印尼央行被勒索!13.88G數據泄露,攻擊者曾攻擊愛爾蘭衛生部......
| 本文共 2337 字,閱讀預計 4分鐘 |
圖片來源于網絡
印尼銀行可能沒想到的是,作為印度尼西亞的中央銀行,時隔6年會再次因網絡攻擊受到全世界的關注。相比2016年那次官方表示“沒有任何錢財損失”的DDoS攻擊,2022年開年這場攻擊的危害和損失更大。
據媒體報道,印尼銀行1月20日公開證實,位于蘇門答臘島的印尼銀行辦公室網絡上月遭到勒索軟件攻擊,但攻擊者并未拿到任何關鍵數據,銀行也及時采取了響應措施,且未影響到銀行對外的公共服務。
對于此次攻擊,印尼銀行未將其直接歸到任何黑客團伙身上。不過攻擊者卻非常高調,勒索軟件團伙Conti在數據泄露網站上主動承認此次攻擊行動,稱已將印尼銀行添加到受害者名單列表,并貼出了此次攻擊竊取到的13.88G的數據截圖。
圖片來源|BleepingComputer
Conti 團伙:專業化操作,從醫療到金融
提到Conti團伙,大家應該有所耳聞。去年5月,該組織因對愛爾蘭衛生部與衛生服務管理局發起過攻擊,被大眾熟知。據微步在線研究響應中心發現,Conti勒索病毒于2019年10月首次出現,2020年開始流行,該病毒背后的Conti團伙聲稱已攻擊成功150多次,勒索費用達數百萬美元。與其他主流勒索集團類似,Conti也是采用RaaS(Ransomware-as-a-Service)運營模式與雙重勒索方式進行勒索,即不僅加密受害者文件,同時還會竊取用戶機密文件,如果被勒索人不及時繳納贖金,則要挾受害者會將其機密數據進一步公開從而拿到贖金。
在團伙內部,Conti擁有專業化的攻擊流程與手段。根據2021年8月Conti勒索團伙分支機構成員因勞資糾紛在網絡論壇報復性泄露的內部培訓資料來看,該組織攻擊作業非常專業。泄露文件涉及該團伙滲透測試團隊的操作技術手冊及用于勒索攻擊的工具,整體培訓文檔包括50多個文件,涵蓋后滲透到敏感數據上傳各個階段的可執行程序及使用說明。
與此同時,Conti團伙攻擊手段非常兇狠,反應也極其迅速。這其中不僅因為勒索軟件本體在加密過程中會通過SMB對不同主機文件進行加密,而且在于Conti還會采用世界上最大的僵尸網絡之一TrickBot進行分發,能夠對攻擊對象造成巨大危害。2021年12月9日(CVE-2021-44228)Log4Shell的漏洞利用被公布到網絡,Conti組織僅在3天后,即12月12日就將其加入工具庫,開始對VMware vCenter Server發動攻擊,反應相當迅速。
此外,據微步在線研究響應中心跟蹤發現,過去一年當中Conti團伙針對醫療行業與緊急服務機構發起了多次勒索攻擊,波及超過400多個組織(其中290個受害組織位于美國)。而Conti此次則是將攻擊目標從醫療行業轉換到金融業,從主陣地北美轉移到了東南亞。
孟加拉國央行網絡攻擊:世界最大網絡搶劫之一
在所有行業中,金融業通常具有最全面、最成熟的安全控制體系。但即便如此,基于經濟回報或政治目的,銀行始終都在攻擊者的攻擊列表當中。而上一次影響世界的國家央行級攻擊事件,就發生在6年前。
2016年2月,黑客在獲得了員工使用的SWIFT網絡(環球銀行金融電信協會的網絡,為確保世界各地金融機構安全進行金融交易成立)的有效憑證后,向紐約聯邦儲備銀行發送了35個偽造請求,想要從屬于孟加拉國銀行的紐約聯邦儲備銀行賬戶竊取10億美元。
所幸的是,在這35個偽造請求中,只有5個請求成功。雖然黑客沒能實現10億美元的攻擊目標,但最終還是成功轉出1.01億美元。這些被盜的資金中,2000萬美元被轉到斯里蘭卡,其余的8100萬美元則被轉到了菲律賓的5個不同賬戶。最終,孟加拉銀行僅追回了流向斯里蘭卡的2000萬美元以及流向菲律賓的1800萬美元。
據了解,如果不是因為黑客向賬戶轉賬請求時將基金會的“Foundation” 寫成 “Fundation”引起了懷疑,可能成功盜竊的就是10億美元了。而孟加拉中央銀行遭遇的這次網絡攻擊,也被稱為“世界最大的網絡搶劫之一”。
金融網絡安全加固,從合規到人,再到流程
雖然銀行對于安全控制有著極高的要求,但在黑客眼中依然會存在各種各樣的漏洞。根據F5 labs的報告顯示,2018年到2020年金融服務機構由于密碼登錄攻擊產生的事件比例最高,達到了46.2%,其次是拒絕服務(DoS)攻擊。而在金融服務機構內部,銀行遭到的DoS攻擊則是最多。關于金融業各類機構如何在現有基礎上提高風險防范能力,進一步加強網絡安全,我們有以下幾方面的建議:
? 網絡合規建設
- 避免網絡資產暴露面過多,對端口、服務、接口等暴露面進行收錄,非必要環境需收入內網。也可利用工具進行資產暴露面管理,如通過微步在線威脅感知平臺TDP以流量監聽的方式,直接對企業資產進行識別,快速定位資產暴露情況;
- 針對域環境雜亂耦合的情況,建議嚴格劃分,進行隔離管理;
- 對于日志存儲期短、缺乏日志審計系統等情況,建議調整主機日志存儲配置,擴大存儲日志大小,延長日志存儲時間。增加SIEM平臺對重要集權系統的操作系統日志收集;
- 安全檢測設備覆蓋不全,則需要完善整體網絡安全防護系統;
- 通信鏈路協議復雜,威脅感知能力差,需要優化網絡鏈路,提升威脅檢測能力;
- 設備或終端系統陳舊落后,需更換設備或升級系統版本;
- 缺乏終端檢測產品或終端檢測產品未嚴格落地的情況,需要落地終端檢測設備。微步在線推出專注主機入侵檢測與響應的新型終端安全防護平臺OneEDR,覆蓋80%ATT&CK攻擊手段,可對主機入侵攻擊鏈路全面檢測與實時告警
? 人員安全意識
- 關于弱密碼問題,建議與企業人力資源部門聯合,強制落地強密碼規范,加強內部人員密碼安全意識。同時,推薦使用雙因子身份認證,在強密碼基礎上增加手機、Token或指紋類的生物驗證;
- 針對釣魚郵件、盜版軟件下載等日常安全陷阱,需盡快加強相關安全意識培訓與實戰演練,實現全員安全防護。
? 流程規范
- 及時升級系統補丁(非常重要);
- 建立內部應急響應團隊,更好應對緊急安全事件,或尋找外部應急響應服務支持,如微步在線安全服務,針對突發或重大安全事件,可提供快速、專業的應急響應服務,并進行定位、處置、溯源、追蹤安全事件;
- 實現7x24小時的監測響應機制,及時發現與響應安全威脅
攻防對抗本質是人與人的較量,只要攻擊者技術在迭代更新,就不存在一勞永逸的防守招式。企業需要從人、工具、流程等不同維度,對安全建設長期投入與加固,才能更好地應對安全威脅。這不僅關乎銀行或者金融行業,它需要得到所有安全建設者的重視。
