自2018年以来,针对企业服务器进行攻击的勒索病毒传播持续升温。春节刚过,国内就有数家机构的服务器遭到GlobeImposter勒索病毒袭击,造成正常业务受到巨大影响;进入4月以来,针对企业服务器的勒索病毒攻击日益呈现高发趋势。腾讯御见威胁情报中心最新监测数据显示,企业服务器被勒索病毒加密的事件在4月份增长了34%,腾讯企业安全专家认为,针对Windows服务器发起攻击或将成为勒索病毒攻击的新趋势。
两大勒索病毒家族卷土重来 传统行业更受病毒“偏爱”
据悉,针对Windows服务器发起攻击的勒索病毒主要有两大家族,分别是GlobeImposter和Crysis。勒索病毒GlobeImposter家族较为“资深”,其初期主要针对个人用户发起钓鱼邮件攻击,为了获得更高的收益,于2018年初开始将重点攻击目标转向企业服务器。勒索病毒Crysis家族则一直针对Windows服务器进行攻击,其最早出现日期可追溯到2016年3月,自2017年起开始被大量传播。
根据腾讯御见威胁情报中心统计,自今年3月以来,伴随两大勒索病毒家族相继出现爆发传播迹象,企业服务器被勒索病毒加密的事件呈现上升趋势,进入4月之后增速更明显加快。在4月1日至4月18日约两周多的时间内,企业服务器被勒索病毒加密的事件已增长了34%。
从企业服务器被勒索病毒攻击的地域分布来看,江苏、广东被攻击的企业最多,其次是山东和北京。
从遭受攻击的行业分布情况来看,受害企业更偏向传统行业,前三位分别为政府机关(26%)、工业企业(15%)和医疗机构(13%)。或由于传统行业普遍在信息安全上的投入较少,存在安全隐患的机率更大,因此不法黑客入侵成功的机率也更高。
黑客入侵瞄准Web服务器 腾讯企业安全支招防御
通过对不法黑客入侵的路径进行分析,腾讯御见威胁情报中心发现,大部分的攻击多来自公司连接外网的Web服务器。不法黑客首先通过安全漏洞入侵Web服务器,再通过漏洞攻击继续渗透、控制内网其他服务器,最后将服务器数据加密。更糟糕的是,当不法黑客完全控制企业服务器后,会直接关闭服务器上运行的安全软件,接下来的加密破坏会更加畅通无阻。
由于勒索病毒攻击者在加密企业服务器的过程中较多使用较复杂的混合加密技术,用以解密的私钥控制在黑客手中,除非拿到私钥,否则解密的可能性微乎其微。因此,应对勒索病毒攻击,做好网络安全防范措施最为关键。
对此,腾讯企业安全技术专家表示,企业用户日常应养成良好的使用电脑习惯:定期对重要文件、重要业务数据做好非本地备份;及时打补丁,修复系统或第三方软件中存在的安全漏洞;尽量关闭不必要的端口、不必要的文件共享,禁用对共享文件夹的匿名访问;采用高强度的密码,并且强制要求每个服务器使用不同密码管理;对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;在终端/服务器部署腾讯云等具备专业安全防护能力的云服务,可有效防御病毒入侵。
对于追求高效管理的企业用户而言,推荐使用腾讯御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html),可轻松实现终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
此外,针对日常办公安全需求,可使用腾讯御界防APT邮件网关(下载地址:https://s.tencent.com/product/yjwg/index.html)全方位守护企业邮箱安全。御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。