亚信安全2019威胁态势报告:挖矿病毒数量两年暴涨1500% ,黑产服务链进阶

2月24日,亚信安全威胁情报中心通过线上直播的方式,正式发布了《亚信安全2019威胁态势分析》报告。报告对于2019年的安全演变进行了深入的剖析,同时对于未来的发展态势进行了详尽的分析。报告特别强调,勒索病毒已经成长为网络世界最大的安全威胁之一,而挖矿病毒也凭借各种高级逃逸技术持续威胁着包括企业云和数据中心在内的广泛目标;而随着5G等数字化技术的演进以及黑产链条的不断扩大,医疗、制造业等行业正向勒索与挖矿病毒暴露更多的易攻击面,这使其业务与数据面临严峻的安全威胁。

勒索病毒成为网络安全最大威胁 勒索金额上升为数百万美元

勒索病毒,通过骚扰、恐吓甚至绑架用户文件等方式勒索钱财,其自1989年诞生以来,攻击技术与影响力都在不断扩展。特别是2017年WannaCry病毒席卷全球之后,持续演变,现已成为网络安全的最大威胁,而勒索金额也从以往的以万为单位飙升到百万美元级别。据亚信安全预计,到2021年,全球因为勒索攻击造成的损失将达到200亿美元,是2015年3.25亿美元的61倍之多。而观其发展,勒索病毒将呈现出多平台感染、产业化、更具针对性等趋势,攻击方式也渐趋创新,以躲避安全防御系统,并有效地勒索受害者钱财。

勒索病毒的威胁之所以快速扩展,除了其技术的不断升级之外,还与勒索即服务(Ransomware as a Service, RaaS)这一黑产形式密不可分。在RaaS 中,”服务提供商”会编写勒索病毒,而运营人员则会以出售或者出租的方式将其提供给意图发起勒索病毒攻击的网络犯罪分子。这种基于订阅的黑产模式可以使那些即使是新手的犯罪分子,也可以毫不费力的发起勒索攻击。

图:勒索及服务角色与分工

近年医疗卫生行业已经成为RaaS 的主要攻击目。亚信安全威胁情报中心统计发现,针对医疗卫生机构的攻击往往单笔赎金金额巨大,且成功率较高,其中2019年仅美国的医疗机构就因为勒索病毒损失了约40亿美元。而在2020年伊始,亚信安全还监测到多起黑产利用新冠病毒、对于医疗机构展开的网络钓鱼事件,这些针对医疗机构的勒索攻击不仅会带来医疗系统的严重损失,还会危及到患者的生命健康。

勒索病毒的严峻性不止于此,2019年中国的勒索病毒感染量已经跃居全球榜首,占总数的20%。为此亚信安全建议,构建面向勒索病毒的防御能力尤为重要。企业用户除了需要加强安全教育、进行周全的数据备份与网络控制外,还亟需从传统的被动防御转向纵深积极防御,与拥有威胁情报能力、标准预案、专业调查工具、安全响应专家为核心的高级威胁治理防御体系的专业厂商合作,建立联动运营管理解决方案,全面提升勒索病毒的抵御能力。

挖矿病毒数量两年暴涨1500% 门罗币成为”新宠”

2019年是挖矿病毒盛行的一年。报告显示,与2017年相比,挖矿病毒在2019年的数量暴涨了1500%,这在很大程度上是因为加密数字货币的市值在两年内增长了20多倍,每一次加密数字货币的升值几乎都会带来挖矿病毒的活跃。而挖矿病毒与加密数字货币的紧密关联不仅体现在数量上,也体现在类型上。随着挖取比特币成本的大幅提升,门罗币成为新趋势,其具备更好的隐藏机制,并且利用算力较小的消费级硬件即可开采,所以已经成为挖矿病毒制作者的首选。

近年,随着企业上云进程的不断推进,无处不在的挖矿病毒也将攻击目标锁定在企业云与数据中心。报告显示,企业云及数据中心拥有庞大数量的工业级硬件,一旦被挖矿病毒成功侵入,就会快速组建数量庞大的挖矿网络,利用更多的高性能挖矿主机,牟取更大的暴利。此外,挖矿病毒还往往通过盗取API密钥、未授权访问、漏洞组合攻击、暴力破解、Docker 镜像染毒等方式进行云上攻击;而除了觊觎云和 IoT 中的海量算力,攻击者还会更多的利用新暴露漏洞进行攻击,并倾向通过”无文件”攻击方式来突破安全防护系统的检测,以及暴力破解的方式进行传播。

图:云上挖矿病毒攻击场景

为了防范挖矿病毒,亚信安全建议企业用户构建覆盖事前、事中、事后的安全防御体系。在事前要着重加强运维管理与API密钥的管理,并实现基于虚拟补丁的漏洞防御;在事中通过在终端/服务器部署EDR产品、在网络中部署NDR产品的方式来对挖矿病毒进行阻断;在事后通过”高清”的威胁检测及响应产品,在全网范围内进行关联分析和威胁狩猎,以针对性进行响应和处置。

增强威胁情报能力,构建全链路安全防御能力

面对勒索病毒、挖矿病毒呈现出老病毒不断变种、新病毒层出不穷的特征,通过安全情报精准的判断并识别安全威胁,成为安全防御的关键能力。对此,亚信安全在标准化的威胁防护类产品和定制化的策略的基础上,还提供了以威胁情报为核心的安全服务。亚信安全威胁情报服务采用机器学习、沙箱、NLP等高级技术分析、处理和动态更新精准的威胁情报,及时发现最新的安全威胁。

此外,亚信安全还依托广泛覆盖、紧密联动的安全产品,提供了覆盖事前、事中、事后的全链路安全防御解决方案,帮助企业用户实现对勒索病毒、挖矿病毒等威胁的提前洞察、提前预测、提前响应,以及及时的补救和恢复,从而实现网络安全的多层防御与精密编排,更好地保护自身的业务与数据。