赤豹終端安全:AtomSilo勒索病毒近期活動頻繁!
2023-06-14?來源:安全資訊
赤豹終端安全:AtomSilo勒索病毒近期活動頻繁!
一、勒索事件回顧
2023年6月6日,日本制藥巨頭衛材在其官網上發布聲明稱,因遭受了勒索軟件攻擊,導致多臺服務器被加密。由于需要保護公司的敏感數據信息,公司被迫將大量IT系統斷開網絡。衛材表示,這次攻擊影響了日本和海外的服務器,包括尚未恢復的物流系統。
其實早在2021年12月,衛材公司就曾遭遇過AtomSilo勒索軟件團伙的攻擊。雖然AtomSilo勒索團伙及其網站已經解散,但該團伙曾在網站上泄露了從衛材內部竊取的多個MDF和LDF數據庫。
二、勒索樣本分析
AtomSilo Ransomware惡意勒索軟件最早被發現于2021年9月。該惡意軟件使用不可破解的加密算法來鎖定受害者的文件,網絡犯罪分子會嘗試向受影響的用戶和組織勒索金錢以換取可能恢復數據的解密密鑰。為了實施這一威脅,網絡犯罪分子利用了Atlassian'sconfluence協作軟件的一個漏洞,并將該漏洞利用到加密文件的原始名稱上。一旦鎖定所有合適的項目,威脅將在每個包含鎖定數據的文件夾中放置一個帶有贖金票據的文件,其中包含對受害者的說明。這些帶有消息的文件將被命名為:“README-FILE-#COMPUTER-NAME#-#CREATION-TIME#.hta”。
AtomSilo勒索軟件危害:
1. AtomSilo勒索軟件攻擊者采用“雙重勒索”,除了要求支付贖金外,還要求贖金作為數據解密費用。對于那些被攻擊的企業來說,雙重勒索攻擊可能會導致不可估量的損失。
2. AtomSilo勒索軟件使用dll端加載技術將后門植入合法軟件中。采用64位有效載荷,并使用升級版的UPX打包器進行打包,一旦運行,將逐個列舉每個驅動器,并將勒索通知放入每個文件夾中。
3. AtomSilo勒索軟件使用XOR和AES加密算法來加密文件,使用“AESKEYGENASSIST”指令生成AES輪密鑰。在加密后會將“.atomsilo”擴展名附加到文件中。同時使用CreateFileMappingA和MapViewOfFileAPI來映射內存中的文件并將指針移動到映射文件的開頭,使受害者難以及時解密。
三、江民專家建議
面對愈加猖狂和隱蔽的勒索攻擊,江民安全專家給出建議:
1. 警惕釣魚郵件:電子郵件是大多數勒索攻擊的來源,加強培訓員工意識,警惕點擊欺詐性的電子郵件和附件。
2. 部署防病毒軟件:所有終端主機設備安裝防病毒軟件,并定期進行病毒庫更新。
3. 定期更新補丁:攻擊者經常利用軟件或操作系統漏洞,傳播勒索軟件。建議定期更新安裝系統補丁,防患于未然。
4. 定期備份重要文件或系統:良好的備份習慣為遭受攻擊后快速恢復提供保障。
5. 構建專業的勒索防護體系:提前構建一個專業健全的勒索防護體系,使您面對勒索攻擊時可以輕松應對。
四、江民勒索防護解決方案
江民赤豹終端安全管理系統持續聚焦高級威脅防護和攻防對抗能力,是一款集惡意代碼防護(AV)、主動防御、系統加固、網絡隔離、終端檢測與響應(EDR)等功能于一體的終端安全產品。具備業界領先自主研發的“靜態+動態”雙維度勒索圍獵技術,可以幫助客戶建立面向已知和未知威脅防護以及統一管控、高效運維的新一代終端安全立體防護體系。
江民赤豹“靜態+動態”圍獵矩陣,從靜態防御和動態防御兩個維度進行勒索防護,覆蓋事前、事中、事后全生命周期,讓勒索攻擊無處遁形,一擊必殺。
赤豹終端安全管理系統重點勒索防護技術:
1. 系統加固:事前全方位檢測終端主機安全策略配置并進行加固,如關閉風險服務和端口,防患于未然。
2. 雙引擎輕松應對勒索病毒:近30年的病毒特征庫積累,基因特征引擎可以快速識別阻止已知勒索病毒。強大的人工智能引擎可以針對未知類型病毒進行快速判斷,準確率高,誤報率低。
3. 業界領先的勒索誘捕技術:專利級的勒索誘餌技術,利用勒索病毒遍歷文件進行加密的行為特點進行勒索識別和進程阻斷,有效防止勒索病毒對系統造成破壞。
4. 幽影文件保護引擎:針對關鍵保護文件,智能化配置可信訪問程序,對重要文件或目錄進行程序訪問控制,僅允許可信操作,建立訪問“安全區”,避免文件被勒索病毒破壞。
5. 微隔離:采用內核級主機防火墻技術,能夠對不同終端業務之間的流量進行隔離,并支持一鍵封鎖IP和禁用端口,防止勒索攻擊擴散。
