您的位置：首页 >观察 >

LockBit勒索攻击大杀四方，天守助您完成勒索攻击五层防护体系

来源：互联网时间：2023-11-24 16:05:26阅读量：10042 会员投稿

近期以来，针对金融、能源等关基行业的勒索攻击，又开始全球发酵。不久前，某金融机构在官网发布声明称遭受了勒索软件攻击，导致部分系统中断，LockBit组织确认对本次攻击负责。奇安信服务器安全专家提醒，LockBit勒索家族号称加密最快的勒索软件，包括波音公司在内，超过千家企业遭受LockBit勒索软件攻击。

图源于网络

金融、能源和中小企业更易受到勒索攻击

值得注意的是，这并非LockBit今年头一次发动扰乱全球金融体系的网络攻击，八个月前，ION Trading UK（一家为全球衍生品交易者提供服务的公司）遭遇LockBit勒索软件攻击，导致市场瘫痪，迫使其手动处理每天数千亿美元的交易。

众所周知，金融安全是国家安全的重要组成部分，是经济平稳健康发展的重要基础。今年的一份报告估计，汇总全球自2018年以来的数据，金融业因勒索软件攻击造成宕机的经济影响高达323亿美元。与此同时，国外网络安全公司发布了《针对能源行业的勒索软件攻击呈上升趋势-核能、石油和天然气是2024年的主要攻击目标》，总结了其发现的勒索软件攻击趋势。其中，针对能源行业的勒索软件攻击显着增加。

除了金融和能源行业之外，互联网工作需求越来越大，中小企业也成为了勒索攻击的主要目标。根据国外一份安全调研报告显示，在2021年的勒索攻击有75%是针对于中小企业发起的。这些中小企业往往没有成熟的自我保护机制，在网络防护中存在诸多薄弱环节，很容易成为勒索攻击的目标。奇安信服务器安全团队研究发现，2022年，LockBit成为最活跃的勒索软件团伙，拥有全球植入最多的勒索软件变种，并在2023年持续在全球发酵，遭受LockBit攻击的行业涵盖各个领域，包括金融业、制造业、能源、政府、医疗、教育、运营商等。

目前的LockBit不断演进迭代，经历了多个版本，现在主流的LockBit 3.0是勒索软件LockBit 2.0和 LockBit的延续，同时LockBit也将BlackMatter和 ALPHV（BlackCat Ransomware）等其他勒索软件集成到LockBit3.0中，更重要的是，有组织观察到LockBit利用工具进行二次勒索事件。

LockBit最常用的攻击手段，包括了利用钓鱼邮件攻击、利用系统漏洞攻击（例如永恒之蓝、log4j、OA漏洞等）、利用安全漏洞攻击（如弱口令、远程代码执行等网络产品安全漏洞）、利用远程登录攻击、利用网站挂马传播、利用移动介质传播、利用软件供应链传播、利用远程桌面入侵传播等，由于攻击手法多样，给网络安全防护造成极大的难度。

奇安信天守提供防勒索专项安全防护方案

2023年9月，奇安信天守终端安全防护系统发布了针对勒索攻击防护的专项安全能力。该服务以勒索攻击的事前、事中为主要防护阶段，实现病毒实时防护、漏洞风险核查、弱口令风险核查、高级威胁攻击防护以及勒索专项防护（勒索诱饵、文件读写防护）五个层面的递进式防护体系，从而在勒索病毒渗透和加密的各个入侵环节严密防护，积极对抗，构建勒索防护能力闭环。

在病毒实时防护方面，天守病毒检测功能支持LockBit勒索家族样本查杀。将天守-防勒索版病毒码升级到最新版本，可有效防护勒索病毒落地。六合高级威胁防护引擎，有效防护无文件攻击、横移渗透攻击、内存攻击等多个高级威胁攻击。

在漏洞风险核查方面，第一步是开启高危漏洞识别功能，通过下发已梳理在推荐模板中被勒索病毒武器化的高危漏洞扫描任务，根据扫描出来的漏洞进行修复，能有效降低勒索病毒利用高危漏洞攻击的风险，防止攻击者利用高危漏洞投放勒索病毒。

在弱口令风险核查方面，开启弱口令核查功能，需要对系统弱口令进行检测，将不符合要求的弱口令用户密码进行提示。方便用户及时掌控安全动态，及时整改弱口令风险，避免通过弱口令进行勒索入侵。

在文件监控与防护方面，基于勒索病毒在文件系统层、磁盘IO读写层进行勒索加密时的行为特征，天守利用隐私防护功能在文件被越权进行读、写时进行拦截提醒，有效防御勒索进程运行，阻塞勒索操作。

最后是天守勒索专项防护，天守防勒索专项提供了17项攻击防护内容，以及多个高级威胁防护项目。对勒索威胁提供了预警、日志等手段帮助管理员实现和开展企业内终端的勒索防护工作。天守还提供了勒索诱饵防护功能，系统会在操作系统中创建诱饵doc文件，并实时监控该文件的写入，正常业务不会访问到诱饵文件。当勒索病毒遍历系统中文档并加密时，也会对诱饵文件进行加密，同时该功能会监控到加密文件的勒索病毒进程，阻断该进程并隔离进程关联的勒索病毒文件。