勒索黑客攻击美关键基础设施是大义凛然？ – 作者:东巽科技2046Lab

事件回顾 

据悉，5月7日美国发生一起重大网络安全事件，美国东部最大的管道运营商Colonial Pipeline遭到了黑客攻击，迫使其关闭了向美国东部供油的管道。美国政府在当地时间周日制订了紧急法案并与Colonial Pipeline展开合作，协助其恢复运营。Colonial pipeline 一天运输250万桶汽油、柴油及航空燃油，运送量高达美国东海岸总供应量的45%，美国汽车协会(American Automobile Association)等团体的燃料零售专家表示，本次中断若持续数日，可能对地区燃料供应造成严重影响，特别是美国东南部。对国家关键基础设施的网络攻击直接影响国家安全，需引起高度重视。

Colonial Pipeline燃料供应路线

5月10日，FBI官方确认黑客组织DarkSide要为这次攻击事件负责，调查还在继续进行中。由于这次的勒索软件会在检测到系统语言是俄系语言时停止恶意行为，导致业界怀疑这次网络攻击和俄罗斯或者东欧有关，但目前尚无进一步的证据支撑这一论断。

DarkSide作为一个黑客组织，主要通过RaaS（ransomeware as a service 勒索软件即服务 ) 的商业模式运作，他们租借自己的勒索软件和基础设施给其他网络犯罪团伙使用以赚取利润分成。有趣的是DarkSide发表声明，表示这次攻击是由于选择“客户”不慎造成的，以后会加强审核，也表达了他们是非政治性的，单纯以盈利为目的。他们承诺不会攻击健康机构、学校、“付不起赎金的公司”，甚至还做过一些商业募捐。当然这些都是为了提高自己的声誉，增加受害者支付赎金的概率以及获取更多的勒索软件客户的营销手段。由于此次攻击事件造成严重后果，美国政府也参与了调查，面对国家级别力量的介入， 犯罪分子所谓的”正义“、”善举“也将面临审判，就好比墨西哥毒贩会为当地村落修路、给村里老人发钱，只是为了更方便地运输毒品、获取到当地人的好感以吸引更多人参加贩毒团伙，而不是他们有多善良和正义。犯罪分子真正在乎的从来只有怎么更快更多地从受害者身上榨取利润。

据统计，2020年已知的勒索软件利润大约为3.7亿美元，比2019年增长了336%。在巨大的利益驱动下，近年来网络勒索犯罪市场越发专业化，渗透攻击团队、勒索服务提供团队、洗钱团队等分工明确，使得网络勒索行为更加“高效”同时也更难溯源。勒索软件市场上逐渐形成了一些流行的家族，比如Ryuk、Maze等，更有一些APT组织（如Lazarus、APT27）也开始使用勒索病毒进行攻击。

勒索软件历年收益

数字货币的兴起和勒索软件的流行使得网络犯罪越发猖獗，于国家而言：基础设施受到破坏会威胁到国家安全，影响民生；于企业而言：商业机密被窃与用户数据泄露都会使企业蒙受巨大损失。面对网络攻击，受害者往往会处于溯源难、恢复难的困境。我们首先应该做的，就是重视网络安全，把网络安全建设作为企业建设中的重要组成部分，提高自身网络的安全性。

虽然勒索病毒的危害很大，但分发勒索病毒之前的网络入侵是发生网络攻击的前提，而弱口令爆破、电子邮件钓鱼（鱼叉钓鱼攻击）是当前主要的入侵方式。

企业应该定期进行网络安全培训，提高员工的网络安全意识，做好针对勒索病毒的安全防范工作：

• 企业内使用的操作系统、软件要及时更新补丁

• 设置密码强度规则，禁止使用弱密码、不重复使用相同密码

• 不打开未知链接

• 不打开未知电子邮件

• 关键数据做好异地备份

另外，怎样有效防范电子邮件鱼叉钓鱼攻击，可参考：《塔防方式阻击鱼叉钓鱼攻击》

从流量检测实时发现网络异常 

铁穹高级持续性威胁预警系统是你可以信赖的网络安全护盾，可有效防范来自勒索病毒的危害。通过在网络出口出部署铁穹，对网络流量进行监测，针对各种网络入侵攻击、恶意代码传播、黑客控制及渗透攻击等，尤其是新型网络攻击、隐蔽黑客控制、APT攻击等高级网络攻击，对攻击中广泛采用的0day/Nday漏洞、特种木马、渗透入侵等技术进行深度分析，挖掘网络空间中的已知和未知攻击威胁。

系统除了具备与IDS、IPS、杀软等安全产品类似的特征方式检测引擎外，还实现了沙箱检测、机器学习、隐蔽信道、异常通信检测等未知威胁的检测引擎，这些引擎区别于特征检测，采用了行为分析、机器学习算法等新兴的技术，即使病毒变种、出现新的木马，也可以通过其恶意行为和算法进行识别。因此，系统既可识别已知的攻击，也可检测未知的恶意文件和恶意流量的攻击行为，最大限度发现APT新型网络攻击行为，提高整体网络安全级别。

来源：freebuf.com 2021-05-12 10:02:42 by: 东巽科技2046Lab