台达电子遭勒索攻击丨大东话安全

一、小白剧场

小白：东哥，你知道台达电子集团吗？

大东：当然，台达电子是电脑电源厂商，据说全球每2台服务器和每3台PC电脑就有一台使用台达电源。

小白：那业界地位这么高的台达电子，他的网络安全防御机制怎么样呢？

大东：跟我这么久了，小白你的网络安全意识确实提升不少，已经能够自主关注每个产业的网络安全防御机制了！

大东：话说回来，“枪打出头鸟”，台达电子最近的确不怎么安全。

大东：最近，台达电子发布声明，说它在2022年1月21日受到了一起勒索软件攻击，这次攻击与Conti勒索软件团伙有关。

二、话说事件

大东：我首先介绍一下Conti勒索软件的来历吧。

大东：最早，在2019年该勒索软件家族就被发现，它背后的攻击组织以RaaS（勒索软件即服务）形式在地下论坛运营，并广泛招收成员。自2020年5月开始，他的攻击活动越来越多，一直活跃至今。

大东：该勒索软件主要利用其他恶意软件、钓鱼邮件、漏洞利用和远程桌面协议（RDP）暴力破解进行传播，利用多种工具的组合实现内网横向移动。

大东：有啊！在2020年7月，它利用匿名化Tor建立赎金支付与数据泄露平台，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。

大东：当然，在2021年12月Log4j的（CVE-2021-44228）漏洞被曝光后，Conti勒索软件运营者就开始利用存在该漏洞的VMWare vCenter进行横向移动。

大东：国内公司通过分析，发现该组织与Wizard Spider黑客组织（运营Ryuk勒索软件）的分支机构Grim Spider存在一定关联。

大东：经过分析发现，二者采用的攻击工具存在部分相同之处，攻击载荷代码段相似，都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播。而且Ryuk勒索软件攻击活跃度近期也逐渐降低。

大东：在发布的被攻击声明中，台达电子宣称攻击并未影响其核心生产系统。

大东：没错，据当地媒体报道，有记者已获得一份内部事件报告副本，报告数据显示，台达电子的12000多台计算机和1500多台服务器已被攻击者加密。

大东：目前尚不清楚此次攻击是否会对其客户的产品供应造成影响。台达电子表示公司已在第一时间发现了攻击，并组织了安全团队进行了干预，对受感染系统采取措施，并开始恢复运营。同时，公司正与趋势科技和微软合作，争取尽量减小损失。

大东：据称，攻击者向台达电子索要1500万美元的赎金。但目前Conti的勒索攻击的数据公布网站尚未提及台达电子的名称，可能双方仍在就赎金支付进行谈判。

大东：据知情人士透露，台达电子尚未恢复大部分系统，其官方网站仍处于瘫痪状态，该公司正在使用一台替代的Web服务器与客户保持联系。

三、大话始末

大东：在2021年5月14日，爱尔兰卫生服务执行局（HSE）多家医院的服务被取消和中断，原因是遭受了Conti勒索软件攻击。

大东：Conti勒索软件攻击者声称从HSE窃取了包括患者信息和员工信息、合同、财务报表、工资单等700GB的未加密文件。

大东：同样在2021年5月，美国俄克拉荷马州塔尔萨市的在线账单支付系统、公用事业账单系统和电子邮件系统都因conti勒索软件的攻击而中断服务。

大东：Conti勒索软件背后的攻击组织表示已经公开窃取到的18938份文件。

大东：当然有，2021年10月，高端珠宝商Graff（总部位于英国伦敦）遭受Conti勒索软件攻击，包含众多名人、政治家和国家元首的数据文件被窃取。

大东：没错，在窃取数据后，Conti在其Tor网站上发布了数万份文件。

大东：迫于政治压力，2021年11月4日Conti便发表了声明，任何与沙特阿拉伯、阿联酋和卡塔尔家庭成员有关的信息将被删除，并向穆罕默德·本·萨勒曼王子殿下和其他所有王室成员致歉。

大东：Conti勒索软件通过Tor建立网站，自2020年7月29日公布第一个受害者信息以来，截至2021年12月15日，共计公布了631个受害者信息，其中，2021年在全球范围内影响了超过470个组织机构。

四、小白内心说

大东：目前来看，为针对该勒索软件，我们还是要多多听取专家的建议。

大东：对于个人防护层面，我们一定要强化终端防护，比如安装反病毒软件，并开启勒索病毒防御工具模块。以此来保障我们的终端安全。

大东：其次就是要加强口令密码强度，避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。对于数据层面，一定要定期进行重要数据备份，且备份数据应与主机隔离。

大东：在日常生产中，企业一定要开启相关日志，开启关键日志收集功能，如安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志等，为安全事件的追踪溯源提供基础。

大东：对于恶意连接的识别，一定要设置IP白名单规则，配置高级安全Windows防火墙，设置远程桌面连接的入站规则，将使用的IP地址或IP地址范围加入规则中，阻止规则外IP进行暴力破解。

大东：建议企业部署入侵检测系统（IDS），部署流量监控类软件或设备，便于对勒索软件及时发现与追踪溯源。

大东：比如威胁检测系统（PTD），这类系统以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁。

大东：千万不要忘记灾备预案，建立安全灾备预案能够确保备份业务系统在收到恶意攻击后可以快速启用，不耽误正常生产。