当地时间5月9日,美国宣布进入国家紧急状态,原因是东欧一个犯罪团伙在5月7日对美国最大的燃you管道运营商Colonial Pipeline发起了勒索病毒攻击,导致Colonial Pipeline关闭其美国东部沿海各州供油的关键燃油网络,暂停运营。
相信这是美国史上能源基础设施遭受的最大规模网络攻击,如事态持续恐令汽油价格飙升。
Colonial Pipeline是美国最大的成品油guan道,每天通过管道系统输送超过1亿加仑的燃料,该管道系统连接得克萨斯州休斯顿和新泽西州林登,跨度长达5500多英里,美国东海岸45%的燃料都由该管道系统提供,此外Colonial Pipeline还为美国军方提供精炼石油产品,例如汽油、柴油、喷气燃料。
Colonial Pipeline管道
Colonial Pipeline在最新的声明中指出:
5月7日,Colonial Pipeline公司发现遭受网络攻击。此后,我们确定该事件涉及勒索软件。作为响应,我们主动使某些系统脱机以控制威胁,该攻击暂时停止了所有管道的运行,并影响了我们的某些IT系统。得知此问题后,一家领先的第三方网络安全公司被聘用,他们已经对该事件的性质和范围进行了调查,该调查正在进行中。我们已经联系了执法部门和其他联邦机构。
Colonial Pipeline正在采取措施来解决此问题。目前,我们的主要重点是安全高效地恢复服务以及努力恢复正常运行。此过程已经在进行中,我们正在努力解决此问题,并最大程度地减少对我们的客户以及那些依赖Colonial Pipeline的客户的干扰。
勒索病毒响应措施
勒索病毒,是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。主机在感染勒索病毒后,除了自身会被加密,勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机,所以当发现一台主机已被感染,应尽快采取响应措施,以尽可能减少损失。
隔离中毒主机:
l 物理隔离:断网,拔掉网线或禁用网卡,防止病毒进一步扩散。
l 逻辑隔离:
设置访问控制:禁止已感染主机与其他主机互相访问;
关闭端口:根据实际情况关闭不必要的端口,如139、445、3389等端口,降低被漏洞攻击的风险;
修改密码:使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。
排查其它主机:
隔离已感染主机后,应尽早排查业务系统与备份系统是否受到影响,确定病毒影响范围,准备事后恢复。如果存在备份系统且备份系统是安全的,就可以将损失降到最低,也可以最快的恢复业务。
主机加固:
及时给电脑打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。
勒索病毒预防建议
勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:
1)及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
2)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
3)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
4)企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
5)对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
6)尽量关闭不必要的文件共享。
7)提高安全运维人员职业素养,定期进行木马病毒查杀。
8)部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
9)安装诺亚防勒索系统,防御各类已知和未知勒索病毒。
美创科技诺亚防勒索系统
美创科技通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【 诺亚防勒索系统】。美创诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。
来源:freebuf.com 2021-05-10 17:48:37 by: 杭州美创科技
请登录后发表评论
注册