攻击国际知名厂商ABB的BlackBasta勒索病毒防护实战
01 国际知名自动化厂商ABB遭BlackBasta勒索攻击
近日,国际知名的自动化提供商ABB遭到Black Basta勒索攻击,该攻击影响了ABB公司的域控系统及数百台设备,为应对此次攻击,ABB终止了与其客户的VPN连接,以防止勒索软件传播到其工业客户的网络中。
巧合的是,在该勒索攻击发生前,仅不到1个月的时间内,ABB刚刚举办了勒索感知OT防御峰会,而该峰会的重点是降低勒索软件攻击风险和识别关键基础设施安全威胁。
02 Black Basta与恶名远扬的Revil、Conti关系密切
Revil和Conti是近几年来最为臭名昭著的勒索组织,Revil组织成员成功勒索了美国科洛尼尔管道公司,Conti组织则是勒索了哥斯达黎加政府机构,在多国政府的联合执法打击下,Revil和Conti均已关停,然而Black Basta在团队运作、攻击手法方面与Conti有较多相似之处。
Black Basta勒索组织赎金谈判入口
03 Black Basta组织勒索攻击极为高效
Black Basta组织的勒索攻击极为高效,Black Basta与僵尸网络组织Qbot开展了合作,使用Cobalt Strike工具发起勒索攻击,能够对全球各国企业直接发起勒索攻击,无需在获得初始访问权限及权限提升上耗费时间,在Black Basta开展勒索攻击的三个月内,就有近百家企业被成功入侵、勒索,其中近半数为国际知名企业或机构,包括加拿大大型食品零售商Sobeys、德国建筑材料供应商Knauf、英国外包巨头Capita等,每家企业均被要求支付数百万美元的赎金。
Black Basta使用知名恶意工具Cobalt Strike进行横向扩散
Black Basta在3个月内就成功勒索了近百家企业
04 Black Basta勒索攻击手法独特难以破解
Black Basta使用PowerShell和Windows WMI投递勒索载荷,以绕过安全检测软件,Black Basta使用ChaCha20算法加密用户数据文件,而后使用非对称算法RSA-4096加密ChaCha20的密钥,如此组合加密的方式,基本不可能被破解。
Black Basta具有极强的渗透、破坏能力
05 Black Basta加密用户数据文件和执行文件
Black Basta勒索病毒在客户终端或服务器环境运行后,将对用户的数据文件、可执行文件进行加密,加密后数据文件无法打开、执行文件无法执行,同时替换桌面壁纸,提醒用户阅读勒索信。
Black Basta勒索病毒将加密数据文件和可执行程序
06威努特防勒索可精准拦截Black Basta
Black Basta勒索病毒为逼迫用户支付赎金,会对操作系统卷影备份功能进行破坏,并对备份数据进行删除,威努特防勒索系统可精准检测这一恶意行为,并进行拦截。
威努特防勒索系统拦截Black Basta卷影删除行为
Black Basta勒索病毒加密用户数据的行为,触发了威努特防勒索系统的诱捕功能,威努特防勒索系统在拦截Black Basta数据加密动作的同时,中断Black Basta进程,并对其执行文件进行隔离,以彻底杜绝其再次执行。
威努特防勒索系统成功诱捕Black Basta并对其进行隔离
07威努特防勒索成功拦截全球400个家族8万多个勒索病毒
威努特防勒索系统完全基于勒索行为的检测能力,可对全球范围内各类已知、新型勒索病毒有效检测,自威努特防勒索系统发布以来,各类新型勒索病毒,无论是Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message,还是本次的Black Basta,无一例外,均能有效防范。
威努特防勒索成功拦截全球400个家族8万多个勒索病毒
08勒索病毒威胁需要专用产品防范
勒索攻击在全球范围内持续蔓延,基于威胁情报和病毒特征的防护软件或安全平台,在面对新型勒索病毒时很容易失效,因此需要基于勒索病毒行为特征构建安全防护能力。此外,勒索病毒攻击手法不断演进变化,依靠单一的功能无法确保有效防御。因此,我们需要综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力,才能实现勒索病毒的有效防范。
威努特主机防勒索系统(防病毒)是专防专治勒索病毒的终端安全产品,产品深度结合操作系统内核驱动,以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2944
- 【软件正版化】软件正版化工作要点 2863
- 统信UOS试玩黑神话:悟空 2823
- 信刻光盘安全隔离与信息交换系统 2717
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1251
- grub引导程序无法找到指定设备和分区 1217
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 163
- 点击报名 | 京东2025校招进校行程预告 162
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 160
- 华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖... 157
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 信创开放社区邀请他人注册的具体步骤如下 15
- 如何玩转信创开放社区—从小白进阶到专家 15
- 方德桌面操作系统 14
- 我有15积分有什么用? 13
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
