1.过去一年全球勒索病毒概览
援引cyberint发布的Ransomware Recap 2023,全球勒索软件攻击次数较去年大幅增长,达到4832起,相较于2022年的2640起,增长幅度惊人。这一增长不仅体现在数量上,更体现在攻击的全球性和蔓延趋势上。今年,服务行业、IT行业和制造业成为勒索攻击的主要目标,这些行业的数据丰富性和重要性使其成为攻击者的首选。而在国内,制造业、科技和医疗行业受勒索病毒影响最为严重,这与其业务连续性和系统可用性的高要求密切相关。
行业层面,从受害者数量来看,攻击者比较钟爱服务业、零售业、制造业、金融业和教育业
对比各个2022年和2023年各个季度的勒索事件,均有大幅增加
在国家层面美国是遭受勒索病毒最严重的国家,中国未进前十
勒索病毒层面看 Lockbit 绝对是在2023年最火热的勒索病毒
从操作系统层面看,根据360安全2022年3/7月统计数据,可以看出window家族占据了90%以上的份额,在others中除去window家族的其他版本,Linux和Unix的占比应该不会超过5%!
2.盘点2023年重大勒索事件
A.BLACKCAT 入侵西数
2023 年3 月,西数被BlackCat/ALPHV 入侵。4 月西数对外披露了被入侵的情况,随后在5 月5 日承认了数据泄露
B.皇家邮政被 LOCKBIT 攻陷
2023 年年初,皇家邮政被勒索软件中断大约六周。LockBit 最开始勒索近8000 万美元,后来又降低一半。可无论要加多少,都被皇家邮政董事会断然拒绝后,攻击者将窃取的你44GB 数据对外发布
C.台积电供应商Kinmax Technology被Lockbit攻陷
知名勒索病毒团伙 LockBit 声称攻击了台积电,并向台积电勒索 7000 万美元用于泄露数据的赎金,支付的最后期限为今年的 8 月 6 日;台积电虽然证实了上述信息,但却表示并未受到网络攻击,而是台积电的一家 IT 硬件供应商(Kinmax Technology)的信息被泄露了,上面用的也是这家供应商的数据。台积电表示,这是该次网络安全事件导致 Kinmax Technology 服务器初始设置和配置相关信息被泄露,台积电有影响但不涉及业务
D.拉斯维加斯酒店巨擘被 Scattered Spider 勒索
2023 年9 月,拉斯维加斯酒店与赌博巨头美高梅国际酒店和凯撒娱乐成为了勒索软件的受害者。米高梅所属应用程序、自动取款机、老虎机和信用卡机都受到波及,预计带来超过一亿美元的损失计提。凯撒娱乐则被窃取数万人的相关信息,共计超过 6TB 的数据
E.中国工商银行美国子公司中Lockbit病毒
中国工商银行在美全资子公司——工银金融服务有限责任公司(ICBCFS)当地时间上星期四(11月9日)在官网发布声明称,美东时间11月8日,ICBCFS遭勒索软件攻击,导致部分系统中断。据路透社星期二(11月14日)报道,Lockbit的代表通过通讯应用程序Tox说,“他们支付了赎金,交易完成。”不过,路透社无法独立核实上述声明。中国工商银行也还未对此置评。
3.数据库如何预防勒索病毒
防病毒防勒索是一个很大的信息安全话题,作为一个数据库博主这里主要站在数据库的角度来讨论,如何做好数据库的防勒索工作
3.1 操作系统
从前面的统计数据可以看到中勒索病毒的操作系统超过95%都是window平台,如果你的数据库是跑在Linux那么中招的概率就会大大降低;如果是小机平台Unix(AIX,Solaris,HPUX)基本上可以高枕无忧了,毕竟黑客也不太会费精力去攻击这些小众又难搞的平台,收益率太低!
所以关键业务系统的数据库强烈建议使用Linux平台,无论是安全性和稳定性都是更优的选择。
3.2 访问控制
目前主流的做法是使用跳板机来做访问控制,其中最重要的两点就是密码托管和访问端口变更, 如不适用默认端口,window RDP端口3389和Linuxssh端口22,建议修改并禁用默认端口。
3.3 备份至关重要
备份!备份!备份!无论是应对勒索病毒还是硬件故障还是误操作,备份都是至关重要!备份是最后的防火墙! 以Lockbit为例,这些勒索病毒在攻入内网后,后优先查找备份服务器和文件类服务器,并对它们进行加密。博主曾深入了解过Lockbit勒索事件,某公司因为备份的master和media主机都是windows平台,导致备份也全部被加密,导致后续的恢复工作难度大大增加!目前主流的勒索软件都是以加密文件为主,如数据库的dbf等,并不会获取数据库内的数据,以破坏主题的业务为主!如果有安全完善的备份,遭遇勒索是不会太慌的!
A:如果没有商业备份软件,建议除了本地保存备份文件外,同时在异机(Linux平台)保存备份文件,并将该主机做最严格的安全访问控制
B:强烈建议有条件的企业使用商业备份软件,目前主流的商业备份软件都有防勒索功能(NBU,Veeam,Commvault等)也就是:不可变存储 备份软件支持不可变存储备份选项,确保备份数据一旦写入就无法被修改或删除。这意味着即使数据库中的数据受到勒索病毒攻击,备份数据仍然保持原样,可以用于恢复受损的系统和数据。 另外备份软件还有 加密备份和多版本备份 可以大大提供数据库的安全性。
3.4 数据库防火墙
专业的数据库防火墙算是高级安全选项,比如oracle的AVDF(Oracle Audit Vault and Database Firewall)可以做到更细粒度的审计和数据库防火墙功能,当然也是收费的,国内也有第三方公司在做这方面的工作如启明星辰等。
4. 后记
博主算是中国最早一批信息安全专业毕业生,2001年武汉大学设立了全国第一个信息安全专业,2002年全国十几家高校设立信息安全专业,博主是2003年入学,也是母校的第二届信息安全专业学生。但是没有赶上时代的浪潮,毕业时市面上几乎没有专门的信息安全岗位,大部分同学也都是和计算机专业一样从事相关IT行业,全班四十多人至今还在从事信息安全专业的可能不足五人。
下一篇预告:数据库中了勒索病毒怎么办?(数据库恢复的终极大招DUL)
欢迎关注!