Fireeye勒索软件部署趋势剖析
发布时间:2022-07-12 09:23:24 所属栏目:安全 来源:互联网
导读:勒索软件是一个远程数字化恶意软件,具有破坏性强和经济影响高,影响范围广的特点,从尖端空间技术公司到羊毛工业,再到工业环境都受其影响。近期,勒索软件将数据加密与数据泄露相结合,增加对受害者的影响。Mandiant情报研究表明,关键领域的防御力与行动
|
勒索软件是一个远程数字化恶意软件,具有破坏性强和经济影响高,影响范围广的特点,从尖端空间技术公司到羊毛工业,再到工业环境都受其影响。近期,勒索软件将数据加密与数据泄露相结合,增加对受害者的影响。Mandiant情报研究表明,关键领域的防御力与行动力,可能会让组织遭受署勒索软件攻击前阻止其行为。 这些事件使我们对勒索软件发展趋势有了更深入的了解,但这些数据只是所有活动的样本。例如,从2017年到2019年,勒索软件事件增加了860%。这些事件中的大多数是被入侵后发生感染勒索行为,攻击者正在利用入侵勒索的策略增加支付赎金的可能性。还观察到勒索软件被立即执行的事件,例如GANDCRAB和globeimparter,但大多数受害者被入侵时间较长,且在被入侵后部署了勒索软件。 1. 常见初始感染载体 多个勒索软件事件中的几个初始感染媒介:包括RDP、带有恶意链接或钓鱼邮件,以及通过下载恶意软件来进行后续活动。2017年观察到RDP更频繁,2018年和2019年有所下降。这些攻击向量表明勒索软件可以通过各种方式进入受害者环境,不是所有这些攻击方式都需要用户交互。 (1) RDP或其他远程接入 最常见得攻击向量之一是通过远程桌面协议(RDP)登录到受害者的系统,RDP登录是受勒索软件感染前的第一个证据,目标系统可能使用默认或弱凭据,攻击者通过其他未察觉的恶意活动获取有效凭据,攻击者通过暴力破解获取登录凭据或者向其他组织个人购买了RDP访问权限。 (2) 恶意文件下载感染 几起勒索软件感染可追溯到受害者访问恶意网站导致DRIDEX感染。在2019年10月发现受感染的Web基础设施,这些基础设施提供了FAKEUPDATES,DRIDEX等恶意文件。 2. 感染时间 大多数勒索软件部署发生在感染后的三天或三天以上,从第一次发现恶意活动到部署勒索软件之间经过的天数从0到299天不等(图2)。驻留时间的范围很长,基本上第一次访问和勒索软件部署之间存在时间间隔。在75%的事件中,从最初的恶意活动到勒索软件部署之间要经过三天及以上。 表明许多组织如果能够快速检测、控制和补救,就可以避免勒索软件感染造成重大损害。几项调查发现有证据表明勒索软件安装在受害者机器中,但尚未成功执行。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号