当地时间6月15日,壳牌公司证实,Clop勒索软件团伙将这家英国石油和天然气跨国公司列在其勒索网站。壳牌在全球拥有80万多名员工,去年报告的收入超过3000亿美元 这是壳牌第二次受到针对文件传输服务的Clop团伙的打击。
壳牌发言人公开表示:我们知道一起网络安全事件影响了Progress的第三方工具MOVEit Transfer,该工具被少数壳牌员工和客户使用,但没有证据表明壳牌的核心IT系统受到影响,我们的IT团队继续调查这一事件。
Clop勒索软件对MOVEit的黑客攻击在英国造成许多受害者,包括BBC,英国航空公司和爱尔兰航空公司,药品零售商Boots,甚至该国的通信监管机构Ofcom。在有限的设置中,壳牌和Ofcom作为MOVEit工具的直接用户似乎受违规行为的影响较小。Ofcom表示,在攻击中下载了“有限数量的信息”,尽管其中一些是机密的,并且与其监管的公司有关,以及412名Ofcom员工的个人数据。
然而,BBC、英国航空公司、爱尔兰航空公司和Boots可能更容易受到MOVEit漏洞的影响,因为该文件传输工具正被这些名为Zellis的公司的第三方薪资服务供应商使用。
在首都运营公共交通的伦敦交通局也证实受到该事件的影响。一位发言人告诉媒体:与英国的其他公司一样,我们的一家承包商最近遭受了数据泄露。该问题已修复,IT系统已得到保护。有问题的数据不包括银行详细信息,我们正在写信给所有相关人员,让他们了解这一事件。
据《每日电讯报》报道,伦敦交通局数据库中多达13,000名司机被警告说,他们的个人数据在事件中被盗,这影响了运营该市拥堵和停车费计划的承包商。同时BBC新闻报道称,专业服务公司安永也受到了影响。目前尚不清楚安永是Zellis的客户,还是直接使用MOVEit Transfer。两名已确认的Zellis用户—BBC和英国航空公司 - 警告他们的整个工资单,他们的数据可能被盗。
壳牌于 2021 年首次受到 Clop 的袭击,当时该团伙入侵了Accellion 的文件传输设备,通过威胁泄露被盗的敏感信息来勒索使用它的公司。Accellion的攻击影响了全球100多家组织,包括美国的众多大学和加拿大航空航天制造商庞巴迪。
Clop勒索软件是一种新兴的CryptoMix勒索软件,它主要针对企业和组织进行攻击。Clop勒索软件通过加密文件来勒索受害者,并且使用经过验证和数字签名的可执行文件来使其看起来像一个合法的文件,从而逃避安全检测。Clop不仅会加密受害者的文件,还会试图关闭一些与备份和安全相关的进程和服务,以阻止恢复数据或检测攻击。
此外,Clop勒索软件还利用双重勒索的策略,在其暗网泄漏网站上公布受害者的部分数据,并威胁如果不支付赎金,就会公开更多数据。这样做既可以增加受害者支付赎金的压力,也可以吸引更多潜在客户购买他们窃取的数据。
Clop勒索软件背后的攻击者宣称,他们的目标是企业而不是终端用户。自2020年3月以来,Clop勒索软件团伙首次在暗网中启用了一个泄露站点,用于发布受害者信息以便实施双重勒索攻击。站点发布一年多来,勒索团伙一直活跃,泄露站点当中的受害者数量不断增加。2020年,该团伙入侵了德国第二大技术公司Software AG,勒索逾2000万美元,创造了2020年前最高赎金记录,进而被广泛关注。
除此之外,2020年内,该组织还称在12个月里窃取了韩国E-Land Retail公司服务器上存储的200万用户信用卡数据,造成了严重的数据泄露。进入2021年后,Clop勒索组织变得愈加活跃起来。据调查显示,这与Clop相关的威胁组织利用Accellion文件传输设备(CVE-2021-27101等)展开攻击有关,攻击者成功入侵目标网络后,植入名为DEWMODE的webshell,窃取受害目标数据,泄露数据量超过几十甚至上百GB,导致大量组织因为数据泄露而被勒索高额赎金,受害目标涵盖了教育、科研、医疗、能源和专业和法律服务等重要行业。
Clop勒索软件惯用钓鱼邮件,在侵入受害者网络后,部署远控工具等。在组织活动早期,他们使用一种简单攻击策略-Clop勒索软件作为最终载荷,加密重要文件来勒索受害者,并要求受害者使用虚拟货币支付赎金。在收到赎金后,勒索组织者才会交付解密密钥。由于技术发展和安全意识的提高等原因,很多企业重要数据都有灾备并且部署了很多的安全设备,即使遭受勒索软件攻击,也可以通过备份数据迅速还原。针对这种情况,Clop勒索软件团伙在2020年2月升级了他们的策略,启用了一个新的数据泄露站点。
全面摸清资产家底
全面梳理本单位资产情况,建立完善、定期更新本单位资产台账,明确资产归属责任主体,摸清资产底数。定期开展安全基线排查和风险评估,全面掌握资产风险点位、安全措施等现状,强化资产安全防护。
及时下线停用系统,按照最小化原则,减少资产在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。关闭不必要的端口和服务,如远程访问服务3389端口和22端口,降低外来网络攻击风险。
定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞。采用漏洞扫描设备和产品的,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段,定期开展巡检,将供应链厂商产品,驻场人员等纳入网络安全管理范畴,定期开展供应链安全风险隐患排查。
根据业务需要细致划分隔离区、内网区、接入区等网络域,限制网络域间的访问,并通过防火墙限制恶意地址连接、远程访问数据库等。按照权限最小化原则开放必要的访问权限,及时更新访问控制规则。采用动态口令等两种或两种以上进行身份鉴别,用户口令长度应不低于8位并定期更新。
根据系统、文件和数据的重要程度分类分级进行数据存储和备份,主动加密存储和定期备份包括不同业务系统、存储位置等多源异构数据在内的重要敏感数据,并及时更新备份数据。对存储重要敏感数据的硬件设备采取全盘加密、加密存储数据的扇区等措施,防范因勒索攻击引发的数据泄露事件。数据分类分级定期数据备份、及时更新备份、主动加密存储。
在网络侧,部署流量监测、阻断等类型网络安全防护手段,加强针对勒索病毒通联行为的实时监测、封堵处置。在终端侧,安装具有主动防御功能的安全件,不随意退出安全软件、关闭防护功能等,并设立和定期更新应用软件白名单。
以培训、演练等形式提升勒索攻击风险防范意识不点击来源不明的邮件附件打开邮件附件前进行安全查杀、不从不明网站下载软件、不轻易运行脚本文件和可执行程序、不混用工作和私人外接设备、在工作设备与移动存储设备外接时关闭移动存储设备自动播放功能并定期进行安全查杀。
制定涵盖勒索攻击在内的网络安全突发事件应急预案,明确牵头部门、职责分工、应急流程和关键举措,一旦发生勒索攻击事件,立即启动预案,第一时间开展应急处置工作。综合采取实战攻防、沙盘推演等形式,开展以勒索攻击应急处置为核心的网络安全演练,提升实战化攻击防御能力。
隔离感染设备
确认遭受勒索攻击后,立即采取断网、断电的方式隔离勒索病毒感染设备,关闭设备无线网络、蓝牙连接等,禁用网卡并拔掉感染设备全部外部存储设备。立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号登录密码等。排查感选劳在已隔离感染设备的情况下,对勒索攻击影响业务系统、生产系统及备份数据等情况进行排查,根据感染设备异常访问、非法外联等情况,排查数据泄露情况,确认勒索攻击影响。对于感染情况不明的设备,提前进行磁盘备份,在隔离网内现场或线上排查,避免启动设备时因残留勒索病毒再次感染。
通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析,提取勒索病毒通信特征、样本文件和传播途径等重要信息,并通过本地网络日志信息、勒索病毒样本文件等研判勒索攻击入侵渠道。第一时间向地方通信主管部门报告勒索攻击事件。
充分调动本单位内部网络安全力量处置勒索攻击事件,将勒索病毒主控端恶意域名、恶意IP地址等加入本单位网络黑名单。利用勒索病毒解密工具、已公开的加密密钥、数据加密缺陷等尝试破解勒索病毒,恢复加密数据。必要时,积极联系具备应对勒索攻击专业能力的网络安全企业、机构等寻求协助。
根据遭受勒索攻击影响相关设备数据备份的情况,综合衡量恢复数据的时间成本和重要程度等因素,确认数据恢复范围、顺序及备份数据版本,利用备份数据进行数据恢复。
深入排查和整改勒索攻击利用的网络安全防护薄弱环节,重点排查弱口令、账户权限、口令更新和共用等问题,及时更新系统、软件、硬件等版本并修补漏洞。
根据勒索攻击事件暴露出网络安全的问题,针对性修订完善网络安全管工作理制度,对遭受的勒索攻击事件进行复盘分析,并更新网络安全突发事件应急预案。
综合勒索攻击事件情况,深入查找本单位网络安全技术能力短板弱项,补齐补强覆盖网络安全威胁风险预警、监测处置、指挥调度等技术能力,强化勒索攻击防范应对。
综合运用基础电信网络监测处置技术手段,强化勒索病毒感染、通联等恶意行为实时监测,及时预警重大勒索攻击风险。根据勒索病毒特征,加强针对勒索病毒主控端恶意域名、恶意IP地址等的全网封堵,及时阻断勒索病毒传播。
依托网络安全威胁信息共享工作机制,汇聚勒索病毒样本特征、攻击情报等信息,进一步加强勒索攻击威胁信息共享,指导强化勒索攻击防范应对工作,加快提升勒索攻击防御合力。
勒索病毒潜在的恶意行为,体现在操作系统底层操作指令的关联调用,如创建注册表,目录遍历,新建账号,账号提权等,而工业主机卫士通过对操作系统底层操作指令的监控,可以对潜在恶意行为进行告警,从而进一步阻断,达到防止勒索病毒对主机的进一步破坏。
面对OT与IT融合下的工业环境,六方云工业卫士产品深入操作系统内核,通过白名单、外设管控、主机行为分析、安全加固等技术,针对恶意文件形成“防感染、防爆发、防扩散”综合安全防护,从而进行全面的工业资产、安全风险集中管理,实现对工业主机的安全防护。
同时,六方云工业主机卫士支持工业终端安全管理能力,通过部署六方云工业终端安全管理平台,提供用户集工业终端安全管理、工业终端安全防护、工业终端安全运行监测于一体的终端安全整体解决方案。
此外,六方云神探产品可以实现全攻击链检测勒索攻击。神探的钓鱼邮件检测和远程访问应用检测功能,在攻击入口阶段就能及时发现勒索攻击企图;神探的异常行为检测功能,在载荷投递和横向移动阶段让勒索攻击的隐蔽痕迹无处可藏;神探的变种病毒检测功能,在提权和数据加密阶段让勒索攻击无法躲避安全检测,神探的隐蔽隧道包括加密隧道检测功能,在数据窃取和实施勒索阶段让勒索攻击目标无法达成。
参考资料:https://therecord.media/shell-impacted-in-clop-ransomware-attack
