咨詢相關(guān)人員確定后選擇點(diǎn)開(kāi)或忽略。
盡早更新補(bǔ)丁并定期修復(fù)補(bǔ)丁。不通過(guò)文檔宏進(jìn)入的惡意軟件通常依賴于流行的應(yīng)用程序(包括Office、瀏覽器以及Flash等)中的安全漏洞。越早打補(bǔ)丁,漏洞利用的機(jī)會(huì)就越少。
關(guān)于Sophos
Sophos是網(wǎng)絡(luò)和端點(diǎn)安全的全球領(lǐng)導(dǎo)者,30多年來(lái),發(fā)展出可以相輔相成的端點(diǎn)、網(wǎng)絡(luò)、加密、網(wǎng)頁(yè)、電子郵件和移動(dòng)安全解決方案產(chǎn)品組合,現(xiàn)有150個(gè)國(guó)家/地區(qū)的1億多名用戶選擇Sophos的解決方案,為復(fù)雜的威脅和數(shù)據(jù)外泄提供全面防護(hù)。