01 国际知名自动化厂商ABB遭BlackBasta勒索攻击
近日,国际知名的自动化提供商ABB遭到Black Basta勒索攻击,该攻击影响了ABB公司的域控系统及数百台设备,为应对此次攻击,ABB终止了与其客户的VPN连接,以防止勒索软件传播到其工业客户的网络中。
巧合的是,在该勒索攻击发生前,仅不到1个月的时间内,ABB刚刚举办了勒索感知OT防御峰会,而该峰会的重点是降低勒索软件攻击风险和识别关键基础设施安全威胁。
02 Black Basta与恶名远扬的Revil、Conti关系密切
Revil和Conti是近几年来最为臭名昭著的勒索组织,Revil组织成员成功勒索了美国科洛尼尔管道公司,Conti组织则是勒索了哥斯达黎加政府机构,在多国政府的联合执法打击下,Revil和Conti均已关停,然而Black Basta在团队运作、攻击手法方面与Conti有较多相似之处。
Black Basta勒索组织赎金谈判入口
03 Black Basta组织勒索攻击极为高效
Black Basta组织的勒索攻击极为高效,Black Basta与僵尸网络组织Qbot开展了合作,使用Cobalt Strike工具发起勒索攻击,能够对全球各国企业直接发起勒索攻击,无需在获得初始访问权限及权限提升上耗费时间,在Black Basta开展勒索攻击的三个月内,就有近百家企业被成功入侵、勒索,其中近半数为国际知名企业或机构,包括加拿大大型食品零售商Sobeys、德国建筑材料供应商Knauf、英国外包巨头Capita等,每家企业均被要求支付数百万美元的赎金。
Black Basta使用知名恶意工具Cobalt Strike进行横向扩散
Black Basta在3个月内就成功勒索了近百家企业
04 Black Basta勒索攻击手法独特难以破解
Black Basta使用PowerShell和Windows WMI投递勒索载荷,以绕过安全检测软件,Black Basta使用ChaCha20算法加密用户数据文件,而后使用非对称算法RSA-4096加密ChaCha20的密钥,如此组合加密的方式,基本不可能被破解。
Black Basta具有极强的渗透、破坏能力
05 Black Basta加密用户数据文件和执行文件
Black Basta勒索病毒将加密数据文件和可执行程序
06威努特防勒索可精准拦截Black Basta
Black Basta勒索病毒为逼迫用户支付赎金,会对操作系统卷影备份功能进行破坏,并对备份数据进行删除,威努特防勒索系统可精准检测这一恶意行为,并进行拦截。
威努特防勒索系统拦截Black Basta卷影删除行为
Black Basta勒索病毒加密用户数据的行为,触发了威努特防勒索系统的诱捕功能,威努特防勒索系统在拦截Black Basta数据加密动作的同时,中断Black Basta进程,并对其执行文件进行隔离,以彻底杜绝其再次执行。
威努特防勒索系统成功诱捕Black Basta并对其进行隔离
07威努特防勒索成功拦截全球400个家族8万多个勒索病毒
威努特防勒索成功拦截全球400个家族8万多个勒索病毒
08勒索病毒威胁需要专用产品防范
勒索攻击在全球范围内持续蔓延,基于威胁情报和病毒特征的防护软件或安全平台,在面对新型勒索病毒时很容易失效,因此需要基于勒索病毒行为特征构建安全防护能力。此外,勒索病毒攻击手法不断演进变化,依靠单一的功能无法确保有效防御。因此,我们需要综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力,才能实现勒索病毒的有效防范。
威努特主机防勒索系统(防病毒)是专防专治勒索病毒的终端安全产品,产品深度结合操作系统内核驱动,以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!