向千万美元赎金说不 记一场企业出海遭遇勒索攻击的背后故事

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2022-04-18
作为“世界工厂”,疫情并没有阻挡住中国企业出海的步伐,反而是加速了中国制造在疫情时期的全球化市场地位的提升。然而企业出海并非一帆风顺,除了全球产业链重构带来的竞争加剧、地缘政治交织的不确定性,网络安全,也同样成为企业出海的绊脚石。

 
2022年春节前夕,世界经济论坛照常发布了最新的全球风险报告,网络安全问题再次被报告关注。仔细观察你会进一步发现,在所有的网络安全风险中,勒索病毒攻击占具了绝大多数的报告篇幅。事实上,在过去的2021年,勒索病毒攻击正在成为一种泛滥且复杂的网络攻击形式,对全球各级组织开展线上经营活动造成致命威胁。
 
同时,我们也应该认识到,作为全球性威胁,勒索软件攻击离我们也并不遥远,在安全419持续推出的《勒索攻击解决方案系列选题》过程中,我们与国内诸多优秀网络安全企业的交流中发现,国内也有大量企业、组织遭遇勒索攻击,其中不乏经营跨国业务的出海企业。
 
黑客开出千万美元赎金 我国企业出海遭遇勒索攻击
 
以下就是一则真实的勒索病毒攻击案例:国内某千亿市值大型跨国制造企业,在2022年春节期间,黑客利用勒索病毒,将该企业涉及生产及业务管理的数十套IT系统进行加密,勒索金额超过千万美元。
 
据了解,该企业将肩负生产的 IT 管理系统以私有云方式部署于主流虚拟化平台 VMware 之上,覆盖多个国家与地区业务生产车间。黑客通过获取 VMware 平台的控制权限进行勒索病毒攻击,导致全球部署于 VMware 平台上的的生产管理系统全部中断,企业面临严重的停产危机。
 
对于任何企业来说,生产系统、业务系统的强连续性和高可靠性至关重要,其重要性甚至决定企业生死。
 
近日,美股上市企业 Atento 的最新财报就曾向投资人披露了去年因勒索攻击造成的损失,因为其在巴西地区的 CRM 业务因勒索攻击中断,导致了共计4210万美元的经济损失,其中因业务中断造成的直接经济损失高达3480万美元。
 
面对勒索攻击,如何快速恢复被加密的生产及业务管理系统,恢复正常生产经营活动,最大化的为企业减少损失,我国这家大型企业争分夺秒,与时间赛跑。
 
网络安全已成企业发展头号威胁 云自身安全正经历考验
 
针对本次攻击的事中处置种种迹象以及事后调查均表明,本次攻击源头为 VMware 虚拟化平台一方失守造成,连带该企业部署于该虚拟化平台上的数十个应用服务器被无差别攻击,同时黑客通过潜伏并进一步渗透到了企业内网。
 
当企业经营国际化业务时,上云采用虚拟化部署业务应用已经成为一种必然,其所带来的安全问题也肉眼可见。其中既有天灾,也有人祸。
 
去年年初,欧洲最大云服务公司 OVH 机房着火,事件导致其服务的大中小企业360万个网站瘫痪,其中大量客户因数据无法恢复导致短时间内无法恢复业务运营,造成的潜在经济损失无法估量。
 
今年年初,美国 Kronos 私有云平台被黑客攻击,该私有云为多家企业客户提供人力资源管理服务,尽管平台部署使用了防火墙、传输加密、多因素身份验证等安全措施,但针对平台的攻击仍导致大量客户数据泄露。
 
数字化转型和企业跨国业务的广泛开展,加速了云上迁移的过程,云自身的安全性问题也重回公众视野,重视程度比以往任何时候都要更加真实和迫切。尽管相比于企业自建数据中心,云本身被广泛认为要更加安全。
 
针对本次勒索事件,涉及的 VMware 虚拟化平台失守问题,也是行业所观察到的一种威胁趋势。近期,针对意大利某时装品牌的勒索攻击报告除了披露勒索造成的影响之外,针对相关勒索组织的攻击趋势显示,就有大量的针对 VMware 服务器的勒索攻击。
 
事实上,近年来 VMware 各级应用不断爆出安全漏洞,如就在本月,VMware 官方发布安全公告宣称修复了多个产品的8个重要安全漏洞。此前,在某项安全赛事现场,安全研究人员更是仅用时9分钟便成功获取了 VMware ESXi 的最高权限并进行任意控制。
 
向勒索赎金说不 安全底线建设让企业免遭巨额损失 
 
由于该企业所属行业的性质决定,其IT 管理系统部署有大量安全基线,这也是为垮地区经营满足不同国家和地区的安全合规与安全刚需的综合考量。正是适当的安全基线建设,让该企业在真正面对勒索攻击之时免遭致命打击。
 
据了解,由于该企业针对重要业务系统部署了灾备解决方案,涉及的生产管理系统最终得以快速再生。
 
该企业灾备解决方案供应商 CloudWonder 嘉云告诉安全419,面对数据、应用层面的灾备解决方案,原本是为抵御自然灾害等不可抗拒因素而设计,实际应用时,其在系统软硬件故障、人为失误造成的系统灾难恢复方面表现优异。
 
他们进一步强调,随着近年来勒索攻击逐渐泛滥,面向大多数在线业务、生产系统等场景的灾备解决方案也可以为企业提供勒索快速恢复,其方案优势相较于数据备份要更具时效性,以及更加快速的业务恢复能力。
 
传统的数据备份作为安全灾难的事后应急恢复手段,在面对本次勒索病毒攻击事件,实现生产系统全面恢复保守估计将花费数天甚至数周时间;而使用 CloudWonder 嘉云专业灾备解决方案,其生产系统全面恢复则可以做到瞬时完成。
 
恢复过程一波三折 企业急于恢复竟遭遇二次勒索
 
据了解,在勒索病毒攻击发生后,CloudWonder 嘉云通过远程协助的方式对其保护的近40台生产系统主机实现了瞬间恢复,同时配合该企业运维人员验证了灾备系统的有效性;随后用户在未经清洗、隔离、加固等一系列安全措施,第一时间在生产环境重构生产系统,以尽可能快的恢复生产,事后发现这一操作忽略了根源的安全问题仍没有得到解决。
 
面对到口之食,该企业也是黑客紧盯不放的目标,在掌握到了企业通过技术手段进行了恢复之后,该黑客故技重施再次发起了勒索病毒攻击,由于安全措施没有根进,刚刚恢复的生产系统也再度沦陷。
 
最终,该企业在遭遇勒索攻击之后,从初次快速恢复到经历二次勒索,再到企业认识到错误进行全面的安全措施与灾备恢复同步实施之后,最终到全面恢复,共计用时不足半天时间,该企业面临的全球停产危机也随即消除。
 
安全不能留有空隙 异构数据保护至关重要
 
在本次勒索攻击案例中,我们还有一些细节可以进一步挖掘。
 
据了解,CloudWonder 嘉云专业灾备解决方案之所以能够做到瞬时有效的保护及恢复,要得益于该方案与 VMware 平台的异构部署,即勒索组织在这一攻击场景下无法触达灾备系统的备份数据,这也是本次事件中事后快速再生恢复的关键。
 
此外,CloudWonder 嘉云还告诉安全419,其解决方案可以应对不同客户不同安全等级的容灾恢复需求,如应对金融级客户,其解决方案可以将业务系统快速在异地重构,RPO恢复响应无限接近于0,并对传统数据中心及各云厂商提供的公有云、私有云提供无缝迁移。
 
另据我们了解,CloudWonder 嘉云创新性的提出“主动侦测、自我恢复”主动式容灾理念,并推进产品向智能化、服务化发展。
 
NaviClouDR 主动式数据保护系统就是 CloudWonder 嘉云在该方法论下推出的新一代灾备产品,该产品集合了更多安全能力和自动化技术,来解决客户最核心的安全关切,提供有保障的瞬时恢复能力。
 
据悉,未来 NaviClouDR 主动式数据保护系统还将通过全面开放的API能力与其他安全厂商、云服务商联动,构建全面、主动、自动化的网络安全防护体系,为政企客户的业务创新和数字化升级转型赋能,满足日益提升的业务连续性要求,为数字经济安全构筑最后一道防线。
 
写在最后:
 
从网络安全大命题展开思考,各大IT巨头、网络安全企业一直在做相关的前瞻性研究,利用新框架、新技术建立方法论,目的就是为了对标黑客攻击时保持一定的领先性。但是相反的是,黑客也在建立他们的攻击方法论,事实上他们总能找到突破口,掌握进一步的主动权。
 
当网络安全已成为企业发展头号威胁之时,企业必须放弃信息系统牢不可破的幻想,威胁比以往任何时候都更加宽泛和难以捕捉,我们看到的是,构建全面、快速、有效恢复能力来实现事后业务系统快速再生,已成为企业与黑客抗争的唯一机会,也是企业叱咤商海的必选项。