奇安信：2023年中国企业勒索病毒攻击态势分析报告 -pg电子娱乐平台

2023年中国企业勒索病毒攻击态势分析报告2023统计显示，医疗卫生行业是勒索病毒攻击的重灾区，报案数量占到勒索病毒攻击事件报案总数的21.4%；制造业排名第二，占比为17.5%；生活服务紧随其后，占比为14.6%。61.7%的勒索病毒攻击事件根本无法进行溯源，13.1%的中招机构，只能进行内网或局域网内的溯源，其余25.2%的机构能够对互联网侧的勒索病毒攻击源ip进行追溯。5.8%的攻击源ip来自于境内，17.0%的攻击源ip来自境外，另有2.4%的攻击者，同时使用了境外ip和境内ip进行勒索攻击。在206起造成重大破坏或严重损失的勒索病毒攻击典型事件中，各类政企机构共有1485台设备感染了勒索病毒。平均每起勒索病毒攻击事件造成8.6台网络设备（含虚拟机）被感染。月，综合奇安信95015应急响应团队处理的所有勒索攻击事件中，排名前十的事件涉及勒索病毒/家族占所有勒索攻击事件的51.0%。其中，phobos索家族排名第一，有22.8%的勒索事件受到该勒索软件的攻击；makop勒索病毒排名第二，占比5.3%；mollox排名第三占比4.9%。完成一次勒索病毒攻击的平均时长为105.7小时、最短时长为3分钟、最长时长为529天。其中，17.6%的攻击者在一小时内即完成了从发起攻击至完成勒索的全过程，“0.5小时”是勒索攻击发现后的“黄金救援期”，在发现攻击者攻击后的0.5小时内，拦截攻击失陷的成功率极高接近90%。52.6%的攻击事件使用了暴力破解，存在违规操作或使用钓鱼邮件攻击的事件分别占比5.2%。从端口暴露情况来看，42.2%的攻击事件均涉及端口暴露。其中，暴露最多的端口top5分别为：3389（19.4%）、445（12.1%）、135（5.3%）、139（4.4%）、3306（2.9%）。关键词：勒索、暴力破解、弱口令、漏洞、端口暴露医疗卫生、制造业、生活服务行业是国内勒索病毒攻击的重灾区，相关行业单位应当对勒索病毒风险高度重视。从规模来看，安全防护能力相对较低的中小企业，相对更容易遭到勒索病毒的攻击。遭到勒索病毒攻击的政企单位，绝大多数都是网络安全建设基础极其薄弱，存在显而易见的安全建设漏洞的单位。终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不到修复等情况非常普遍。没有整体安全规划、没有全局安全策略、没有有效运营手段，都是勒索病毒受害机构的典型通病。有些单位虽有安全基础设施建设，但缺少安全运维，基础设施不更新、告警不看等原因导致基础设施应有的作用未充分发如果仅从入侵方式和渗透手法来看，勒索病毒的攻击与其他各类传统网络攻击相比并没有多少特别的“新花招”，极少有使用0day漏洞或高级攻击手法的情况发生。这也意味着，不论发病时的症状多么的可怕，勒索病毒依然是一种可防、可控、可阻断的“网络传染病”。绝大多数的勒索病毒攻击，在攻击早期就会暴露出比较明显的“攻击信号”。从早期攻击信号出现后的0~30分钟，是勒索病毒攻击应急响应的“黄金救援期”，在这段时间内，系统生存率仍在90%以上。而9.8小时，约590分钟是一个临界时间点，超过这个时间，系统被成功投毒的概率就会大于生存概率。因此，遭受攻击的机构必须要有能力在第一时间捕获攻击者的行动，并在有限的时间内采取有效的行动，才能成功阻止最终的投毒，在勒索病毒的攻击下存活。在勒索病毒攻击事件中：有49.5%与弱口令有关；在52.6%使用了暴力破解；而能够被成功爆破的口令，理论上讲都属于弱口令。作为系统看门人，管理员使用弱口令，就等于是将库房钥匙交给了攻击者。这也就难怪攻击者可以“大摇大摆”的“破门而入”。表面上看，弱口令问题是安全意识问题。但从本质上看，弱口令的存在本身就说明系统的身份认证机制不完整或者是存在重大的缺陷。采用零信任等新型身份安全机制，可以实现即方便、又安全的用户体验。对于尚不具备部署零信任系统条件，或者是安全预算不足的政企机构，至少也应该在传统安全机制范围内，努力避免弱口令的存在，采取技术手段阻止暴力破解。受害机构普遍严重缺乏威胁溯源能力。61.7%的受害机构完全不具备溯源能力，13.1%的机构仅能实现内部溯源，这二者的总和超过七成。溯源能力的缺失，也就意味着即便勒索病毒攻击已经给机构造成了重大的损失，我们也仍然无法“对症下药”，无法找到安全隐患点，不知道该具体采取哪些改进措施。白挨了一顿打，还没有学到任何教训。想要有效应对勒索病毒的攻击，就要求政企机构必须具备实战化安全运营能力，以便能够在第一时间发现关键的攻击活动特征；同时，还要具备充分的应急响应能力，包括组织保障、技术方法、安全工具等多个方面，才能做到响应及时、响应有效。有条件的单位应积极建设异地备份系统，条件不足的单位应积极建设有效的本地备份机制和数据安全保护措施。端口暴露问题是政企机构的基本安全问题。统计显示，在206起勒索病毒典型攻击事件中，共有至少87起事件涉及端口暴露问题，占比42.2%。累计暴露端口134个，涉及端口号27个。存在不必要的端口暴露也就等于是为攻击者打开了一条入侵内部网络的绿色通道。建设实战化、可运营的漏洞监测与预警能力，是政企机构安全运营能力建设的一大难点。同时，机构还应建立长期持续、动态运营的供应链安全管理办法，这涉及源码及开源组件安全检测、漏洞评估、漏洞发现处置等内容。第一章勒索病毒攻击态势综述攻击源ip分析第二章勒索病毒家族分析phobos勒索病毒....................................................................................................................makop勒索病毒mallox勒索病毒tellyouthepass勒索病毒magniber勒索病毒beijingcrypt勒索病毒10第三章攻击时长与生存曲线11第四章勒索病毒的攻击手法