LockBit2.0勒索软件攻击埃森哲 国内企业应加强防范
发布网友
发布时间:2022-10-07 20:55
共1个回答
热心网友
时间:2023-10-30 07:47
近日,全球IT咨询巨头埃森哲遭到LockBit勒索团伙的网络攻击,公司6TB的内部数据被窃取,2500台计算机遭遇宕机,所中病毒为LockBit的2.0版本。由于LockBit2.0勒索软件近段时间异常活跃,且危害性较大,因此瑞星公司发布安全提醒,建议广大用户加强警惕,谨防LockBit2.0勒索软件大规模爆发。
事件回顾:
8月11日,全球IT咨询巨头埃森哲遭受了来自LockBit勒索软件团伙的攻击,其2500台属于员工和合作伙伴的计算机已中招,此次埃森哲遭遇的网络攻击,是LockBit勒索软件的2.0版本。LockBit团伙表示,如果埃森哲不尽快支付5000万美元(约合3.2亿人民币)赎金,将会把所窃取的6TB数据公之于众。
图:LockBit勒索软件运营商网站显示数据泄露倒计时
据悉,埃森哲是全球最大的上市咨询公司和《财富》世界500强公司之一,提供战略、咨询、数字、技术和运营服务及解决方案。为超过120个国家200个城市的客户提供服务,其客户包括超过四分之三的世界500强企业、各国*机构以及军队。埃森哲涉足 汽车 、银行、*、技术、能源和电信等领域,市值2032亿美元,旗下拥有超过50万员工。
勒索软件及其组织背景:
Lockbit勒索软件早在2019年9月就被发现,当时称之为“ABCD病毒”,利用此勒索软件进行攻击的黑客团伙以针对企业及*组织而出名,主要目标为中国,印度,印度尼西亚,乌克兰、英国,法国,德国等国家。今年6月,LockBit勒索团伙将原有勒索软件升级为LockBit 2.0版本,并对外宣称这是全世界加密最快的勒索软件,可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。
图:勒索软件加密速度对比表
瑞星安全研究院介绍,由于该勒索软件通过RDP弱口令爆破攻击,不仅加密本地磁盘文件,还将枚举并加密同一网段下的所有共享磁盘,同时加密方式采用了RSA结合AES,因此至今在没有秘钥的情况下是无法被破解的。
LockBit勒索团伙采用了勒索软件即服务 (RaaS) 的形式,为其客户(实际发动攻击的人)提供基础设施和恶意程序,然后收取一部分赎金分红。LockBit自推出以来,一直非常活跃,帮派代表推广RaaS并在各种俄语黑客论坛上提供支持。当勒索软件主题在网络犯罪论坛上被禁止后,LockBit于2021年6月在其数据泄漏站点上宣布了LockBit 2.0 RaaS。
图:LockBit2.0 RaaS的宣传信息
预防措施:
瑞星公司发现,国内已有部分企业感染了LockBit2.0勒索软件,同时从瑞星“云安全”系统数据可以看出,仅7月份所截获勒索软件样本就有1.12万个,感染次数为5.7万次,因此考虑到LockBit 2.0感染性和危害性巨大,瑞星为广大用户提供以下防御措施:
针对RDP弱口令攻击的防范建议:
1. *可使用RDP的用户,仅将远程访问授权给那些必须用它来执行工作的人。
2. 建立双重验证,如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。
3. 设置访问锁定策略,通过配置账户锁定策略,调整账户锁定阀值与锁定持续时间等配置,可以有效抵御一定时间下高频的暴力破击。
4. 审视RDP的使用需求,如果业务不需要使用它,那么可以将所有RDP端口关闭,也可以仅在特定时间之间打开端口。
5. 重新分配RDP端口,可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击,仍需另外部署端口扫描攻击防范措施。
6. 定期检查、修补已知的RDP相关漏洞。
7. 创建防火墙规则*远程桌面的访问, 以仅允许特定的IP地址。
8. RDP的登陆,应使用高强度的复杂密码以降低弱口令爆破的机会。
针对系统安全性的防范建议:
1. 及时更新软件及系统补丁。
2. 定期备份重要数据。
3. 开启并保持杀毒软件及勒索防护软件功能的正常。
4. 定期修改管理员密码并使用复杂度较高的密码。
5. 开启显示文件扩展名,防范病毒程序伪装应用程序图标。
针对局域网安全性的防范建议:
1. 非必要时可关闭局域网共享文件或磁盘,防止病毒横向传播。
2. 对局域网共享文件夹设置指定用户的访问权限,防止不必要的权限遭到病毒滥用。
3. 通过防火墙规则*如445、3389端口/关闭445、3389端口或是修改端口号,防止病毒通过扫描端口等方式查询区域资产信息。
