“無車可用,客服失聯,APP也無法定位......易到用車,你是人間蒸發了嗎?賠我的充值款啊啊啊!”
26号一大早,黑貓投訴平台累計處理了類似投訴資訊共計164008次。投訴原因很簡單:易到用車沒車可用。
使用者們要求易到用車退還3122元的充值款,并要其對于這種欺詐行為給出個說法。
沒過多久,說法就如約而至了:
簡單概括就是“同志們,不是你們被騙喽,是我被綁架喽!”
值得一提的是,十天前,易到用車剛剛獲得數千萬元戰略投資,投資方為大股東韬蘊資本。
對此,網友在微網誌下的留言可謂是千奇百怪——伺服器啥時候恢複呀、恢複之後資料還能不能找回來呀、核心資料會不會被挪為他用呀、損失大不大呀,等等。
面對這些問題,宅宅找到火絨創始人馬剛和騰訊安全雲鼎實驗室雲安全研究員張祖優聊了聊。
廣撒網特征,但疑點重重
易到有車事件中,黑客不光加密了核心資料,使其面臨巨額勒索,還通過攻擊手段使得伺服器當機,才有了上面的大批使用者投訴。
張祖優稱,一般來說,針對伺服器的勒索病毒都是通過廣撒網的方式,也就是沒有固定目标,一般就是掃描某個網段或者IP清單進行批量化的攻擊,利用某個通用漏洞進行入侵和植入勒索病毒并執行,而整個過程的動作一般都是預設好的,是以通常也不會做其他如拖庫等行為。
“這次易到的加密勒索從表面上看起來是比較符合這種廣撒網的傳播方式,特别是最近Windows RDS漏洞的爆發,看起來似乎是比較符合這種情況,每次新漏洞的爆發和Exp的流出總會導緻在接下來的一段時間内利用該漏洞的加密勒索或者入侵挖礦等入侵事件增多。”
宅宅從相關人士口中得知,此次事件的确有幾處存疑:
1、官方提到的勒索數額巨大,而一般加密勒索一般就是幾個比特币,達不到數額巨大的地步;
2、根據易到官方的公告,這次主要是核心資料庫被加密,而一般核心資料庫的安全防護等級應該是比較高的,通常不應該存在勒索病毒所利用的那些常見的通用漏洞;
3、針對性的入侵利用勒索病毒進行勒索的案例的确存在,因為這種方式相對比直接發郵件勒索更安全;
“是以這次的事件還是有很大的可能性是一次定向勒索事件。當然,到底是不是還需要官方公開更多細節和證據來做判斷。”
企業勒索事件激增?幻覺!
勒索攻擊在我國爆發是在2016年初,起初大家對勒索病毒的直接感覺是來源于WannaCry,這就給人種下了個人電腦更容易遭受加密勒索的感覺,但實際情況并非如此。
馬剛稱,由于個人使用者安全級别較低,更加容易撞到槍口上。但是,個人使用者一般會将此類郵件列入到“垃圾郵件”的行列(很多人并不覺得自己的資訊有多值錢),是以真正能勒索到的也就隻有零星幾家企業端受害者。
檔案被加密了,可以通過爆破解密嗎?
對此,有的黑客選擇将攻擊對象鎖定在企業範圍當中。針對企業植入勒索病毒通常有四種傳播方式:
a、通過郵件附件傳播,這更多的是針對企業的辦公網絡,通過批量發送郵件給企業、高校、醫院機構等機關,這種類型主要針對那些如企業财務用電腦等有價值的電腦。
b、網站挂馬,通過擷取了網站的權限,在網頁中植入惡意代碼,主要是利用IE等浏覽器漏洞,企業員工通路網頁就會執行惡意代碼進而植入勒索病毒。
c、利用系統或服務漏洞,直接執行漏洞Exp進而在目标伺服器中執行指令并植入勒索病毒。
d、一些軟體供應鍊,比如通過入侵一些軟體的更新伺服器替換更新程式為勒索病毒。
張祖優稱,對于黑客而言針對企業和個人使用者的攻擊成本各有優劣,主要取決于攻擊方式。而選擇攻擊前者的成本最終還是取決于企業的安全防護等級高低。
有時候,掏贖金也沒用
加密勒索一般分為兩種——欺騙式勒索和真實勒索。前者多出現在Linux伺服器,黑客在入侵了資料服務後直接删除資料,然後留下勒索資訊,要求支付比特币來贖回資料;這種情況黑客就是通過欺騙的方式,看最終有幾個上當受騙支付比特币。
馬剛将這種行為稱作“變态勒索”,他補充道,在之前的案例中,還有情況是勒索資訊本身為欺騙資訊,受害者不光無法得到資料,甚至連贖金都沒地方交。
出現這種奇葩情況,通常會有兩種原因:一個是由于勒索攻擊過于老舊,攻擊者停用了支付綁定的郵箱或者關停了支付流程;另一種則純為報複性的勒索行為,所謂支付管道隻是個幌子。
張祖優稱,近幾年入侵後進行加密和挖礦成為了黑客攻擊存在的兩類主要風險。這與加密勒索的流行、各種漏洞的爆發以及數字貨币熱潮的來臨都不無關系。是以,這可以說是一個綜合性因素造成的結果。
“面對幾百G的資料,黑客是如何把它們轉移走或者全部加密的?答案很簡單,你的資料被直接删除了,如果你有備份自然就好辦,如果沒有,就隻能試試磁盤檔案恢複的方式了。”
加密勒索易守難攻
“歸根結底,企業不重視安全問題是讓他們最終陷入困境的源頭。”
馬剛稱,這就好像一位病人,最初的潛伏期往往需要盡快醫治,但在他看來并不算事,直到晚期了才找到醫生說:求你把我救活吧。加密勒索可謂是易守難攻,一旦遭受攻擊,隻有極小可能性能夠找出密鑰,大多情況是束手無策的。
張祖優認為,針對加密勒索,首先,其核心在于資料,是以資料的異地或者異機備份是重中之重。
其次,及時修複系統漏洞(特别是Windows更新檔應該及時更新),而針對伺服器,建議善用安全組或者防火牆,部署的服務不要使用預設配置,要限制通路來源;而伺服器的通路建議Linux使用密鑰登入,Windows可以修改預設端口,避免弱密碼,如果有條件的話使用堡壘機或者統一跳闆機。
再者,加強員工意識教育訓練,不要打開一些未知郵件,也不要用辦公電腦去通路一些可疑網站,安裝一些未知軟體,如果企業有條件的話,可以在企業IT角度做一些安全投入。
以下為安全建議:
a、針對合規和安全管理入手,把資産、配置和基線做好,很多漏洞都是屬于安全基線範疇。
b、重視并建立安全營運機制,建立漏洞響應和管理機制,及時跟進最新爆發漏洞,及時修複相關安全問題,對于部署上線的業務需要進行安全加強。
c、可以搭載一些外部安全能力,如進行滲透測試,可以有效的發現企業相關的脆弱環節和安全問題,及時進行修補。
d、可以适當采購一些安全産品,不管是研發還是辦公體系,通過專業的安全人員營運安全産品建構一定的安全防禦體系。
f、重視員工的安全意識教育訓練,很多時候,企業安全這個木桶最短的闆往往是員工。雷鋒網雷鋒網雷鋒網(公衆号:雷鋒網)