安全警示：鎖定中小企業(yè)的勒索軟件正在改變戰(zhàn)術(shù)

責(zé)任編輯：editor004 作者：子鉃 |來源：企業(yè)網(wǎng)D1Net 2015-11-17 10:49:06 本文摘自：賽迪網(wǎng)

勒索軟件 Ransomware已經(jīng)成為一個突出的網(wǎng)絡(luò)安全威脅，他們往往會以加密文件的方式勒索高額的贖金。亞信安全在近日發(fā)布警示：勒索軟件攻擊的發(fā)起者已經(jīng)將攻擊延伸到中小企業(yè)（SMB），因為中小企業(yè)往往不會像大型企業(yè)那樣部署復(fù)雜的安全解決方案，且與消費者相比，中小企業(yè)也更有能力支付贖金。對此，亞信安全建議：中小企業(yè)員工不僅要提高安全意識，按照3-2-1法則備份文件，而且企業(yè)應(yīng)部署周密的網(wǎng)絡(luò)安全解決方案，通過偵測惡意文件和垃圾郵件并封鎖相關(guān)網(wǎng)址等技術(shù)，在各層面防御勒索軟件帶來的威脅。

想像一家擁有少于50名員工的公司，某天公司主管收到了一封內(nèi)嵌看似正常網(wǎng)址的電子帳單郵件，他們點擊鏈接而導(dǎo)致感染勒索軟件。不幸的是該公司并沒有備份信息，因此他們更傾向選擇支付贖金以解密文件，但這樣很可能會導(dǎo)致網(wǎng)絡(luò)犯罪分子在未來進行更多輪攻擊。

在近期發(fā)現(xiàn)的勒索軟件中，亞信安全發(fā)現(xiàn)最大的威脅來自TorrentLocker和CryptoWall，他們都屬于Ransomware的變種。亞信安全通過統(tǒng)計點擊TorrentLocker和CryptoWall相關(guān)電子郵件內(nèi)惡意鏈接（2015年6月-7月）的用戶類型，發(fā)現(xiàn)中小企業(yè)在受害者中的比例最高。其中，點擊CryptoWall相關(guān)電子郵件內(nèi)惡意鏈接的用戶大多數(shù)屬于中小企業(yè)用戶。

yx01

點擊CryptoWall設(shè)下釣魚郵件的被害者，近七成為中小企業(yè)用戶

　　亞信安全還發(fā)現(xiàn)，大多數(shù)TorrentLocker相關(guān)惡意網(wǎng)址仍然是由中小企業(yè)（46.36%）點擊，但消費者點擊的比例（42.15%）也居高不下。

yx02

點擊TorrentLocker相關(guān)網(wǎng)址的用戶，中小企業(yè)仍然位居首位

攻擊往往在上班時間發(fā)動

　　由于勒索軟件攻擊主要以中小企業(yè)用戶為主，因此不法分子更傾向在上班的時間來發(fā)動攻擊。亞信安全將用戶點擊CryptoWall網(wǎng)址的時間數(shù)據(jù)（2015年7月初）整理成下圖，可以看到目標受害者一般在上午9點到下午1點之間點擊這些鏈接，與員工的上班時間恰恰吻合。

yx03

攻擊爆發(fā)當天的每小時惡意網(wǎng)址點擊量（2015年7月）

用來滲透企業(yè)用戶的社交工程誘餌

今年大部分用于勒索軟件的社交工程（socialengineering ）誘餌都和企業(yè)活動相關(guān)。例如，CryptoWall會利用簡歷、訂單和護照作為其垃圾郵件主旨。對此，亞信安全業(yè)務(wù)發(fā)展總監(jiān)童寧指出：“雖然CryptoWalll所用誘餌不會根據(jù)區(qū)域而有所不同，但TorrentLocker卻以針對區(qū)域定制化而知名，它們的社交工程誘餌會依受害國家設(shè)計，此類威脅通常會根據(jù)不同區(qū)域的特點，有針對性地假借郵遞服務(wù)、電信、公共事業(yè)和政府機構(gòu)通知的名義來制作誘餌。”

據(jù)亞信安全主動式云端截毒技術(shù)的反饋信息，澳大利亞（31.54%）、意大利（26.60%）和土耳其（20.40%）是TorrentLocker相關(guān)電子郵件攻擊最流行的三個國家，并且在這三個國家中，勒索軟件所使用的誘餌有很大的不同。

值得注意的繞過安全防御戰(zhàn)術(shù)

勒索軟件將焦點變換到企業(yè)目標的一個重要證據(jù)是其所使用的閃避技術(shù)，部分TorrentLockerr變種具備自毀功能，以防止IT人員采集樣本建立安全措施。勒索軟件網(wǎng)頁還會要求用戶使用驗證碼登錄，這讓自動抓取工具和沙箱技術(shù)更難識別惡意軟件樣本。同時，他們會選精心擇攻擊時間來攻擊更多的企業(yè)用戶。而另一個被用在TorrentLocker和CryptoWall的戰(zhàn)術(shù)是利用淪陷網(wǎng)站來隱藏重新導(dǎo)向，進而避免在受感染系統(tǒng)上被偵測。

亞信安全建議：保護你的企業(yè)環(huán)境

在近幾年的演化過程中，勒索軟件已經(jīng)從簡單的恐嚇軟件演化成會加密文件、系統(tǒng)的加密勒索軟件，最終達到讓受害者支付贖金的目的。由于勒索軟件攻擊會給不法分子帶來巨大的收益，因此有理由相信勒索軟件會持續(xù)改善其戰(zhàn)術(shù)，以感染更多的企業(yè)。

yx04

從恐嚇軟件到加密勒索軟件

亞信安全業(yè)務(wù)發(fā)展總監(jiān)童寧還建議：“勒索軟件會給企業(yè)帶來機密信息泄露的嚴重風(fēng)險。然而，中小企業(yè)可以通過提高員工安全意識來保護自己的網(wǎng)絡(luò)，例如，在打開電子郵件時先驗證發(fā)件人，在點擊網(wǎng)站前先檢查其信譽評比，不要啟用巨集以避免CryptoWall執(zhí)行。我們也再三強調(diào)過備份文件的重要性，最佳做法是按照3-2-1法則：針對每一份重要數(shù)據(jù)都備份三份數(shù)據(jù)副本，以兩個不同的格式存儲這些數(shù)據(jù)，并保持一份在異地。”

此外，亞信安全提醒中小企業(yè)主，必須部署周密的網(wǎng)絡(luò)安全解決方案，通過偵測惡意文件和垃圾郵件并封鎖相關(guān)網(wǎng)址等技術(shù)，在各層面防御勒索軟件帶來的威脅。

關(guān)鍵字：勒索中小企業(yè)戰(zhàn)術(shù)