2023年中国企业勒索病毒攻击态势分析报告

2023年中国企业勒索病毒2023年中国企业勒索病毒攻击态势分析报告摘要全国发生的勒索攻击重大事件中，49.5%的勒索攻击事件明确2主要观点有多少特别的“新花招”，极少有使用0da绝大多数的勒索病毒攻击，在攻击早期就会暴露出比较明显的“攻击信号”。从早期34研究背景 1 2一、月度分布 2 2 3 4 6一、勒索病毒家族分布 6 7 7 8五、TELLYOUTHEPASS勒索病毒 9 9 10 11 13一、攻击手法综述 13二、暴力破解与弱口令 14 15 165 17 19一、安全建设基础薄弱，溯源分析能力缺失 19二、安全运营能力低下，应急响应措施不足 19三、端口暴露问题严重，打开入侵绿色通道 20四、身份验证机制不全，暴力破解大行其道 22五、安全漏洞缺乏管理，供应链风险不受重视 22 24A.1解密手段 25A.2安全建议 25 27 28 291研究背景连续多年排名恶意程序攻击类型的榜首。由于95015平台会对每一起应急响应事件做出详出了206起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究2第一章勒索病毒攻击态势综述3络安全基础建设过于薄弱，没有采取任何针对网络攻击的监测或留痕措施，致使内部因，是相关机构对于来自互联网的访问信息没有进行必要日志存储，更没有对外部小部分中招机构，是因为网络日志遭到了攻击者的破坏从而无法进行外部溯源。相4网/局域网溯源的事件，不计入排行。由图下图给出了勒索病毒攻击事件导致的勒索病毒感染设备数量的分通个人主机终端、工业系统终端、服务器、或虚拟机等。具体来看，35.4%的攻击事件感56第二章勒索病毒家族分析索攻击事件中，排名前十的事件涉及勒索病毒/家族占所有勒索攻击事件的51.0%下文整理了近一年来奇安信95015应急响应团队处理的勒索事件中，较频繁7此新变种勒索信内容与以往的Phobos勒8传播方式包括RDP传播、利用邮件引导受害者下载第三方软件、程序和“破解”程序等。Makop勒索软件使用的该恶意软件会加密每个文件夹中的所有文件，并为每者会在暴露的链接上找到具有弱口令的管理员帐户，并使用程登录目标机器，获取更多内网中的设备权限，从而部署勒索病9鱼邮件、僵尸网络、漏洞利用等。加密文件后缀通常TellYouThePass勒索病毒攻击者的一系列工具中，包含永恒之蓝漏洞高危漏洞MS17-Magniber勒索病毒常利用的漏洞：CVE-2021-40444、CVE-2021-34527第三章攻击时长与生存曲线击溯源，无法回溯完整的攻击过程和攻击起止足见其防御手段有名无实，严重缺乏基本的网络安全运营能力与安全事件勒索病毒的攻击是一个过程，而不是一个瞬时动作。有效的安全监测和实战化的击开始计算，受害机构系统能够生存的时间长度（即尚未被加密的时间长度而纵坐标为系统生存率仍在90%以上。即如果系统运营者在发现诸如爆破、远第四章勒索病毒的攻击手法注，也是帮助政企单位防范勒索病毒攻击的重要参考在本次报告分析的206起典型案例中，共有97起案例能够明确击手法。其中，52.6%的攻击事件使用了暴力破解，存在违规操作或使用必须知道被攻击终端的登录密码，所以常规方式攻击者的口令库中已经存在的口令。在对206起典型勒索病毒攻击事件的分析中，我们发是否Phobos、Mollox、Makop、挂马页面，诱骗邮箱用户打开附件或页面，从而实在通过这些恶意程序实现内网渗透并最终完成勒索病毒的投员工不慎点开邮件的恶意附件后触发了Magniber勒索病毒。该勒索病毒在攻击中会利用下图为该事件中，钓鱼邮件正文里给出挂马网页链接排查分析，发现攻击者是利用某知名信息化服务商提供的信息化办公系统的已知Log4j漏第五章网络安全建设薄弱点分析索病毒攻击事件仍频繁发生，恰恰说明了相关机构网络安全建设与运营能力设异地备份系统，条件不足的单位应积极建设有效的本地备份机制和数据安全/远程过程调用）服务。它常用于网络上的进程间通信和远程管理。在进行一些网络渗透测试或安全审计时，可能需要扫描该端口来查看系统的开放3306端口：MySql数据库系统服务立内部系统的漏洞管理平台，知晓漏洞的位置和安全现状，还需要建立漏洞情报收集能力附录1流行勒索病毒加密算法介绍及安全建议A.1解密手段加密公钥加密后的对称加密密钥。进而解密4.暴力破解私钥A.2安全建议访问控制常用的操作方法是加策略和修改登录密附录295015网络安全服务热线全国各地政府、企业、相关机构提供网络安全应急响应、合作与咨询服务的电话专线。和冬残奥