腾讯御见威胁情报中心监控发现,进入6月份以来,针对服务器的勒索攻击呈明显增长,其中Crysis家族增长尤为明显。Crysis家族最早可以追溯到2016年3月,但进入17年之后,开始持续传播扩散,一直针对windows服务器攻击。
针对服务器攻击的勒索病毒,黑客首先会利用弱口令漏洞、未修补的系统漏洞等方式获得远程登录用户名和密码,之后通过RDP(远程桌面协议)登录服务器来下载运行勒索病毒。
黑客一旦能够成功登录服务器,则可以在服务器上为所欲为。部分黑客登录服务器成功后还会利用ARK(Anti Rootkit,反内核的编写)工具和安全软件做对抗,既使服务器上安装了安全软件也无济于事。
攻击者可以在管理员权限直接关闭安全软件,即使没有关闭或退出权限,ARK工具也可在协助实现。
以某公司的服务器为例,通过系统安全日志可以看到,该服务器平均每隔几秒就会被尝试通过RDP(远程桌面)协议爆破一次。
6月服务器受勒索病毒攻击的行业分布
从行业分布可以看出,服务器勒索攻击主要针对传统行业、医疗行业以及政府机构。主要原因为此类机构长期依赖于互联网提供的基础设施,却又缺乏专业的安全运维。
医疗行业受勒索病毒之害也相对明显,此类型机构一旦被病毒成功入侵,将使患者感受强烈,带来难以预估且不可逆的损失。
6月服务器受勒索病毒攻击的地域分布
观察勒索病毒6月对服务器发起的攻击地域数据可知,广东地区仍然是遭受勒索病毒攻击的重灾区。北京,江苏紧随其后,其它地区也遭受到不同程度的服务器勒索攻击。
6月服务器被勒索病毒攻击的原因分布
观察勒索病毒6月攻击服务器方式占比可知,服务器端口爆破依然为遭受勒索病毒攻击的最主要原因。局域网共享文件,软件漏洞,系统漏洞紧随其后。
造成该现象的主要原因为实施爆破攻击成本较低,更多的“弱口令”密码也促使该攻击方式下有较高成功率。
局域网共享文件被加密则通常是由于局域网内某台机器被攻击而间接影响到其它设备的正常运转。软件漏洞和系统漏洞的被利用多数情况下是由于企业内没有及时的安装补丁,修复已知漏洞。
总结
综合来看,6月份勒索病毒针对服务器实施的攻击有明显增长,其中以Crysis家族为代表的勒索病毒更是把攻击目标转向了政企,医疗等行业机构,该类型机构一旦遭受到数据加密,将带来正常业务无法运转,事态紧急的现象。
部分机构为了解决燃眉之急,也更倾向于向不法分子缴纳解密赎金,这也将进一步促进勒索病毒在未来一段时间内的攻击趋势。为此,腾讯安全团队给出以下安全建议。
安全建议
1、 不要点击来源不明的邮件附件,或邮件中的不明链接。
2、 及时打补丁,修复系统或第三方软件中存在的安全漏洞
3、 尽量关闭不必要的端口,缩小攻击面。如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登陆。
4、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
5、 采用高强度的密码,避免使用弱口令密码,并定期更换。
建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
6、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
7、 重要文件和数据(数据库等数据)定期备份,备份数据不宜存储在本地。避免黑客入侵后将备份文件也加密。
8、 在终端/服务器部署专业安全防护软件,服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
企业用户可使用御点及时拦截病毒攻击,并且修复高危漏洞(个人用户可使用腾讯电脑管家)。