360CERT網絡安全十月月報 | 十月份全球新增7大活躍勒索病毒家族
責編:gltian |2021-11-11 14:44:37近日,三六零公司(股票代碼:601360.SH,以下簡稱“360”)網絡安全響應中心(以下簡稱“360CERT”)發布《網絡安全十月月報》(以下簡稱“十月月報”),通過對十月份安全漏洞分析、網絡安全重大事件、勒索病毒攻擊態勢等內容的梳理,為網絡安全等相關人員提供精準的網絡安全態勢走向,便于更好的掌握網絡安全發展趨勢。
本月攻擊態勢主要聚焦了僵尸網絡攻擊、釣魚郵件攻擊和針對Web應用和數據庫的攻擊三方面。其中,10月針對Web應用和數據庫的攻擊相比較9月呈現明顯的上升趨勢。而本月釣魚攻擊較為活躍,攻擊依然以投遞銀行木馬的垃圾郵件攻擊為主,此外,“看門狗”等針對特定人群的黑客團伙也十分活躍,這類黑客團伙主要通過即時通訊軟件進行釣魚文件傳播,用戶運行釣魚文件后,目標機器上被植入遠控木馬。與之前幾個月以偽裝成文檔、圖片等可執行文件為主的攻擊方式不同,本月攻擊者更多使用Office公式編輯器漏洞發起攻擊,有超過45%的攻擊是通過Office公式編輯器漏洞利?實現的。
安全漏洞
2021年10月 ,360CERT共收錄31個漏洞,其中嚴重7個,高危20個,中危3個,低危1個。主要漏洞類型包含?份驗證繞過、代碼執?、內存越界寫、緩沖區溢出等。涉及的?商主要是Apache 、Adobe、Apple、Cisco、QNAP、Windows等。
在十月月報收錄的31個漏洞中,重點介紹了其中5個重點漏洞事件,包括CVE-2021-42013: Apache HTTP Server 路徑穿越漏洞、2021-10 補丁日: 微軟多個漏洞安全更新、CVE-2021-42340: Apache Tomcat 拒絕服務漏洞、2021-10 補丁日: Oracle多個產品漏洞和CVE-2021-22205:Gitlab 遠程命令執行漏洞。
安全事件
本月收錄安全事件236項,話題集中在數據泄露、惡意程序、網絡攻擊方面,涉及的組織 有:Microsoft 、Google 、Twitter 、Facebook、Apple、FBI、YouTube等。涉及的行業主要包含IT服務業、制造業、金融業、政府機關及社會組織、醫療行業、交通運輸業等。其中本月收錄的16起重點事件中有11起為IT服務業領域發生的,IT服務業發生安全事件的占比較上個月有所增長,從上個月的45.38%增長為十月的61.7%。
在十月月報中,重點梳理了8起APT事件。其中,NOBELIUM組織的新供應鏈攻擊活動成為本期熱點。微軟威脅情報中心檢測到與NOBELIUM組織相關的攻擊活動,該組織試圖攻擊多個云服務提供商(CSP)、托管服務提供商(MSP)的客戶,以及由其他組織授予管理或特權訪問權限的IT服務組織。自2021年5月以來,美國和歐洲各地的組織都受到過攻擊。微軟威脅情報中心估計,NOBELIUM組織已經發起了?場針對這些組織的攻擊活動,以利用提供商與政府、智庫和他們服務的其他公司之間現有的技術信任關系。
對此,十月月報給出了相應的安全建議,網絡防護方面,重點要在網絡邊界部署安全設備,如防?墻、IDS、郵件網關等,要做好資產收集整理工作,關閉不必要且有風險的外網端口和服務,及時發現外網問題等;系統防護方面,及時對系統及各個服務組件進行版本升級和補丁更新,各主機安裝EDR產品,及時檢測威脅,嚴格做好主機的權限控制等;數據安全方面,及時備份數據并確保數據安全,合理設置服務器端各種文件的訪問權限,敏感數據建議存放到http無權限訪問的目錄等;安全管理方面,網段之間進行隔離,避免造成大規模感染,主機集成化管理,出現威脅及時斷網,注重內部員工安全培訓等。
惡意程序
2021年10月,全球新增的活躍勒索病毒家族有 :MacwLocker、DeepBlueMagic、yanluowang、Cring、Spook、BronyaHaxxor、Mallox等勒索病毒家族,其中MacwLocker是Evil Corp網絡犯罪團伙為逃避美國制裁而更名的勒索軟件;yanluowang是?款國內未知團伙創建的針對國外企業進行攻擊的勒索軟件;Spook是本月?款新增的雙重勒索軟件,在其數據泄露網站已展示37個受害者;本月針對國內用戶進行攻擊的YourData以及BeijingCrypt兩個家族異常活躍。
其中,針對本月勒索病毒受害者所中勒索病毒家族進行統計,YourData家族占比23.76%居首位,其次是占比20.09%的BeiJingCrypt,phobos家族以13.39%位居第三。
當前,通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的數據泄露的風險也越來越大。對此,十月月報中收錄了通過數據泄露獲利的勒索病毒家族占比,該數據僅為未能第?時間繳納贖金或拒繳納贖金部分(已經?付贖?的企業或個?,可能不會出現在這個清單中)。
對此,360安全大腦也建議用戶不支付勒索病毒贖金,支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。可以嘗試通過備份、數據恢復、數據修復等手段挽回部分損失。