吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1422|回复: 12
上一主题 下一主题
收起左侧

[分享] Solar勒索软件威胁态势与防护实践年度报告(2025)-章节五

[复制链接]
跳转到指定楼层
楼主
solar应急响应 发表于 2026-5-27 18:00 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 solar应急响应 于 2026-5-28 10:38 编辑

第五章 勒索防护与应急响应实践建议

基于 2025 年 Solar 应急响应团队处置的 534 起真实勒索案件,我们发现:90% 的勒索攻击并非利用了无法防御的“0-day”漏洞,而是利用了企业在基础安全配置补丁管理人员意识上的疏漏。针对当前的勒索威胁态势,Solar 团队结合一线实战经验,提出以下防护与响应建议。

一、面向企业的勒索防护建议

(一)发现勒索攻击后的应急处置流程

勒索攻击发生后的“黄金一小时”至关重要。企业应遵循“止损优先、保护现场”的原则,切忌盲目重启或重装系统,以免破坏取证线索或导致数据永久丢失。

建议企业按照以下标准流程(SOP)进行操作:

勒索病毒应急处置**SOP**流程

关键步骤操作要点:

  1. 物理/逻辑隔离(止损)
    1. 动作:立即拔除受感染主机的网线(物理隔离)或在交换机/防火墙层面通过 ACL 阻断其网络连接(逻辑隔离)。
    2. 禁忌严禁直接关闭服务器电源。勒索软件可能在内存中残留解密密钥或痕迹,关机会导致易失性数据丢失,且部分勒索软件设有“开机自毁”机制,重启可能导致数据二次损坏。
  2. 范围排查(定损)
    1. 动作:快速检查内网其他核心资产(如域控、备份服务器、ERP/财务数据库)是否出现异常文件后缀或勒索信,确定感染边界。
  3. 现场保护(取证)
    1. 动作:对勒索信、加密文件样本、系统日志(Event Log)、Web 日志(IIS/Nginx/Apache)进行备份保存。
    2. 工具:推荐使用 Solar 自动化采集工具进行内存与磁盘痕迹提取。
  4. 专业介入(处置)
    1. 动作:联系专业应急响应团队介入。切勿轻信网上的“解密工具”或私自联系攻击者,以免遭遇二次诈骗。

(二)企业反勒索安全体系规划建议

针对 Weaxor、Qilin 等家族利用 N-day 漏洞供应链跳板 进行攻击的特点,企业应构建纵深防御体系。

  1. 收敛互联网暴露面(Attack Surface Reduction)
    1. 原则:非必要不开放。
    2. 措施
      • 严禁将 RDP(3389)、SMB(445)、数据库端口(1433/3306)直接暴露在公网。
      • 确需远程管理的,必须通过 VPN 或 堡垒机 访问,并强制开启 多因素认证(MFA)
      • 排查并卸载非业务必需的远程控制软件(如 AnyDesk、TeamViewer、向日葵),防止其成为攻击者的后门通道。
  2. 建立“不可篡改”的备份机制
    1. 原则:备份是勒索防护的最后一道防线。
    2. 措施:严格执行 “3-2-1”备份策略(存储 3 份数据,使用 2 种不同介质,至少 1 份离线/异地冷备份)。
    3. 重点:勒索软件(如 DragonForce)往往会优先攻击在线备份系统(Veeam/群晖NAS)。因此,物理隔离的离线磁带或移动硬盘是数据恢复的唯一底牌。
  3. 精细化网络微隔离(Micro-segmentation)
    1. 措施:将核心业务区(如财务、研发)与办公网(OA)、互联网接入区进行 VLAN 隔离。
    2. 目的:阻断勒索软件利用 Cobalt Strike 或 PsExec 在内网的横向移动,防止“一台中毒,全网瘫痪”。
  4. 漏洞全生命周期管理
    1. 措施:建立资产台账,针对高危服务(如用友 U8/NC、金蝶、泛微 OA、Exchange 邮件服务)建立 7x24 小时漏洞监测机制,确保在厂商发布补丁后的 24 小时内完成测试与修复。

(三)勒索事件处置后的加固与防护措施

勒索事件处置完毕并不意味着风险解除。攻击者极有可能留有后门(Webshell/幽灵账号),企图进行“二次勒索”。

  1. 全网凭证重置
    1. 强制修改所有高权限账号(域管、本地管理员、数据库 SA/Root)的密码,确保新密码满足“强口令”要求(12位以上,包含大小写、数字及特殊字符)。
  2. 彻底清除残留后门
    1. 全盘扫描查杀潜在的 Webshell、恶意计划任务(Scheduled Tasks)、WMI 持久化脚本及异常注册表启动项。
  3. 补丁验证与策略封堵
    1. 复盘攻击入口(如 Weaxor 利用的某 ERP 漏洞),打上对应补丁,并关闭导致入侵的高危端口。

二、面向个人用户的安全防护建议

2025 年,针对个人终端的勒索攻击(如 Stop/Djvu 家族)依然活跃,主要通过盗版软件与钓鱼邮件传播。

(一)个人安全意识与使用习惯建议

  1. 数据备份常态化:重要文件(如照片、论文、工作文档)应定期同步至云盘或移动硬盘,备份完成后务必断开移动硬盘与电脑的连接。
  2. 系统与软件更新:保持 Windows 系统及杀毒软件处于最新版本,开启自动更新功能,修补已知系统漏洞。
  3. 账号安全:各类网站/软件避免使用“一套密码走天下”,建议配合密码管理器使用复杂密码,并尽可能开启手机验证码或 OTP 二步验证。

(二)高风险上网行为防范建议

  1. 远离盗版与破解软件
    1. 风险:Solar 团队监测发现,大量勒索软件伪装成“游戏修改器”、“软件注册机(Keygen)”、“破解补丁”在下载站传播。
    2. 建议:坚持从官方渠道下载软件,严禁运行来源不明的 .exe.bat 文件。
  2. 警惕钓鱼邮件与宏病毒
    1. 风险:攻击者常伪装成“发票”、“通知”、“简历”发送带有恶意宏(Macro)的 Office 文档或压缩包。
    2. 建议:不轻易打开陌生邮件的附件,Office 软件中默认禁用“宏”功能。

(三)遭遇勒索风险时的应急处理措施

  1. 立即断网:一旦发现文件后缀被修改或桌面弹出勒索信,立即拔掉网线或断开 Wi-Fi,防止病毒加密更多文件或通过网络传播给家人/同事。
  2. 勿信“付费解密”:针对个人用户的勒索软件(如 Stop 家族的在线 ID 版本),支付赎金后获得解密密钥的概率极低。
  3. 寻求专业协助
    1. 保留被加密文件和勒索信。
    2. 访问国际通用的解密网站(如 No More Ransom)查询是否有免费解密工具。
    3. 如涉及重要高价值数据,建议咨询专业数据恢复机构进行底层数据修复评估。

附录一  2025 年度勒索软件重大事件回顾

1 国内勒索事件

1.1 某某半导体股份有限公司勒索事件

勒索组织”Thegentlemen“2025年11月xx日在其暗网网站公开某某半导体股份有限公司勒索信息,数据公开日期剩余237小时目前尚未公布证据文件,后续获取泄露盗取文件列表中其声称盗取的文件包括工艺库/器件模型(PDK)文件、芯片版图(GDS)文件、DRC/LVS/EM/热分析流程文件、FPGA/HAPS仿真与调试工程、高速接口协议与内部定制文档、内部教程、培训视频、合同资料、渗透报告、内网架构、內部手册等。2025年11月xx日,勒索组织已在暗网公布所窃取的数据文件,主要为产品测试数据报告、知识产权信息等敏感文件。该公司是一家专注于半导体高速互连技术及先进半导体IP的研发与服务的高科技公司。

1.2 某某制造公司勒索事件

勒索组织INC Ransom于2025年11月xx日公开宣称勒索某某制造公司股份有限公司,据暗勒索组织INC Ransom暗网公布的信息,其窃取的文件包含域用户账户详细信息、员工个人信息、域计算机与服务器资产清单、域信任关系图谱等。2025年12月x日勒索组织INC Ransom在暗网泄露页更新“XXXX Interconnect Technology Limited (FIT)”泄露数据,此次更新泄露的文件包含CAD源文件、优化后产品图、2D产品图、料带图(展示了金属原材料如何在冲压成品过程)、排版线、切割图。还公布了虚拟化管理权限vCenter Server(虚拟化管理中心) 的界面。

1.3 某某科技集团勒索事件

2025年3月xx日“Dragon Force”勒索组织在暗网平台发布的勒索信息。经核查后该公司为某某科技集团有限公司,是中国领先的电动两轮车制造企业,也是全球电动两轮车行业的龙头企业。

Dragon Force勒索组织宣称已窃取某某科技集团有限公司高达1.1 TB数据,截至目前2025年12月xx日所有数据已在该勒索组织暗网平台全部下架。我们在其他暗网论坛检索关键字也未发现任何有关某某科技集团有限公司的相关博客,具体泄露的数据文件暂无从考证。但根据以往相关类型公司泄露数据来看,本次某某科技集团有限公司泄露数据可能包含财务数据、审计数据、国内外公司业务往来信息、员工个人信息、产品研发图纸等。

1.4 某某科技股份有限公司勒索事件

勒索组织Everest于2025年12月xx日宣称勒索某某科技股份有限公司,据暗勒索组织Everest暗网公布的信息,其窃取的文件包含1TB数据和源码文件,目前尚未泄露盗取的文件以及公布勒索赎金金额,样本数据公开日期预计剩余12小时。2025年12月xx日公布样本证据文件图片并说明“文件包含来自某国际知名电脑及电子产品品牌、某计算机视觉算法商、某全球领先的无线科技创新者,致力于5G研发、半导体开发)的资料”其中包括二分法分割模块、源代码与补丁、内存转储与运行日志、人工智能模型与权重、OEM内部工具与固件、测试视频、校准与双摄数据、图像数据集、崩溃日志与调试报告、评估与性能报告、高动态范围、融合与后处理数据、测试APK、实验性应用、脚本与自动化工具、小型配置二进制校准文件等。

1.5 某某控股集团勒索事件

2025年10月xx日Sinobi勒索组织在暗网数据泄露页面宣称攻击某某控股集团并窃取400GB数据,标注窃取数据类型包括合同、财务数据、机密信息等。某某控股集团创业于1984年,已成为全球制冷家电、新能源汽车热管理领域的行业领军企业,并向工业自动化领域拓展,超过10类产品全球市占率第一,超过30类产品全球市占率前三位,海内外市场营收各占50%左右,70%的营业收入来自全球行业前30位的头部品牌客户。

2 国外勒索事件

2.1 EcuacorrienteS.A.勒索事件

2025年11月25日“TheGentlemen”勒索组织在暗网公开发布“EcuacorrienteS.A.”公司的勒索信息。Ecuacorriente S.A.是总部位于厄瓜多尔基多一家大型矿业公司,成立于1999年。目前该公司是XX企业联合体的全资子公司,该联合体由XX股份有限公司和XX金属集团控股有限公司共同控股Ecuacorriente S.A.最初由Corriente Resources Inc.加拿大一家矿业公司全资拥有或控制,主要从事铜矿的勘探、开发和生产运营2010年,XX企业联合体以约6.8亿美元收购加拿大Corriente Resources Inc.控制Ecuacorriente S.A.,并于2012年与厄瓜多尔政府签署Mirador铜矿的30年开采合同,使其成为该国首个大型工业铜矿项目。是中国和厄瓜多尔资源合作的重要平台。截至目前2025年12月20日,TheGentlemen勒索组织已经公开所有窃取的数据。进行分析后,这些数据涉及企业的网络安全设备清单、网络拓扑图、安防系统拓扑图、关键基础设施技术细节以及相关账号密码等敏感信息。

2.2 Ingram Micro(英迈)勒索事件

2025年7月,全球大型技术分销商、财富100强企业 Ingram Micro(英迈)遭受勒索软件攻击。Ingram Micro 作为连接全球多家技术供应商与大量渠道经销商的重要分销平台,其业务系统在事件期间出现大面积中断,对全球 IT 供应链造成了显著影响。攻击发生于2025年7月3日,事件发生后,Ingram Micro 主动下线了包括 AI 驱动业务平台 “Xvantage” 以及云许可管理平台 “Impulse” 在内的多套核心系统,以防止勒索软件在内部网络中进一步扩散。上述系统下线直接导致合作伙伴在一段时间内无法进行订货、报价及许可证管理等业务操作。

2.3 Asahi Group Holdings(朝日集团)勒索事件

2025年9月,日本大型跨国企业、全球饮料制造商 Asahi Group Holdings(朝日集团)遭遇Qilin勒索软件攻击。该事件对企业信息系统及实际生产运营造成了直接影响,部分业务在事件期间被迫中断。攻击于2025年9月29日被发现,随后确认已影响朝日集团在日本国内的多套核心系统。受影响范围不仅包括办公网络中的邮件系统和文件服务器,还波及用于订单处理、物流调度及生产计划管理的业务系统。上述系统被加密后无法正常使用。为防止勒索软件进一步扩散至工厂控制系统(OT 网络),朝日集团采取了断网隔离措施。该处置措施在阻断攻击扩散的同时,也导致部分生产线暂停运行、物流配送受阻。事件期间,部分业务流程临时改为人工方式处理,对产品供应和销售产生了明显影响。据公开信息显示,部分主力产品在市场上出现阶段性供应不足,软饮料业务销售额在短时间内出现较大幅度下降。

2.4 Jaguar Land Rover(捷豹路虎,JLR)勒索事件

2025年9月1日,英国汽车制造商 Jaguar Land Rover(捷豹路虎,JLR)披露其遭遇一起严重网络安全事件。该事件对企业全球生产与研发体系造成重大影响,并引发英国政府相关部门的关注。事件不仅影响企业自身运营,也对汽车产业链稳定性产生了外溢影响。

攻击导致 JLR 位于英国、斯洛伐克、中国及印度的多处生产基地暂停生产。多条自动化生产线停止运行,设计与研发部门使用的 CAD/PLM 系统无法访问,经销商订车及订单管理系统亦处于离线状态。受汽车行业高度依赖即时供应(Just-In-Time)模式的影响,JLR 生产中断迅速波及大量上下游供应商。根据行业评估,停产期间企业面临的直接经济损失规模较大。为防止关键供应链企业因资金链问题受到进一步冲击,英国政府随后宣布提供最高约 15 亿英镑的贷款担保措施,以稳定国内汽车产业运行。

安全研究人员认为,此次针对 JLR 的攻击并非由单一勒索组织实施,而是由多个活跃威胁行为体在一定程度上协同完成,情报中通常将该组合称为 “Scattered Lapsus$ Hunters”。 该组合被认为与以下几类已知威胁组织存在关联活动特征:

  • Scattered Spider:以社会工程攻击见长,常通过电话欺诈(Vishing)、SIM 卡劫持等方式获取员工高权限账号,历史上曾多次针对身份管理平台实施攻击。
  • Lapsus$:以高调披露数据、制造舆论压力著称,曾对多家大型科技企业实施入侵。
  • ShinyHunters:长期从事大规模数据窃取和数据库交易活动,重点关注云环境和集中式数据存储系统。

协同行为: 从攻击过程和事后披露的信息来看,不同威胁行为体在初始入侵、数据窃取及信息公开等阶段分工明显。攻击者通过社交媒体和即时通信平台公开展示部分内部系统截图和数据样本,以扩大事件影响范围并向企业施压。

2.5 DaVita Inc. 勒索事件

2025年4月,美国大型肾脏护理服务提供商 DaVita Inc. 披露其遭Interlock遇勒索软件攻击窃取510 GB数据。DaVita 在美国运营超过 2600 家透析中心,为 20 余万名终末期肾病患者提供长期透析治疗,其业务具有高度医疗关键性。

攻击发生于2025年4月12日。勒索软件加密了 DaVita 部分内部网络系统,导致电子健康记录(EHR)、患者排班调度系统以及实验室信息系统无法正常使用。鉴于透析治疗对时间连续性的高度依赖,系统不可用对患者安全构成潜在风险。DaVita 随即启动应急处置流程,通过纸质病历和人工操作维持临床治疗连续性。尽管核心医疗服务未中断,但后台运营受到明显影响,包括计费流程暂停、实验室检测结果延迟以及患者信息访问受限。

2.6 NISSAN CAPITAL勒索事件

2025年11月23日,Qilin 勒索组织在暗网数据泄露平台发布信息,声称其已从 Nissan Capital 窃取大量内部数据。Nissan Capital 是日本日产汽车集团旗下的金融服务公司,主要为日产及英菲尼迪品牌提供汽车融资、租赁及相关金融解决方案,在日本及多个海外市场开展业务。

根据Qilin组织公布的信息,其声称掌握的数据规模较大,涉及企业内部文件和业务资料。截至目前,Qilin尚未一次性公开全部数据,仅展示了部分样本文件以证明其入侵行为的真实性。相关样本文件显示,数据类型可能包括企业内部运营文档、客户及合作方相关资料,以及部分财务和业务支持文件,具体内容仍有待进一步核实。

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
yuridexiaoyu + 1 + 1 谢谢@Thanks!
IcePlume + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

沙发
hackchen 发表于 2026-5-28 08:35
是州✌️分享的吗
3#
bulesoft 发表于 2026-5-28 09:00
4#
IcePlume 发表于 2026-5-28 09:24
5#
dodoxia 发表于 2026-5-28 09:35
防不胜防
6#
wjbedu 发表于 2026-5-28 10:11

谢谢楼主分享
7#
3y3s 发表于 2026-5-28 10:35
魔高一尺道高一丈啊
8#
acsecqb 发表于 2026-5-28 10:37
学习了,真厉害!
9#
vip90n 发表于 2026-5-28 14:09
反正中毒真的很麻烦
10#
Sabiduria 发表于 2026-5-28 14:50
学到了东西,谢谢大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - 52pojie.cn ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2026-7-13 18:01

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表