據(jù)巴西經(jīng)濟部稱,8月13日晚國庫內(nèi)部網(wǎng)絡遭遇勒索軟件襲擊并立即采取了遏制措施,同時召集了聯(lián)邦警察。這是勒索軟件首次成功攻擊國家核心金融系統(tǒng),勒索軟件已成為全球網(wǎng)絡空間安全的重大破壞因素之一。
初步評估顯示,包括公共債務管理平臺在內(nèi)的國庫體系化系統(tǒng)沒有受到損害。巴西經(jīng)濟部指出,有關(guān)該事件的新信息將會及時披露并具有適當?shù)耐该鞫取?/p>
8月16日,巴西經(jīng)濟部與巴西證券交易所聯(lián)合發(fā)布的另一份聲明則提到,此次攻擊并未“以任何方式”影響到巴西政府的個人債券購買項目Tesouro Direto。
在此次巴西國庫遭遇攻擊之前, 2020年11月巴西高級選舉法院也曾遭遇重大網(wǎng)絡攻擊,該襲擊使該法院的系統(tǒng)停頓了兩個多星期。就其復雜性和所造成損害的范圍而言,當時該事件被認為是有史以來針對巴西公共部門機構(gòu)精心策劃的最全面的攻擊。2021年,巴西境內(nèi)有多家大型企業(yè)同樣受到重大勒索軟件攻擊的影響,包括醫(yī)療保健企業(yè)Fleury、巴西航空工業(yè)公司等。
勒索自救措施
勒索軟件具有強破壞性。一旦運行起來,用戶很快就會發(fā)現(xiàn)其特征,如部分進程突然結(jié)束、文件不能打開、文件后綴被篡改、屏保壁紙被更換等。
當我們已經(jīng)確認感染勒索病毒后,應當及時采取必要的自救措施。之所以要進行自救,主要是因為:等待專業(yè)人員的救助往往需要一定的時間,采取必要的自救措施,可以減少等待過程中,損失的進一步擴大。
隔離中招主機
當確認服務器已經(jīng)被感染勒索病毒后,應立即隔離被感染主機,防止病毒繼續(xù)感染其他服務器,造成無法估計的損失。隔離主要包括物理隔離和訪問控制兩種手段,物理隔離主要為斷網(wǎng)或斷電;訪問控制主要是指對訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。
?。?1 ) 物理隔離
物理隔離常用的操作方法是斷網(wǎng)和關(guān)機。斷網(wǎng)主要操作步驟包括:拔掉網(wǎng)線、禁用網(wǎng)卡,如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡。
?。?2 ) 訪問控制
加策略防止其他主機接入,關(guān)閉感染主機開放端口如 445、135、139、3389 等。修改感染主機及同局域網(wǎng)下所有主機密碼,密碼采用大小寫字母、數(shù)字、特殊符號混合的長密碼。
排查業(yè)務系統(tǒng)
在已經(jīng)隔離被感染主機后,應對局域網(wǎng)內(nèi)的其他機器進行排查,檢查核心業(yè)務系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍。
聯(lián)系專業(yè)人員
在應急自救處置后,建議第一時間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者,對事件的感染時間、傳播方式,感染家族等問題進行排查。
勒索病毒預防建議
現(xiàn)在勒索病毒的勒索形式不斷變化,一旦中招,想要無損解密相對來說比較困難。所以,勒索病毒主要還是預防為主,通過周期性的安全培訓,增強人們的安全意識。做到未雨而綢繆,防止臨渴而掘井。
?。?1 ) 對重要的數(shù)據(jù)文件定期進行非本地備份,一旦文件損壞或丟失,也可以及時找回。
?。?2 ) 及時給辦公終端和服務器打補丁,修復漏洞,包括操作系統(tǒng)以及第三方應用的補丁,防止攻擊者通過漏洞入侵系統(tǒng)。
?。?3 ) 盡量關(guān)閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關(guān)閉高危端口,降低被漏洞攻擊的風險。
?。?4 ) 不對外提供服務的設(shè)備不要暴露于公網(wǎng)之上,對外提供服務的系統(tǒng),應保持較低權(quán)限。
?。?5 ) 應采用高強度且無規(guī)律的密碼來登錄辦公系統(tǒng)或服務器,要求包括數(shù)字、大小寫字母、符號,且長度至少為8位的密碼,并定期更換口令。對于各類系統(tǒng)和軟件中的默認賬戶,應該及時修改默認密碼,同時清理不再使用的賬戶。
?。?6 ) 盡量關(guān)閉不必要的文件共享。
?。?7 ) 提高安全運維人員職業(yè)素養(yǎng),定期進行木馬病毒查殺。