5 月 26 日,易到用车发布公告称,其服务器遭到攻击,攻击者勒索巨额比特币。

易到用车服务器遭黑客勒索攻击

广撒网特征,但疑点重重
易到用车事件中,黑客不光加密了核心数据,使其面临巨额勒索,还通过攻击手段使得服务器宕机。
一般来说,针对服务器的勒索病毒都是通过广撒网的方式,也就是没有固定目标,一般就是扫描某个网段或者IP列表进行批量化的攻击,利用某个通用漏洞进行入侵和植入勒索病毒并执行,而整个过程的动作一般都是预设好的,所以通常也不会做其他如拖库等行为。
“这次易到用车的加密勒索从表面上看起来是比较符合这种广撒网的传播方式,特别是最近Windows RDS漏洞的爆发,看起来似乎是比较符合这种情况,每次新漏洞的爆发和Exp的流出总会导致在接下来的一段时间内利用该漏洞的加密勒索或者入侵挖矿等入侵事件增多。”

企业勒索事件激增
勒索攻击在我国爆发是在2016年初,起初大家对勒索病毒的直接感知是来源于WannaCry,这就给人种下了个人电脑更容易遭受加密勒索的感觉,但实际情况并非如此。
由于个人用户安全级别较低,更加容易撞到枪口上。但是,个人用户一般会将此类邮件列入到“垃圾邮件”的行列,因此真正能勒索到的也就只有零星几家企业端受害者。
对此,有的黑客选择将攻击对象锁定在企业范围当中。针对企业植入勒索病毒通常有四种传播方式:

a、通过邮件附件传播,这更多的是针对企业的办公网络,通过批量发送邮件给企业、高校、医院机构等单位,这种类型主要针对那些如企业财务用电脑等有价值的电脑。
b、网站挂马,通过获取了网站的权限,在网页中植入恶意代码,主要是利用IE等浏览器漏洞,企业员工访问网页就会执行恶意代码从而植入勒索病毒。
c、利用系统或服务漏洞,直接执行漏洞Exp从而在目标服务器中执行命令并植入勒索病毒。
d、一些软件供应链,比如通过入侵一些软件的升级服务器替换升级程序为勒索病毒。

对于黑客而言针对企业和个人用户的攻击成本各有优劣,主要取决于攻击方式。而选择攻击前者的成本最终还是取决于企业的安全防护等级高低。

安全建议:
a、针对合规和安全管理入手,把资产、配置和基线做好,很多漏洞都是属于安全基线范畴。
b、重视并建立安全运营机制,建立漏洞响应和管理机制,及时跟进最新爆发漏洞,及时修复相关安全问题,对于部署上线的业务需要进行安全加固。
c、可以搭载一些外部安全能力,如进行渗透测试,可以有效的发现企业相关的脆弱环节和安全问题,及时进行修补。
d、可以适当采购一些安全产品,不管是研发还是办公体系,通过专业的安全人员运营安全产品构建一定的安全防御体系。
f、重视员工的安全意识培训,很多时候,企业安全这个木桶最短的板往往是员工。