一、勒索事件回顧

2023年6月6日，日本制藥巨頭衛(wèi)材在其官網(wǎng)上發(fā)布聲明稱，因遭受了勒索軟件攻擊，導(dǎo)致多臺服務(wù)器被加密。由于需要保護(hù)公司的敏感數(shù)據(jù)信息，公司被迫將大量IT系統(tǒng)斷開網(wǎng)絡(luò)。衛(wèi)材表示，這次攻擊影響了日本和海外的服務(wù)器，包括尚未恢復(fù)的物流系統(tǒng)。

其實(shí)早在2021年12月，衛(wèi)材公司就曾遭遇過AtomSilo勒索軟件團(tuán)伙的攻擊。雖然AtomSilo勒索團(tuán)伙及其網(wǎng)站已經(jīng)解散，但該團(tuán)伙曾在網(wǎng)站上泄露了從衛(wèi)材內(nèi)部竊取的多個MDF和LDF數(shù)據(jù)庫。

二、勒索樣本分析

AtomSilo Ransomware惡意勒索軟件最早被發(fā)現(xiàn)于2021年9月。該惡意軟件使用不可破解的加密算法來鎖定受害者的文件，網(wǎng)絡(luò)犯罪分子會嘗試向受影響的用戶和組織勒索金錢以換取可能恢復(fù)數(shù)據(jù)的解密密鑰。為了實(shí)施這一威脅，網(wǎng)絡(luò)犯罪分子利用了Atlassian'sconfluence協(xié)作軟件的一個漏洞，并將該漏洞利用到加密文件的原始名稱上。一旦鎖定所有合適的項目，威脅將在每個包含鎖定數(shù)據(jù)的文件夾中放置一個帶有贖金票據(jù)的文件，其中包含對受害者的說明。這些帶有消息的文件將被命名為：

“README-FILE-#COMPUTER-NAME#-#CREATION-TIME#.hta”。

AtomSilo勒索軟件危害：

1.?AtomSilo勒索軟件攻擊者采用“雙重勒索”，除了要求支付贖金外，還要求贖金作為數(shù)據(jù)解密費(fèi)用。對于那些被攻擊的企業(yè)來說，雙重勒索攻擊可能會導(dǎo)致不可估量的損失。

2. AtomSilo勒索軟件使用dll端加載技術(shù)將后門植入合法軟件中。采用64位有效載荷，并使用升級版的UPX打包器進(jìn)行打包，一旦運(yùn)行，將逐個列舉每個驅(qū)動器，并將勒索通知放入每個文件夾中。

3. AtomSilo勒索軟件使用XOR和AES加密算法來加密文件，使用“AESKEYGENASSIST”指令生成AES輪密鑰。在加密后會將“.atomsilo”擴(kuò)展名附加到文件中。同時使用CreateFileMappingA和MapViewOfFileAPI來映射內(nèi)存中的文件并將指針移動到映射文件的開頭，使受害者難以及時解密。

三、江民專家建議

面對愈加猖狂和隱蔽的勒索攻擊，江民安全專家給出建議：

1. 警惕釣魚郵件：電子郵件是大多數(shù)勒索攻擊的來源，加強(qiáng)培訓(xùn)員工意識，警惕點(diǎn)擊欺詐性的電子郵件和附件。

2. 部署防病毒軟件：所有終端主機(jī)設(shè)備安裝防病毒軟件，并定期進(jìn)行病毒庫更新。

3. 定期更新補(bǔ)丁：攻擊者經(jīng)常利用軟件或操作系統(tǒng)漏洞，傳播勒索軟件。建議定期更新安裝系統(tǒng)補(bǔ)丁，防患于未然。

4. 定期備份重要文件或系統(tǒng)：良好的備份習(xí)慣為遭受攻擊后快速恢復(fù)提供保障。

5. 構(gòu)建專業(yè)的勒索防護(hù)體系：提前構(gòu)建一個專業(yè)健全的勒索防護(hù)體系，使您面對勒索攻擊時可以輕松應(yīng)對。

四、江民勒索防護(hù)解決方案

江民赤豹終端安全管理系統(tǒng)持續(xù)聚焦高級威脅防護(hù)和攻防對抗能力，是一款集惡意代碼防護(hù)（AV）、主動防御、系統(tǒng)加固、網(wǎng)絡(luò)隔離、終端檢測與響應(yīng)（EDR）等功能于一體的終端安全產(chǎn)品。具備業(yè)界領(lǐng)先自主研發(fā)的“靜態(tài)+動態(tài)”雙維度勒索圍獵技術(shù)，可以幫助客戶建立面向已知和未知威脅防護(hù)以及統(tǒng)一管控、高效運(yùn)維的新一代終端安全立體防護(hù)體系。

江民赤豹“靜態(tài)+動態(tài)”圍獵矩陣，從靜態(tài)防御和動態(tài)防御兩個維度進(jìn)行勒索防護(hù)，覆蓋事前、事中、事后全生命周期，讓勒索攻擊無處遁形，一擊必殺。

赤豹終端安全管理系統(tǒng)重點(diǎn)勒索防護(hù)技術(shù)：

1. 系統(tǒng)加固：事前全方位檢測終端主機(jī)安全策略配置并進(jìn)行加固，如關(guān)閉風(fēng)險服務(wù)和端口，防患于未然。

2. 雙引擎輕松應(yīng)對勒索病毒：近30年的病毒特征庫積累，基因特征引擎可以快速識別阻止已知勒索病毒。強(qiáng)大的人工智能引擎可以針對未知類型病毒進(jìn)行快速判斷，準(zhǔn)確率高，誤報率低。

3. 業(yè)界領(lǐng)先的勒索誘捕技術(shù)：專利級的勒索誘餌技術(shù)，利用勒索病毒遍歷文件進(jìn)行加密的行為特點(diǎn)進(jìn)行勒索識別和進(jìn)程阻斷，有效防止勒索病毒對系統(tǒng)造成破壞。

4. 幽影文件保護(hù)引擎：針對關(guān)鍵保護(hù)文件，智能化配置可信訪問程序，對重要文件或目錄進(jìn)行程序訪問控制，僅允許可信操作，建立訪問“安全區(qū)”，避免文件被勒索病毒破壞。

5. 微隔離：采用內(nèi)核級主機(jī)防火墻技術(shù)，能夠?qū)Σ煌K端業(yè)務(wù)之間的流量進(jìn)行隔離，并支持一鍵封鎖IP和禁用端口，防止勒索攻擊擴(kuò)散。