作者:hacker发布时间:2022-11-02分类:破解邮箱浏览:145评论:4
近日,全球IT咨询巨头埃森哲遭到LockBit勒索团伙的网络攻击,公司6TB的内部数据被窃取,2500台计算机遭遇宕机,所中病毒为LockBit的2.0版本。由于LockBit2.0勒索软件近段时间异常活跃,且危害性较大,因此瑞星公司发布安全提醒,建议广大用户加强警惕,谨防LockBit2.0勒索软件大规模爆发。
事件回顾:
8月11日,全球IT咨询巨头埃森哲遭受了来自LockBit勒索软件团伙的攻击,其2500台属于员工和合作伙伴的计算机已中招,此次埃森哲遭遇的网络攻击,是LockBit勒索软件的2.0版本。LockBit团伙表示,如果埃森哲不尽快支付5000万美元(约合3.2亿人民币)赎金,将会把所窃取的6TB数据公之于众。
图:LockBit勒索软件运营商网站显示数据泄露倒计时
据悉,埃森哲是全球最大的上市咨询公司和《财富》世界500强公司之一,提供战略、咨询、数字、技术和运营服务及解决方案。为超过120个国家200个城市的客户提供服务,其客户包括超过四分之三的世界500强企业、各国政府机构以及军队。埃森哲涉足 汽车 、银行、政府、技术、能源和电信等领域,市值2032亿美元,旗下拥有超过50万员工。
勒索软件及其组织背景:
Lockbit勒索软件早在2019年9月就被发现,当时称之为“ABCD病毒”,利用此勒索软件进行攻击的黑客团伙以针对企业及政府组织而出名,主要目标为中国,印度,印度尼西亚,乌克兰、英国,法国,德国等国家。今年6月,LockBit勒索团伙将原有勒索软件升级为LockBit 2.0版本,并对外宣称这是全世界加密最快的勒索软件,可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。
图:勒索软件加密速度对比表
瑞星安全研究院介绍,由于该勒索软件通过RDP弱口令爆破攻击,不仅加密本地磁盘文件,还将枚举并加密同一网段下的所有共享磁盘,同时加密方式采用了RSA结合AES,因此至今在没有秘钥的情况下是无法被破解的。
LockBit勒索团伙采用了勒索软件即服务 (RaaS) 的形式,为其客户(实际发动攻击的人)提供基础设施和恶意程序,然后收取一部分赎金分红。LockBit自推出以来,一直非常活跃,帮派代表推广RaaS并在各种俄语黑客论坛上提供支持。当勒索软件主题在网络犯罪论坛上被禁止后,LockBit于2021年6月在其数据泄漏站点上宣布了LockBit 2.0 RaaS。
图:LockBit2.0 RaaS的宣传信息
预防措施:
瑞星公司发现,国内已有部分企业感染了LockBit2.0勒索软件,同时从瑞星“云安全”系统数据可以看出,仅7月份所截获勒索软件样本就有1.12万个,感染次数为5.7万次,因此考虑到LockBit 2.0感染性和危害性巨大,瑞星为广大用户提供以下防御措施:
针对RDP弱口令攻击的防范建议:
1. 限制可使用RDP的用户,仅将远程访问授权给那些必须用它来执行工作的人。
2. 建立双重验证,如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。
3. 设置访问锁定策略,通过配置账户锁定策略,调整账户锁定阀值与锁定持续时间等配置,可以有效抵御一定时间下高频的暴力破击。
4. 审视RDP的使用需求,如果业务不需要使用它,那么可以将所有RDP端口关闭,也可以仅在特定时间之间打开端口。
5. 重新分配RDP端口,可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击,仍需另外部署端口扫描攻击防范措施。
6. 定期检查、修补已知的RDP相关漏洞。
7. 创建防火墙规则限制远程桌面的访问, 以仅允许特定的IP地址。
8. RDP的登陆,应使用高强度的复杂密码以降低弱口令爆破的机会。
针对系统安全性的防范建议:
1. 及时更新软件及系统补丁。
2. 定期备份重要数据。
3. 开启并保持杀毒软件及勒索防护软件功能的正常。
4. 定期修改管理员密码并使用复杂度较高的密码。
5. 开启显示文件扩展名,防范病毒程序伪装应用程序图标。
针对局域网安全性的防范建议:
1. 非必要时可关闭局域网共享文件或磁盘,防止病毒横向传播。
2. 对局域网共享文件夹设置指定用户的访问权限,防止不必要的权限遭到病毒滥用。
3. 通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号,防止病毒通过扫描端口等方式查询区域资产信息。
网络安全软件有有哪些,网络的安全软件有很多,免费的使用最多的,应该就是360安全卫士,电脑管家,金山毒霸等,还有瑞星等,都是网络安全软件,都可以保护电脑网络安全的
目前我们正在与两种流行病毒作斗争——冠状病毒和勒索软件攻击。两者都会影响到部分经济,前者肉眼可见,后者则普通人不可遇见。然而,就网络安全而言,现在我们的安全防范意识,让黑客们有了一个轻松的方法来攫取数百万甚至更高的不法收入。
对于黑客来说,获取经济利益非常简单,即使用恶意软件访问和加密数据并将其扣为“人质”,直到受害者支付赎金为止。
现在网络攻击越来越频繁,因为黑客可以毫不费力地执行实施他们的计划。此外,支付方式现在对他们更友好。加上企业对数据越来越依赖,更多迁移到互联网办公服务,这样给了黑客更多的动机去尝试更多的漏洞,当黑客入侵获得了企业的某些数据,或者加密了某些东西的时候,企业在现有技术无法清除病毒或者修补落地,更多愿意支付赎金来临时解决现在问题,因为拖得越久企业损失越大,黑客可以拖,企业可拖不起。
更大胆的黑客们
几年前,黑客在获得银行密码,他们利用技术诀窍从人们的账户中窃取资金之前都会玩心理战术。现在他们更大胆了,因为他们很容易购买勒索软件即服务,并从在线视频分享网站学习黑客技术。一些有组织的网络黑客甚至为商业黑客提供服务,收取一定费用,通常是利润的一部分。
同样加密货币出现使得黑客更加大胆,因为他们可以去限制地敲诈受害者获取匿名支付。黑客可以通过匿名的方式从受害者那里获得更高金额的虚拟货币后转换成现金。
你也可以将网络攻击的增加归咎于一些愿意支付数百万美元加密货币的公司的行为。然而,如果公司和数据安全专家确保黑客攻击不再有利可图,攻击就会停止。
现在你会明白为什么很多国家不承认数字加密货币的真正含义了吧。
是网络攻击是越来越引人注目还是实际上在上升?
这两个问题的答案都是肯定的。 勒索软件变得越来越普遍,因为它很容易执行。黑客使用软件来绕过安全漏洞,或通过使用网络钓鱼诈骗策略欺骗网络用户,例如发送似乎来自可信来源的恶意软件。加上一些大公司的网络安全协议也比较宽松,这样让普通的黑客可以轻易得手。
以美国Colonial Pipeline的供应链攻击事件为例子,该公司首席执行官Joseph Blount承认该公司不使用多因素身份验证当用户登录。
根据美国2020年发布的互联网“犯罪”报告,“佛菠萝”在2020年收到了近2500起勒索软件报告,比2019年增加20%。2020年勒索软件袭击的总成本接近2910万美元。这相当于2019年增加了200%。
勒索软件攻击上升的另一个因素是在线用户越来越多。新冠肺炎的流行导致了全球互联网使用量的激增。许多学生和工人由线下转线上远程工作和学习,加上初次使用互联网服务,安全意识的欠缺往往成为黑客们下手的头号目标。
有网络专家预测勒索软件每年至少带来上千亿美元的损失,随着黑客改进其恶意软件攻击和勒索行为,攻击可能每两秒钟发生一次,到2031年,每年带来超过2500亿美元的损失。
勒索软件对企业的影响
我们已经知道勒索软件是如何对大小企业产生毁灭性影响的。但一次又一次的提醒是值得的,因为即使是企业也可能成为受害者。黑客继续利用网络安全系统中的漏洞。此外,许多黑客团伙正在利用勒索软件和拒绝服务攻击获取经济利益。
除了勒索软件攻击事件的增加,攻击的成本也在增加。勒索软件使公司的数字网络和相关设备瘫痪。因为敏感的商业数据被破坏或者泄露,商业运作,尤其是供应链都会会受到影响——因此,公司更愿意支付赎金。
但从理论上讲,即使公司支付赎金,也不能保证敏感数据没有被复制。同样,也不能保证攻击者将返回所有数据或解密密钥将起作用。在Colonial的案例中,黑客在收到支付赎金后给他们的解密密钥太慢了。他们不得不使用备份文件,其中损失无法评估。
防止勒索软件感染
安全专家建议被勒索公司不要向黑客们支付赎金,因为这会鼓励他们发动更多的攻击。
他们还给出一些防止此类攻击的方法包括:
与网络安全公司合作,网络安全公司提供最适合企业当前和未来需求的安全系统需求。
保持警惕是防止感染的另一种方法。如果您的系统没有明显的原因而速度减慢,请断开与internet的连接并将其关闭。然后,您可以致电您的网络安全提供商并寻求他们的帮助。
除了确保网络安全的技术层面,有时回到基础是值得的。
利用安全培训,让员工更好地了解网络安全的重要性和意义。此外,员工应学会确保保护整个公司免受网络攻击。
训练你自己和你的员工不要点击未经证实来源的链接,因为网络钓鱼链接是传播恶意软件的一种方法,使你的公司成为一个容易攻击的目标。
练习创建数据的定期备份。至少有两个数据备份,并将它们存储在不同的位置。只允许最信任的员工访问备份。
使用数据加密来保护电子邮件、文件交换和个人信息。
确保定期升级所有应用程序,以便修复漏洞。
使用密码管理器确保所有员工都有更强大的密码。指导员工使用不同的密码登录到公司中使用的其他应用程序。
总结
勒索软件攻击之所以猖獗,是因为它们的易用性和盈利能力。了解黑客团伙的活动并为员工提供网络安全培训至关重要。结合技术专长和基本的安全措施将有助于减少勒索软件的感染。但是,重要的是不要惊慌,并且知道应该遵循的安全措施。
1.OOB攻击
这是利用NETBIOS中一个OOB (Out of Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。
2.DoS攻击
这是针对Windows 9X所使用的ICMP协议进行的DOS(Denial of Service,拒绝服务)攻击,一般来说,这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包,造成对方计算机的死机。
3.WinNuke攻击
目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机,并且可以进行连续攻击,还能够验证攻击的效果,还可以对检测和选择端口,所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。
4.SSPing
这是一个IP攻击工具,它的工作原理是向对方的计算机连续发出大型的ICMP数据包,被攻击的机器此时会试图将这些文件包合并处理,从而造成系统死机。
网上的杀毒软件相信大家都用过不少,比如360、鲁大师、电脑管家等等,那你们对哪个软件印象最深呢?或者说,最喜欢用的又是哪一款呢?如果让我来说,我会第一时间选择360。至于原因,这和最近网上两件大火的事件也有关系。第一件事:前段时间,一位日本网友在推特上发布了一篇求助帖,瞬间引来了国内网友的热议。原来啊,这位日本网友想玩4399小游戏,结果发现谷歌和微软已经不支持flash
了,所以最后只能依靠360浏览器来实现这一想法。可惜由于语言不通,日本网友并不知道如何使用360浏览器,这一消息在国内传开后属实逗笑了广大的中国网民。不过好在咱们国人非常热情,一起在这篇帖子下方在线教学,推特也因此瞬间变成了中华课堂。也是因为此事我才发现,360不仅仅只有咱们自己国家的人在用,就连国外也有不少人在学习使用。同时这也激发了我的好奇心,于是笔者专门上油管搜索了一下360 total security,结果却让我大为震撼。搜索过后,映入眼帘的是各种国家、各种语言的介绍视频,包括还有教你如何安装使用以及用它来和国外软件对比评测的。我着实是没想到,360作为一个国内软件不仅国内用户居多,在海外竟然也能如此受欢迎,民族自豪感油然而生!
更离谱的是,有位俄罗斯网友因为特别喜欢咱们的360浏览器,甚至通过技术手段直接制作了一个俄文版本,这波操作简直给我看呆了,心想:不愧是战斗民族,连做事风格都这么飒!第二件事:不知道大家是否还记得前阵子我国外交部揭露漂亮国的黑客帝国事件,经过360的仔细筛查,发现老美已对47个国家和地区发动了长达10多年的网络攻击,十分可恨。另外,就在前几天360还爆出了美国正在使用的顶级网络武器,量子攻击平台发起的这些网络攻击。毫不夸张的说,假如不是360的挺身而出,估计到现在我们对老美的所作所为还浑然不知。经过这两件事之后,360公司的官方微博也惨遭国内网友攻陷。直到今天,我们在官方微博的下方还能看到评论区中仍有不少网友对其称赞表扬,360也因此收获大批粉丝。看到这里,我相信在座的各位也非常清楚我为什么在文章的开头说自己会毫不犹豫的360。试问,这样的优秀的国产企业,难道不值得我们追捧吗?
1、人性式攻击,比如钓鱼式攻击、社会工程学攻击,这些攻击方式,技术含量往往很低,针对就是人性。有点骗子攻击的味道。著名黑客菲特尼客,以这种攻击为特长。
2、中间人攻击,各式各样的网络攻击,合拢而来几乎都是中间人攻击,原因很简单,任何两方面的通讯,必然受到第三方攻击的威胁。比如sniffer嗅探攻击,这种攻击可以说是网络攻击中最常用的,以此衍生出来的,ARP欺骗、DNS欺骗,小到木马以DLL劫持等技术进行传播,几乎都在使用中间人攻击。
3、缺陷式攻击,世界上没有一件完美的东西,网络也是如此,譬如DDOS攻击,这本质上不是漏洞,而只是一个小小的缺陷,因为TCP协议必须经历三次握手。
4、漏洞式攻击,就是所谓的0day
Hacker攻击,这种攻击是最致命的,但凡黑客手中,必定有一些未公布的0day漏洞利用软件,可以瞬间完成攻击。
标签:网络攻击软件
已有4位网友发表了看法:
访客 评论于 2022-11-02 12:10:14 回复
我看呆了,心想:不愧是战斗民族,连做事风格都这么飒!第二件事:不知道大家是否还记得前阵子我国外交部揭露漂亮国的黑客帝国事件,经过360的仔细筛查,发现老美已对47个国家和地区发动了长达10多年的网络攻击,十分可恨。另外,就在前几天360还爆出了美国正在使用的顶级网络武器,量子
访客 评论于 2022-11-02 15:00:22 回复
LockBit勒索团伙采用了勒索软件即服务 (RaaS) 的形式,为其客户(实际发动攻击的人)提供基础设施和恶意程序,然后收取一部分赎金分红。LockBit自推出以来,一直非常活跃,帮派代表推广RaaS并在各种俄语黑客
访客 评论于 2022-11-02 18:20:52 回复
,拒绝服务)攻击,一般来说,这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包,造成对方计算机的死机。 3.WinNuke攻击 目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口
访客 评论于 2022-11-02 16:52:14 回复
件对特定RDP端口的直接攻击,仍需另外部署端口扫描攻击防范措施。 6. 定期检查、修补已知的RDP相关漏洞。 7. 创建防火墙规则限制远程桌面的访问, 以仅允许特定的IP地址。 8. RDP的登陆,应使用高强度的复杂密码以降低弱口令爆破的机会。