LockBit勒索攻擊大殺四方，天守助您完成勒索攻擊五層防護體系

2023-11-24 16:19:18 來源：今日熱點網

近期以來，針對金融、能源等關基行業的勒索攻擊，又開始全球發酵。不久前，某金融機構在官網發布聲明稱遭受了勒索軟件攻擊，導致部分系統中斷，LockBit組織確認對本次攻擊負責。奇安信服務器安全專家提醒，LockBit勒索家族號稱加密最快的勒索軟件，包括波音公司在內，超過千家企業遭受LockBit勒索軟件攻擊。

圖源于網絡

01

金融、能源和中小企業更易受到勒索攻擊

值得注意的是，這并非LockBit今年頭一次發動擾亂全球金融體系的網絡攻擊，八個月前，ION Trading UK（一家為全球衍生品交易者提供服務的公司）遭遇LockBit勒索軟件攻擊，導致市場癱瘓，迫使其手動處理每天數千億美元的交易。

眾所周知，金融安全是國家安全的重要組成部分，是經濟平穩健康發展的重要基礎。今年的一份報告估計，匯總全球自2018年以來的數據，金融業因勒索軟件攻擊造成宕機的經濟影響高達323億美元。與此同時，國外網絡安全公司發布了《針對能源行業的勒索軟件攻擊呈上升趨勢-核能、石油和天然氣是2024年的主要攻擊目標》，總結了其發現的勒索軟件攻擊趨勢。其中，針對能源行業的勒索軟件攻擊顯著增加。

除了金融和能源行業之外，互聯網工作需求越來越大，中小企業也成為了勒索攻擊的主要目標。根據國外一份安全調研報告顯示，在2021年的勒索攻擊有75%是針對于中小企業發起的。這些中小企業往往沒有成熟的自我保護機制，在網絡防護中存在諸多薄弱環節，很容易成為勒索攻擊的目標。奇安信服務器安全團隊研究發現，2022年，LockBit成為最活躍的勒索軟件團伙，擁有全球植入最多的勒索軟件變種，并在2023年持續在全球發酵，遭受LockBit攻擊的行業涵蓋各個領域，包括金融業、制造業、能源、政府、醫療、教育、運營商等。

目前的LockBit不斷演進迭代，經歷了多個版本，現在主流的LockBit 3.0是勒索軟件LockBit 2.0和 LockBit的延續，同時LockBit也將BlackMatter和 ALPHV（BlackCat Ransomware）等其他勒索軟件集成到LockBit3.0中，更重要的是，有組織觀察到LockBit利用工具進行二次勒索事件。

LockBit最常用的攻擊手段，包括了利用釣魚郵件攻擊、利用系統漏洞攻擊（例如永恒之藍、log4j、OA漏洞等）、利用安全漏洞攻擊（如弱口令、遠程代碼執行等網絡產品安全漏洞）、利用遠程登錄攻擊、利用網站掛馬傳播、利用移動介質傳播、利用軟件供應鏈傳播、利用遠程桌面入侵傳播等，由于攻擊手法多樣，給網絡安全防護造成極大的難度。

02

奇安信天守提供防勒索專項安全防護方案

2023年9月，奇安信天守終端安全防護系統發布了針對勒索攻擊防護的專項安全能力。該服務以勒索攻擊的事前、事中為主要防護階段，實現病毒實時防護、漏洞風險核查、弱口令風險核查、高級威脅攻擊防護以及勒索專項防護（勒索誘餌、文件讀寫防護）五個層面的遞進式防護體系，從而在勒索病毒滲透和加密的各個入侵環節嚴密防護，積極對抗，構建勒索防護能力閉環。

在病毒實時防護方面，天守病毒檢測功能支持LockBit勒索家族樣本查殺。將天守-防勒索版病毒碼升級到最新版本，可有效防護勒索病毒落地。六合高級威脅防護引擎，有效防護無文件攻擊、橫移滲透攻擊、內存攻擊等多個高級威脅攻擊。

在漏洞風險核查方面，第一步是開啟高危漏洞識別功能，通過下發已梳理在推薦模板中被勒索病毒武器化的高危漏洞掃描任務，根據掃描出來的漏洞進行修復，能有效降低勒索病毒利用高危漏洞攻擊的風險，防止攻擊者利用高危漏洞投放勒索病毒。

在弱口令風險核查方面，開啟弱口令核查功能，需要對系統弱口令進行檢測，將不符合要求的弱口令用戶密碼進行提示。方便用戶及時掌控安全動態，及時整改弱口令風險，避免通過弱口令進行勒索入侵。

在文件監控與防護方面，基于勒索病毒在文件系統層、磁盤IO讀寫層進行勒索加密時的行為特征，天守利用隱私防護功能在文件被越權進行讀、寫時進行攔截提醒，有效防御勒索進程運行，阻塞勒索操作。

最后是天守勒索專項防護，天守防勒索專項提供了17項攻擊防護內容，以及多個高級威脅防護項目。對勒索威脅提供了預警、日志等手段幫助管理員實現和開展企業內終端的勒索防護工作。天守還提供了勒索誘餌防護功能，系統會在操作系統中創建誘餌doc文件，并實時監控該文件的寫入，正常業務不會訪問到誘餌文件。當勒索病毒遍歷系統中文檔并加密時，也會對誘餌文件進行加密，同時該功能會監控到加密文件的勒索病毒進程，阻斷該進程并隔離進程關聯的勒索病毒文件。