勒索病毒攻击内网（勒索攻击仍是威胁网络安全的主导因素）

近日Acronis发布了网络安全年中报告。研究人员称，勒索软件仍是威胁网络安全的主导因素。随着对云的依赖增加，攻击者已在基于云的网络的不同入口处寻找目标进行攻击，其更加关注 Linux 操作系统和 MSP 以及他们的 SMB 客户网络。网络安全威胁格局疾如旋踵，企业必须跟上步伐。

1、Conti和Lapsus$等勒索软件团伙正在造成严重破坏。

2、Conti 团伙向哥斯达黎加政府索要 1000 万美元的赎金，并公布了其窃取数据（672 GB）的大部分。

3、Lapsus$ 窃取了 1 TB 的数据并泄露了 7万 多名 NVIDIA 用户的凭据。同一团伙还窃取了价值 30 GB 的 T-Mobile 源代码。

4、美国国务院提供高达 1500 万美元的资金以获取有关Conti领导层和同谋者的信息。

与此同时，安全419了解到，美创科技在8月11日发布了国内《2022年7月勒索病毒威胁报告》，展现了7月国内受勒索攻击的情况：

1、受害者所在地区分布。江苏、上海、浙江、广东最为严重，其它省份也有遭受到不同程度攻击，总体来看，经济发达地区仍是被攻击的主要对象。

2 、勒索病毒影响行业分布。传统行业、医疗、教育、政府机构等行业仍是感染勒索病毒的重灾区。

3、勒索病毒家族分布。Phobos家族占比26%居首位，其次是占比15%的Makop，Mallox家族以11%位居第三。

4、勒索病毒传播方式。勒索病毒的主要攻击方式依然以远程桌面入侵为主，其次为通过海量的垃圾邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。

Acronis 网络保护研究副总裁Candid Wüest表示 ，“当今的网络威胁不断演变，并在不断规避传统的安全措施，我们需要相应的网络安全解决方案。”

美创安全实验室在报告中提醒广大用户，勒索病毒以防为主，注意日常防范措施：及时给办公终端和服务器打补丁，修复漏洞；尽量关闭不必要的端口，如139、445、3389等端口；不对外提供服务的设备不要暴露于公网之上；采用高强度且无规律的密码来登录办公系统或服务器；对关键数据和业务系统做备份；对敏感业务及其相关数据做好网络隔离；尽量关闭不必要的文件共享；定期进行木马病毒查杀。

对于勒索攻击问题，安全419一直高度关注，并于2022年开展了相关选题调研，在《勒索攻击解决方案》系列访谈中，不同的安全厂商给出了自己的思考和实践。

针对主机勒索问题，威努特于2022年年初发布了威努特主机防勒索系统。据产品经理李之云介绍，威努特主机防勒索系统根据汇总而得的勒索软件杀伤链模型，提供了多种安全设计，针对勒索病毒在主机侧的不同阶段分别做出针对性的技术应对。李之云并表示该系统在企业一侧实际上已经通过了大量的实践检验，在多场景下均实现了百分百抵御多样本勒索攻击的能力。

奇安信徐伟表示，面对日益猖狂的勒索攻击，奇安信注重四方面的能力建设：防御能力，该能力将通过一系列策略集、产品和服务，通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作；检测能力，用于发现逃过防御网络的攻击，从而降低威胁造成的“停摆时间”以及其他潜在的损失；响应能力，目标是实现高效调查和补救被检测分析功能（或外部服务）查出的安全事件，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来的安全事件；预测能力，通过对外部黑客行动的学习，主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

#网络安全##勒索软件攻击#