勒索软件首次成功攻击国家核心金融系统,巴西国库惨遭攻击!
2021-08-31
来源:网络安全应急技术国家工程实验室
据巴西经济部称,8月13日晚国库内部网络遭遇勒索软件袭击并立即采取了遏制措施,同时召集了联邦警察。这是勒索软件首次成功攻击国家核心金融系统,勒索软件已成为全球网络空间安全的重大破坏因素之一。
初步评估显示,包括公共债务管理平台在内的国库体系化系统没有受到损害。巴西经济部指出,有关该事件的新信息将会及时披露并具有适当的透明度。
8月16日,巴西经济部与巴西证券交易所联合发布的另一份声明则提到,此次攻击并未“以任何方式”影响到巴西政府的个人债券购买项目Tesouro Direto。
在此次巴西国库遭遇攻击之前, 2020年11月巴西高级选举法院也曾遭遇重大网络攻击,该袭击使该法院的系统停顿了两个多星期。就其复杂性和所造成损害的范围而言,当时该事件被认为是有史以来针对巴西公共部门机构精心策划的最全面的攻击。2021年,巴西境内有多家大型企业同样受到重大勒索软件攻击的影响,包括医疗保健企业Fleury、巴西航空工业公司等。
勒索自救措施
勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。
隔离中招主机
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
( 1 ) 物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
( 2 ) 访问控制
加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。
排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
勒索病毒预防建议
现在勒索病毒的勒索形式不断变化,一旦中招,想要无损解密相对来说比较困难。所以,勒索病毒主要还是预防为主,通过周期性的安全培训,增强人们的安全意识。做到未雨而绸缪,防止临渴而掘井。
( 1 ) 对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
( 2 ) 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
( 3 ) 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
( 4 ) 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
( 5 ) 应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
( 6 ) 尽量关闭不必要的文件共享。
( 7 ) 提高安全运维人员职业素养,定期进行木马病毒查杀。