集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

从埃森哲数据遭窃事件,看企业数字安全应如何抵挡勒索危机?

2021-08-16

在网络空间中,兴风作浪多时的勒索病毒,凭借加密文件敲诈钱财的恶劣手段,无时不在危害着全球数字资产安全。

 

近日,360安全大脑监测到Lockbit2.0在其数据泄露网站发布了关于网络保险提供商、全球IT咨询巨头埃森哲已遭受勒索攻击的相关新闻。该团伙不仅加密了埃森哲2500台设备,还从内网中窃取了6TB数据。Lockbit团伙发布警告:若不在指定时间内支付5000万美元(约3.2亿人民币)赎金,将公开发布窃取到的全部数据。

 

一石激起千层浪,勒索病毒这一网络空间中的沉疴顽疾,再次引发全网关注。


undefined




Lockbit全面升级卷土重来

实现全球多地同期传播


今年7月中旬,Lockbit团伙在消失6个月后宣布版本迭代,正式将病毒更新为Lockbit2.0版本,并在多方面实现了再度升级:



360安全大脑收到的求助信息与近期情报信息显示,升级后的Lockbit2.0在国内外的传播十分泛滥。根据其攻击手法与传播渠道判断,该家族拥有大量传播分销商,造成其能够在全球多地同期传播。

 

尤其从今年7月14日到8月13日期间,Lockbit的攻击事件急剧增加。短短一个月时间,该团伙已成功攻击至少90个组织并窃取受害者数据。从目前国内外数据看,该团伙不仅会针对性的攻击大型企业窃取数据,还会攻击小型企业。针对这部分小型企业,尚未发现有数据窃取以及公开发布窃取数据信息情报。

 

目前掌握的Lockbit的攻击手法多样,其中针对中小企业的,RDP的弱口令攻击仍然很常见,而在大型网络中,亦发现有通过使用ActiveDirectory组策略自动批量下发病毒,加密Windows域的情况。在被攻击的终端中,也发现有密钥提取工具和内网渗透工具。不同企业被攻击手法也不尽相同,可见其存在多个攻击传播团伙。

 


undefined



化解“数据窃取+双重勒索”危机

360安全大脑释放极智安全力



360安全大脑经监测分析发现,Lockbit除了常规的加密勒索外,也进行数据窃取与双重勒索。在之前发现的版本中,该家族窃取数据利用到了第三方软件MegaSync。而在今年6月份时,另一款勒索病毒家族RagnarLocker还曾利用MegaSync来公开发布受害者数据,不过当时MegaSync很快做出反应,删除了该攻击者账户并取消了链接的访问权限。所以猜测也正是由于这个原因,Lockbit2.0选择了一个新的数据软件”DESITET”来窃取数据。

 

同时,该勒索软件团伙窃取数据时,并非是逐设备的手动提取文件,而是通过设置关键词,来批量在已获得权限的设备中提取文件。通常包含网络、政策、保险、补充、条款、会计、财务、2020、2021、银行、声明等关键词的文件夹中的数据是攻击者最为感兴趣的。

 

攻击者还可能针对企业所属行业的特征,来定向提取有价值的内容。例如:如果受害者是软件开发类型的公司,软件、游戏源代码也会成为攻击者感兴趣的内容;若受害者是律师行业,客户资料、通信邮件等则会备受攻击者关注,这些举措都将大大提升窃取数据的效率。

 

从加密手段层面看,Lockbit2.0勒索病毒属于比较常规的勒索病毒。其采用了RSA+AES的加密方式,在运行后回创建一个隐藏窗口来记录执行流程——猜测是为了方便作者调试。


undefined



此外,该病毒还会通过对系统语言的检测,有意避开独联体地区的相关国家。而为了让加密效果最大化,病毒还会在系统中查找多大80个服务和105个进程,一旦发现则结束对应的服务和进程。同时它不仅会加密本地文件,还会尝试连接远程IP、枚举网络资源,以求进一步对可访问的网络数据进行加密。


该病毒的加密流程示意图如下:


undefined



一旦被加密,则系统桌面会被修改:


undefined



系统中还会弹出如下形式的勒索信息提示窗口:


undefined


登录https://bbs.360.cn/thread-15994014-1-1.html,可了解更多详细分析。


作为数字经济的守护者,360政企安全集团立足党政军企网络安全刚需,在360安全大脑的极智赋能下,面向政企用户推出360终端安全产品体系。其中360终端安全管理系统是以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。360终端安全管理系统可对此类病毒威胁做出有效处理。最后,面对此类勒索病毒威胁,360安全大脑给出如下安全建议:


1.对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解,抵御木马病毒攻击;

2.对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;

3.安装并确保开启安全软件,保证其对本机的安全防护;

4.如果有遇到此方面困难的用户,也可以前往https://360.net/或通过400-0309-360联系360安全专家,获取帮助。