近期�,LockBit勒索軟件組織動作頻頻�����,不僅利用受害者的安全漏洞進行攻擊��,還加密受害者的文件并要求支付高額贖金��,導致全球多起安全事件發生�。LockBit的攻擊活動再次引起了業界的廣泛關注�,關基企業及重要行業仍需加強網絡安全措施����,以應對勒索軟件威脅�����。
01.LockBit勒索病毒
LockBit是近年危害眾多企業的勒索軟件�,是一種極為破壞性的電腦病毒���,自2019年6月出現以來�����,已在全球范圍內廣泛傳播�����。這種病毒利用加密技術鎖定用戶文件�����,并以此為條件向用戶勒索錢財���。與其它勒索病毒相比��,LockBit具有一些獨特的特點����,如使用“雙重加密”技術��,使得解密更為困難���。
LockBit勒索病毒的傳播途徑廣泛����,包括電子郵件附件���、惡意網站��、點對點網絡等�。一旦用戶點擊或下載這些途徑中的惡意文件���,病毒就會迅速侵入電腦系統�����,并開始鎖定文件�����。
LockBit還引入了漏洞賞金計劃�,隨著LockBit 3.0的發布���,引入了勒索軟件團伙提供的第一個漏洞賞金計劃���,要求安全研究人員提交漏洞報告以換取1000至100萬美元的獎勵����?�!拔覀冄埖厍蛏纤械陌踩芯咳藛T�����、道德和不道德的黑客參與我們的漏洞賞金計劃�����?����!盠ockBit3.0漏洞賞金頁面寫道����。
有報告顯示��,LockBit在Windows平臺上占據了2022年的勒索軟件攻擊三分之一份額�,比其競爭對手的總和還要多�。該組織已經攻擊了1000多個受害者�����,是老牌勒索軟件組織Conti的兩倍以上����,Revil的五倍有余�,因此臭名昭著��。LockBit的攻擊范圍遍及北美�����、歐洲和亞太地區��,尤其青睞信息技術��、制造�、政府�����、網絡安全和國防等關鍵基礎設施行業��。
02.細數2023年全球LockBit勒索事件
1
1月3日����,美國鐵路和機車公司Wabtec Corporation透露其遭到勒索攻擊導致數據泄露��。企業公告中顯示�,早在2022年3月15日��,黑客就入侵了他們的網絡并在系統上安裝了惡意軟件�����,在Wabtec拒絕支付贖金后���,8月20日���,LockBit對外公開了全部被盜數據����。
2
1月12日�����,英國皇家郵政遭遇勒索軟件攻擊��,致使包裹和信件的國際運輸陷入停頓�。LockBit勒索軟件攻擊者對用于國際運輸的設備進行了加密��,并通過處理海關業務的打印機發送了巨額贖金通知�����,該勒索組織威脅稱����,如果拒付贖金將在其暗網泄露站點上發布涉嫌被盜的數據���。最終��,皇家郵政拒付贖金���,并聘請了第三方網絡專家協助調查和恢復業務�。
3
2月20日��,葡萄牙市政供水公司Aguas do Porto遭到勒索團伙Lockbit的攻擊���。Lockbit已將Aguas do Porto添加到其Tor網站的被攻擊目標列表中���,并威脅要泄露被盜數據���,但尚未發布被盜數據樣本作為攻擊證據�����,因此不清楚該團伙竊取的數據量和數據類型����。
4
4月24日��,印度公司Fullerton表示遭受惡意軟件的攻擊�����,作為預防措施���,被迫暫時脫機運營�����。隨后�����,LockBit 3.0勒索軟件集團宣布對此次攻擊負責�,稱其竊取了600GB的個人和合法公司的貸款協議���,并向該公司要求300萬美元贖金���,Fullerton拒絕支付后��,LockBit 3.0集團泄露了全部數據��。
5
6月8日�,全球最大的拉鏈制造商YKK遭到LockBit的勒索攻擊��,日本拉鏈公司YKK透露�,其美國業務近幾周成為黑客攻擊的目標��。該公司一位發言人稱��,網絡安全團隊及時遏制了攻擊��,該事件并未對運營和服務產生實質性影響����。
6
7月��,日本最大貨物港口名古屋被黑客攻擊����,物流陷入癱瘓����,病毒入侵系統導致5個集裝箱碼頭卸貨作業暫停��,2萬多個集裝箱運輸受到影響�。最終判斷造成系統故障的原因是勒索軟件LockBit 3.0攻擊��。
7
7月中旬��,全球最大晶圓代工廠臺積電遭到了臭名昭著的LockBit勒索軟件組織的攻擊����,并遭到7000萬美元的天價勒索���。該勒索軟件組織威脅臺積電�,如果不交付勒索款項�,將公開臺積電的網絡入口點��、密碼和其他機密信息����。這將對臺積電本身以及其重要客戶如蘋果��、高通和英偉達造成嚴重威脅����。
8
10月中旬�����,勒索軟件團伙Lockbit聲稱入侵了技術服務巨頭CDW�,并因贖金談判破裂泄露了部分數據�����。Lockbit要求支付8000萬美元的贖金�����,但對方只支付了100萬美元����。Lockbit表示對方的贖金支付對他們來說具有侮辱性�,并在泄露網站上發布了包含CDW數據的帖子�,其中涉及員工徽章�����、審計和其他賬戶相關信息�����。
10月27日�,勒索軟件行為者向波音發起了攻擊��,并要求公司在11月2日之前與他們聯系以展開談判�。黑客聲稱已經竊取了大量敏感數據并準備進行發布��,攻擊事件對公司零部件和分銷業務造成了一些影響�,在波音拒絕支付贖金后��,LockBit勒索軟件泄露了超過43GB的波音文件��。
10
11月9日��,中國工商銀行美國子公司遭受勒索軟件攻擊��,導致美國國債市場交易出現混亂���,該行沒有立即回應置評請求�����。Lockbit代表通過在線消息應用Tox告訴路透社:他們支付了贖金����,交易完成��。據路透社報道��,這次黑客攻擊的范圍如此之大�����,以至于該公司的企業電子郵件都停止運行���,迫使員工改用谷歌郵件��。
03.六方云勒索病毒解決方案
由于勒索病毒多樣的傳播方式�,使用單一的安全產品或單一的技術手段(如防火墻�����、IPS�����、殺毒軟件)面對勒索病毒的入侵時���,往往面臨“排查難��、抑制難�、溯源難��、恢復難”四大問題�,特別是新型的病毒���,一旦某一點被突破���,則會直接碰觸到用戶的核心業務系統及數據����。因此�����,勒索病毒的防護必須建立起“層層阻擊�����,集中管控��,預防為先���,防治結合”的縱深防御立體化病毒防護體系����。
六方云在深入分析勒索病毒傳播方式和攻擊路徑的基礎之上����,結合業內勒索病毒防護的最佳實踐經驗���,圍繞評估預防����、監測防護����、應急處置三個環節��,采取產品+服務結合的措施對勒索病毒進行全生命周期的防護�����,通過提前切斷病毒傳播路徑��、實時監測網內異常行為����、快速響應客戶突發事件�����,最大限度的減少勒索病毒對企業造成的損失�。如圖所示:
六方云勒索病毒防護方案技術框架
本方案的設計主要依據工控網絡安全“積極預防�、垂直分層����、水平分區�����、邊界控制�、內部監測�、統一管理”的總體策略�����,逐步構建起勒索病毒的事前安全評估與預防�����、事中安全防護與監測預警���、事后應急處置與加固的全生命周期立體化縱深防護體系�。
首先對整個系統進行全面的風險評估���,掌握系統的風險現狀��;然后通過管理網和生產網隔離以及訪問控制來確保生產網不會引入來自管理網的風險����,保證生產網邊界安全����,并在各中心內部的工業控制系統進行一定的監測����、防護�,保證各中心內部安全����;最后對整個工業控制系統進行統一安全態勢呈現�,將各個防護點進行統一管理組成一個全面的防護體系�,保障整個系統安全穩定運行���。
事前-安全評估與預防
通過事前評估預防�����,用戶可及時了解現有網絡存在的各類潛在風險��,在安全事件發生前幫助用戶及時發現并修復潛在業務威脅風險����。
1. 制定網絡安全應急預案����。建立企業內部涵蓋勒索病毒攻擊等網絡安全突發事件的應急響應機制��,明確應急組織體系���、職責分工�、應急流程等����。一旦發生勒索病毒攻擊事件����,立即啟動相應網絡安全應急預案��,并按照預案要求及時開展應急處置工作���,確保有效控制�����、減輕�、消除勒索病毒攻擊影響�。
2. 關鍵系統和數據定期備份����。目前流行的勒索病毒類型主要為文件加密類勒索病毒�����、數據竊取類勒索病毒���、系統加密類勒索病毒和屏幕鎖定類勒索病毒��,無論何種類型�����,攻擊者最終目的都是通過對用戶最重要的資產“數據”實施安全威脅����,以此來恐嚇用戶支付高額贖金����。
因此�����,用戶需要根據文件和數據的重要程度分類分級進行存儲和備份����,如主動加密存儲重要��、敏感的數據和文件�����,防范利用勒索病毒的雙重或多重勒索行為��,并定期采取本地備份�、異地備份�、云端備份等多種方式進行數據備份�����,增加遭受勒索病毒攻擊且數據文件加密���、損壞�����、丟失等情況下恢復數據的可能���。
3. 定期評估風險����,及時修補漏洞���。攻擊者通常利用遠程代碼執行�、系統策略配置不當等系統漏洞�����,攻擊入侵用戶網絡�����,或利用已公開且已發布補丁的漏洞���,通過掃描發現未及時修補漏洞的設備�,利用漏洞攻擊入侵并主動傳播勒索病毒�。
因此�,用戶需要定期對網內的安全風險進行系統評估�����,排查資產暴露情況�,按照最小化原則�,盡可能減少在資產互聯網上的暴露��,特別是避免重要業務系統�����、數據庫等核心信息系統的在互聯網上暴露���。同時及時進行漏洞排查����,一旦發現資產存在的安全漏洞���,及時進行修補���。
4. 加強企業內部網絡安全管理�����。勒索病毒還會通過釣魚郵件��、網站掛馬��、移動介質和軟件供應鏈等方式進行傳播��,因此用戶需要以培訓�、演練等方式提高網絡安全意識��,在用戶層面切斷勒索病毒傳播入口����。
例如在文件方面�����,不點擊來源不明的郵件附件�、打開郵件附件前進行安全查殺等�����;在網站方面���,不從不明網站下載軟件等���;在外接設備方面�,不混用工作和私人的外接設備����、關閉移動存儲設備自動自動播放功能并每周進行安全查殺等����。
事中-安全監測與防護
通過事中防護和監測��,用戶可擁有L2-7層完整的安全防護能力����,確保安全防護不存在短板��,同時�,對網內流量和設備進行集中監控����,統一管理���,在提高用戶運維效率的同時����,實時掌握內部網絡安全風險態勢�����。
六方云勒索病毒解決方案網絡架構
1. 企業互聯網出口安全防護��。勒索病毒風險大多是從互聯網側引入的�����,而互聯網出口作為企業的第一道網絡安全防線�,必須通過采取嚴格防護措施���,盡可能切斷勒索病毒的傳播路徑����。
因此�����,用戶首先需要部署下一代防火墻�����,封禁與勒索病毒傳播或相關漏洞利用相關的危險端口3389/135/137/139/445等����,通過嚴格的訪問控制策略實現網內外用戶的合法安全訪問�,并開啟IPS功能和防病毒功能����,實現勒索病毒入侵有效攔截�。
2. 辦公主機和服務器病毒防護����。在主機和服務器上部署終端安全系統���,實現對終端進行查殺防護��,同時限制不安全的U盤的讀寫���。
3. 云安全資源池控制��。用戶云平臺環境涉及多類業務���、多類系統��,防護不當可能造成勒索病毒在云環境內的橫向大規模擴散����,因此在安全防護上需要進一步細化安全區域的劃分以及不同安全區域�、不同安全級別的訪問控制�����,實現東西向流量的微隔離與阻斷����。
六方云盾能夠在不依賴于云平臺網絡引流接口的情況下���,實現對云內所有虛擬機進行網絡微隔離�����,針對云內任意虛擬機之間��、不同子網之間���、邏輯安全域之間的網絡流量進行L2-L7層的深度威脅檢測與防護���,同時�,能夠自動獲取云平臺內所有虛擬業務資產并繪制出邏輯一致的3D網絡拓撲�����,實現對云內虛擬業務資產運行狀態�、網絡流量狀態與業務安全態勢的全面可視����。
4. 管理網和生產網隔離���。在辦公網和工控生產網之間部署單向隔離網閘���,在各層級內的安全域之間部署工業防火墻����,并對兩網間數據交換進行安全防護���,確保生產網不會引入管理網所面臨的安全風險�。
六方云工業防火墻基于對應用層數據包的深度檢測�����,為工業通信提供獨特的�����、工業級的專業隔離防護解決方案�。
5. 各中心內的監測與防護���。在對企業辦公網和工控生產網之間����、生產執行層之間進行了邏輯隔離���,企業工控網絡各層級內部的安全風險如何處理�����?一般來說�����,生產網內可能存在以下幾方面的風險:各類操作員站的安全風險�;PLC等工控設備的安全風險��;通信協議存在風險�����。針對各方面風險六方云提供如下防護手段:
在操作員站�����、工程師站���、HMI等各類主機上部署安全系統�����,對主機的進程���、軟件�����、流量���、U盤使用等進行監控���,防止主機非法訪問網絡�。六方云工業主機衛士工業衛士采用白名單的技術����,僅允許白名單內的程序運行���,白名單外的程序均不可執行���,從而有效阻止惡意程序或代碼的執行和擴散�。一鍵開啟勒索病毒增強防護功能��,可對137�、138���、139和445端口進行封堵�,同時阻止創建系統啟動項��、添加用戶賬戶����、提權用戶賬戶�����、創建計劃任務以及創建服務等敏感動作�����。
工控異常行為檢測���。對于勒索病毒入侵行為和擴散行為�����,通過部署六方云工控全流量威脅檢測與回溯系統�,實時識別和預警工業控制網絡和工業互聯網絡的勒索病毒入侵和傳播的異常行為安全威脅����,及時與工業安全設備聯動實現協同防護�,并提供攻擊回溯取證和安全態勢定期報表����,為制定工控安全策略提供支撐���,形成安全閉環���,進而實現工業控制網絡和工業互聯網絡安全威脅的可視�、可控��、可管�。
6. 全網安全態勢可視和一體化運營�。在勒索病毒入侵的過程中�,通過部署六方云網絡流量威脅檢測與回溯系統(以下簡稱“神探”)可實現工控生產網未知威脅檢測和異常行為檢測���。
神探產品可以基于規則庫��、威脅情報對已知勒索病毒進行檢測�����,同時可以基于AI范化能力進行變種勒索病毒檢測���。在環境中已感染主機進行擴散時���,可以通過異常行為檢測技術進行監測�����。通過對攻擊鏈的還原��,完整重現勒索病毒攻擊過程�,為事后溯源提供依據����。
事后-應急處置與加固
在勒索病毒事件發生后�����,需要立即采取響應措施進行有序應對����、妥善處理�,把事件造成的損失降低到最小�����。
1. 確定受影響系統���,并立即將其隔離
物理隔離�����。確認遭受勒索病毒攻擊后����,應采取立即斷網����、關機等方式隔離感染設備�。其中����,可采取拔掉設備網線���、禁用設備網卡��、關閉無線網絡等方式斷網���,并拔掉服務器/主機上的所有外部存儲設備����,防止勒索病毒通過感染設備自動連接的網絡在內部傳播并進一步感染其他設備����。
訪問控制�。根據初步發現的受影響范圍情況��,在網絡設備或安全設備上通過配置訪問控制策略方式進行嚴格資源訪問權限限制����。同時���,立即修改感染設備的登錄密碼���、同一局域網下的其他設備密碼��、最高級系統管理員賬號的登錄密碼��。
2. 排查勒索病毒感染范圍
在已經隔離感染設備的情況下�����,對局域網內的其他機器進行排查����,核查核心業務系統是否受到影響���,生產線是否受到影響�����,并檢查備份系統是否被加密等�����,以確定感染范圍��。對于感染情況不明的設備�,提前進行磁盤備份��。
還可通過了解現場環境的網絡拓撲���、業務架構�、設備類型等關鍵信息���,評估勒索病毒傳播范圍��、攻擊手段等��,對勒索病毒失陷區域作出初步判斷���,為控制勒索病毒擴散和根除病毒威脅提供支撐�����。
3. 確定勒索病毒種類�����,進行溯源分析
研判勒索病毒種類��。勒索病毒在感染設備后��,攻擊者通常加載勒索提示信息脅迫用戶支付贖金���。遭受勒索病毒攻擊的組織可從加密的磁盤目錄中尋找勒索提示信息�,并根據勒索病毒的標識判斷本次感染的勒索病毒種類����。
判斷攻擊入侵手段�����。通過查看設備保留的日志和樣本�,判斷攻擊者攻擊入侵的方式�。如日志信息遭到刪除��,通過查找感染設備上留存的勒索病毒的樣本或可疑文件�,判斷攻擊者攻擊入侵的方式�����。
4. 數據備份與應急恢復
為了保證業務的持續運行�����,當發生勒索病毒事件導致用戶業務系統或重要數據受到影響時��,通過部署備份容災系統確保業務的秒級RPO和分鐘級RTO���,同時對生產業務系統實現系統����、應用�����、數據��、配置等一體化保護���。
通過業務監控����,實時地發現故障主機���,支持一鍵生成演練測試環境�����,驗證業務數據及其他工作���。同時可以滿足異機恢復遷移等多種功能����,實現業務連續性全程能力支撐����。
