original="http://image.3001.net/images/20171218/15135812532817.jpg!small" data-image-enhancer="larger than third of 645" />
近日,Sophos 在最新发布的《2018 年恶意软件预测》报告中明确指出,勒索软件对于企业而言仍然是一个巨大的问题,且不会消失。2017 年,攻击者已经进一步完善了勒索软件的传播技术,致使 WannaCry、NotPetya 以及最近的 Bad Rabbit 在全球范围内爆发危机。
SophosLabs 安全研究员、《2018 恶意软件预测》报告中勒索软件分析作者 Dorka Palotay 表示:
“勒索软件已经发展成与平台无关的威胁。虽然勒索软件的主要对象是 Windows 用户,但是很明显,如果他们使用其他平台(包括移动设备),人们也不会因此幸免于难。一个最重要的证明是,我们在全球客户使用的不同装置和作业系统上都看到加密攻击的数量增加了。”
2017 年 4 月 1 日-2017 年 10 月 3 日的勒索软件攻击
勒索软件仍然是令许多企业头疼的问题,SophosLabs 通过对过去 6 个月中最高产且最活跃的勒索软件家族及其攻击媒介进行分析,为企业应对这些威胁提供了解决之道。
以下统计数据涵盖了 2017 年 4 月 1 日至 10 月 3 日这六个月时间的勒索软件攻击情况,数据是通过对 Sophos 的客户计算机进行查询收集的。
其中,发现于今年 5 月的 WannaCry 居客户电脑拦截回报的勒索软件的首位,取代了长期以来的主流勒索软件 Cerber(于 2016 年初首次出现)的领导地位。在所有 SophosLabs 追踪的勒索软件中,WannyCry 占了 45.3%,Cerber 占了 44.2%。
Palotay 表示:
“这是我们第一次看到具有蠕虫特征的勒索软件,而这项特色让 WannaCry 得以快速扩张。这个勒索软件利用已知的 Windows 漏洞感染并传播到所有计算机设备中,因此很难管控。尽管 WannaCry 已经逐渐减少,而且我们的客户已经受到了保护,但是我们仍然可以看到威胁存在,因为它与生俱来的特性就是会继续扫描和攻击电脑。我们预计网络犯罪分子会利用 WannaCry 和 NotPetya 以及其复制能力,而这一点已经出现在 Bad Rabbit 勒索软件中,其与 NotPetya 有许多相似之处。”
SophosLabs 发布的《2018 恶意软件预测》显示,2017 年 6 月,NotPetya 勒索软件在经历快速爆发后开始销声匿迹。NotPetya 最初是通过一家乌克兰会计软件套件向外传播,但影响力仅限于当地。像 WannaCry 一样,它能够通过 EternalBlue 漏洞进行传播,但是由于 WannaCry 先前已经感染了大多数有漏洞的电脑,所以几乎所有电脑都已经打了补丁,容易受到攻击的并不多。
NotPetya 背后的动机还不清楚,因为这次攻击有许多失误、漏洞和缺点。例如,根据 Palotay 的说法,受害者联系攻击者所需的电子邮件帐户无效,因此受害者无法解密和恢复他们的数据。
Palotay 表示:
“NotPetya 扩散的速度迅猛且激烈,并真正对企业造成了伤害。这是因为它永久地破坏了目标电脑上的数据。幸运的是,NotPetya 消失的速度几乎和出现的一样快,我们怀疑网络犯罪分子正在进行实验,或者他们的真正目标并不是勒索软件,而是像数据“雨刮器”那样更具破坏性的东西。无论其意图如何,Sophos 都强烈建议受害者不要支付赎金,并推荐了一些最佳作法,其中包括备份数据和安装 Sophos Intercept X,该软件可以在几秒钟内检测到零日勒索软件。”
此外,Cerber 仍然在暗网上以勒索软件套件的形式进行出售,它也是一个危险的威胁。Cerber 的开发者主要通过从使用它的攻击者处抽取受害者缴纳的部分赎金作为利润。该恶意软件正在不断进行完善和更新,以保持其领先安全软件的绝对优势。定期更新的新功能使得 Cerber 不仅是一个有效的攻击手段,而且广受网络犯罪分子青睐。
Palotay 表示,
“不幸的是,暗网的商业模式可以运作且与合法的公司类似,可能会资助 Cerber 持续发展。我们可以假设牟利是撰写者维护程式码的一大动机。”
Android 勒索软件正在不断攀升
Android 勒索软件也吸引了网路犯罪分子的目光。根据 SophosLabs 分析,2017 年,使用 Android 设备的 Sophos 客户几乎每个月受到的攻击都增加了。
SophosLabs 安全研究员 Rowland Yu 表示:
“仅在 9 月份,SophosLabs 处理的 Android 恶意软件中就有 30.4% 是勒索软件。我们估计 10 月份将跃升至 45% 左右。我们认为 Android 勒索软件暴增的原因之一,是因为这是网络犯罪分子牟利的简单方法,而不需要使用如窃取联络人和短信、弹出式广告或银行网络钓鱼等复杂的黑客手法。另外需要注意的是,我们注意到 Android 勒索软件主要都是在非 Google Play 市场上发现的,这也是用户对下载的应用程序的位置和类型需要更为谨慎的另一个原因。”
截止到 2017 年年底,SophosLabs 分析系统将处理大约1,000 万个可疑的 Android 应用程序,高于整个 2016 年处理的 850 万个。其中绝大多数(77%)是恶意软件,另有 23% 是 PUA。
恶意应用程序的数量在过去四年呈现稳步增长的趋势。在 2013 年,只有 50 多万的恶意应用程序。到了 2015 年,这一数字已经上升到了大约 250 万。再到 2017 年,这个数字已经高达近 350 万。
同时,我们也看到了 PUA 呈现了下降趋势。其数量在 2013 年至 2016 年间呈稳步上升趋势,但到了 2017 年则从 140 万降至 100 万以下。
2017 年,在最顶级的移动恶意软件家族中,最活跃的当数 Rootnik(SophosLabs 阻止了 42% 的此类恶意软件),其次 PornClk(14%),而 Axent、SLocker 和 Dloadr 则分别以9%、8% 和6% 的比例排在第3、4、5 名。
此外,研究人员还发现,Google Play 上的很多应用程序与 Rootnik 存在联系,而且该家族在 9 月下旬也被发现利用 DirtyCow Linux 漏洞进行传播。
勒索软件防御措施
Sophos 建议用户可以通过如下手段更好地保护自身免受勒索软件威胁:
定期备份并保留最近的备份副本。除了勒索软件之外,还有很多方法可以丢失文件,比如火灾、洪水、盗窃、掉落的笔记本电脑甚至意外删除。加密您的备份,您将不必担心备份设备落入不法之徒手中。
不要在通过电子邮件接收到的文档附件中启用宏。为了保障安全,微软已经在多年前故意关闭了宏的自动执行。如今,许多恶意软件感染依赖于说服你重新开启宏,所以不要这样做!
谨慎对待来自不明的附件。如果你不点击收到的可疑文件,攻击者便难以执行下面的操作,所以,除非你明确文件的来源,否则不要轻易点开,如果存在疑问,可在咨询相关人员确定后选择点开或忽略。
尽早更新补丁并定期修复补丁。不通过文档宏进入的恶意软件通常依赖于流行的应用程序(包括 Office、浏览器以及 Flash 等)中的安全漏洞。越早打补丁,漏洞利用的机会就越少。
关于 Sophos
Sophos 是网络和端点安全的全球领导者,30 多年来,发展出可以相辅相成的端点、网络、加密、网页、电子邮件和移动安全解决方案产品组合,现有 150 个国家/地区的 1 亿多名用户选择 Sophos 的解决方案,为复杂的威胁和数据外泄提供全面防护。
点击查看完整报告
参考来源:sophos,米雪儿编译,转载请注明来自 FreeBuf.COM
相关文章
