2019-2020年网络攻击事件及防范网络攻击小技巧

由于数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化，个人安全意识缺乏、企业安全投入不足，也加重了网络安全事件所带来的损失和影响。

案例一：勒索病毒攻击部分政府部门和医院：伪装成邮件对主机硬盘加密
时间：2019年3月11日起。
地点：中国部分政府部门和医院。
攻击目的：对用户主机硬盘数据全盘加密，并要求缴纳赎金。
攻击类型：本次攻击是版本号为GANDCRAB V5.2的勒索病毒。
事件详情如下：据国家网络与信息安全信息通报中心监测发现，2019年3月11日起，境外某黑客组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到！”，发件人名为“Min，GapRyong”（有报告称还有其他假冒发件人约70余个），邮件附件名为“03-11-19.rar”。3月13日，据澎湃新闻记者了解，多个政府单位和企业收到了上述紧急通知，湖北省宜昌市夷陵区政府、中国烟草旗下福建武夷烟叶有限公司、中国科学院金属研究所等在其官网发布了上述消息。腾讯、360等互联网安全公司发布了预警信息。据360安全大脑的通报，目前已经收到多起国内用户感染GandCrab5.2版勒索病毒反馈。福建武夷烟叶有限公司的通知显示，目前，我国部分政府部门邮箱已遭到攻击。
经分析研判，该勒索病毒版本号为GANDCRAB V5.2，是2019年2月最新升级的勒索病毒版本，运行后将对用户主机硬盘数据全盘加密，并让受害用户访问网址下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口，要求受害用户缴纳赎金。
腾讯御见威胁情报中心安全专家告诉澎湃新闻记者，该病毒在国内擅长使用弱口令爆破、挂马、垃圾邮件传播，由于使用了RSA+Salsa20的加密方式，受害用户在无法拿到病毒作者手中私钥常规情况下，无法解密。据悉，GandCrab勒索病毒是国内目前最活跃的勒索病毒之一，在过去一年时间经过5次大版本更新，一直和安全厂商、执法部门斗智斗勇。
对于GandCrab勒索病毒，安全专家建议，不要打开来历不明的邮件附件；及时安装主流杀毒软件，升级病毒库；在Windows中禁用U盘的自动运行功能及时升级操作系统安全补丁，升级Web、数据库等服务程序，防止病毒利用漏洞传播；对已感染主机或服务器采取断网措施，防止病毒扩散蔓延。

案例二：丰田服务器遭黑客入侵，威胁310万用户信息
时间：2019年4月1日
地点：日本
攻击目的：黑客入侵了其IT系统，并访问了几家销售子公司的数据。
造成损失：约310万车主信息遭泄露
攻击类型：黑客入侵了其IT系统。
事件详情如下：2019年4月1日，丰田汽车公布了一起发生在日本主办事处的数据泄露事件。丰田汽车表示，黑客入侵了其IT系统，并访问了几家销售子公司的数据。这些子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji(雷克萨斯Nerima)和丰田西东京卡罗拉。
该公司表示，黑客访问的服务器存储了多达310万名客户的销售信息。丰田汽车称，目前正在调查此事，以确定黑客是否泄露了他们可以访问的任何数据。
丰田汽车强调，客户的财务细节并未存储在被黑客攻击的服务器上。至于黑客可能访问了哪些类型的数据，丰田汽车并未披露。
最后，丰田公司还对广大用户致歉：“我们向所有使用丰田和雷克萨斯汽车的客户表示歉意。我们认真对待这一问题，并将在经销商和整个丰田集团中彻底实施信息安全措施。

案例三：美国银行第一资本遭黑客入侵，逾1亿用户信息泄露
时间：入侵行动发生在2019年3月22日和23日
地点：美国
攻击目的：获取了逾1亿名顾客和潜在顾客的个人信息
造成损失：在宣布这一消息后，第一资本股价在盘后交易中下跌1%。攻击类型：黑客入侵美国第一资本银行金融公司
事件详情如下：北京时间7月30日，美国第一资本银行金融公司在周一披露，一名黑客获取了逾1亿名顾客和潜在顾客的个人信息，包括姓名、地址、电话号码和生日。
美国第一资本称，公司在7月19日确认了这次黑客入侵事件，目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后，第一资本股价在盘后交易中下跌1%。
美国第一资本表示，大约有1亿美国用户和600万加拿大用户的个人信息受到了此次事件的影响，但是黑客没有获取任何信用卡账号，超过99%的社会安全号码没有泄露。
“我们相信，这些信息不大可能被黑客用于欺诈或者四处传播。”美国第一资本在声明中称。
根据美国第一资本披露的信息，包括2005年至2019年初信用卡申请者在内的基本个人信息被黑客访问，包括信用评分、支付历史以及部分交易数据。大约14万个美国顾客的社会安全号码以及8万个关联银行账号被获取。在加拿大，100万个社保账号被黑客访问。
美国第一资本表示，将向受影响的个人通知这次入侵事件，并提供免费的信用监控和身份保护服务。

案例四：湖北首例入侵物联网系统案告破 竞争对手破坏十万设备
时间：3月21日至22日
地点：中国湖北省
攻击目的：为提高自己公司产品的市场占有率
造成损失：共100余台设备被恶意升级无法使用、10万台设备离线，造成了重大经济损失。
攻击类型：恶意攻击者从物联网卡入手，通过对通信协议的凭证伪造分别对web服务器和智能家居终端发起了黑客攻击，最终导致服务器拒绝服务，终端设备被强制下线，同时公司内部的智能家居终端设备也遭受一定程度上的宕机。
事件详情如下：据警方介绍，3月21日至22日，位于光谷总部国际的“微锋”（化名）科技有限公司的多台物联网终端设备出现故障：自助洗衣机、自助充电桩、自助吹风机、按摩椅、摇摇车、抓娃娃机等均脱网无法正常运行。经统计，共100余台设备被恶意升级无法使用、10万台设备离线，造成了重大经济损失。
接报案后，网警通过对故障设备的源代码进行解密，对公司服务器日志进行取证分析。原来从3月21日20时开始，公司服务器收到了大量的伪造离线报文，通过溯源分析，网警发现“微天地”科技公司谢某、王某有重大作案嫌疑。
5月13日，民警在位于东湖新技术开发区精工科技园的“微天地”科技公司抓获谢某、王某。经审查核实，谢某系“微锋”公司前员工，2018年初离职时带走了该公司产品的设计源代码，后与王某共同成立了“微天地”科技公司，成为“微锋”公司的行业竞争对手。谢某、王某为提高自己公司产品的市场占有率，破解了“微锋”公司的物联网服务器，利用系统漏洞将终端设备恶意升级，导致100余台设备系统损坏，无法正常工作；同时模拟终端设备，以每秒3至4千条的速度给服务器发送伪造离线报文，导致10万台设备离线。

案例五：日本Hoya公司遭受网络攻击，计算机被用于挖掘加密货币
时间：2019年4月
地点：日本
攻击目的：黑客入侵了其IT系统，并访问了几家销售子公司的数据。
造成损失：100多台电脑感染了病毒，导致Hoya公司的用户ID和密码被窃取；还在攻击期间试图挖掘加密货币，工厂生产线因此停止了三天。
攻击类型：电脑感染病毒。
事件详情如下：2019年4月，领先的光学产品制造商Hoya公司称，公司在2月底遭受了一次严重的网络攻击，100多台电脑感染了病毒，导致Hoya公司的用户ID和密码被窃取。还在攻击期间试图挖掘加密货币，工厂生产线因此停止了三天。
Hoya公司是日本最大的公司之一，也是最大的光学产品生产商，它的年收入超过41亿美元。
Hoya表示，网络攻击发生后，一台控制网络的计算机首先停机，工人们无法使用软件来订单和生产，因此工业产出比正常水平下降了大约40%。随后，病毒也开始在其他电脑上感染，但最终在开始加密货币挖掘操作之前被成功阻止。
如今，嵌入网络系统和计算机以挖掘加密货币的病毒已成为网络黑客的常用工具。当访问某些不安全站点时，加密货币挖掘就会嵌入到浏览器中。

案例六：印度APT黑客组织对我国的医疗机构发起了黑客攻击
时间：2020年2月4日
地点：中国
攻击目的：在现在这种特殊的情况下他们这么做可能是为了获得我国的先进医疗技术；导致我国医疗机构瘫痪，对我国抗击疫情的行动产生重大影响。
造成损失：所幸的是，在他们行动的时候，就被我国的网络安全公司抓个正着。对我国医疗机构发起黑客攻击的印度APT组织，并没有造成什么影响。
攻击类型：采用鱼叉式钓鱼攻击方式，通过邮件进行投递。
事件详情如下：在中国爆发重大疫情的时候，世界多国向我们伸出了援助之手，向我们捐赠了大量的医疗器械，帮助我们应对难关。然而，就在这个时候，我们的邻居印度，却趁机落井下石，对我们的医疗机构发起了黑客攻击，这种行为非常的恶劣，让人非常的气愤。要知道，一旦这次黑客攻击发生意外，导致我国医疗机构瘫痪，那么我国抗击疫情的行动都会受到重大影响。
2 月 4 日，360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，对抗击疫情的医疗工作领域发动 APT 攻击。
该攻击组织采用鱼叉式钓鱼攻击方式，通过邮件进行投递，利用当前肺炎疫情等相关题材作为诱饵文档，部分相关诱饵文档如：武汉旅行信息收集申请表.xlsm，进而通过相关提示诱导受害者执行宏命令。
攻击者将关键数据存在 worksheet 里，worksheet 被加密，宏代码里面使用 key 去解密然后取数据。然而，其用于解密数据的 Key 为：nhc_gover，而 nhc 正是国家卫生健康委员会的英文缩写。一旦宏命令被执行，攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct，并使用 scrobj.dll 远程执行 Sct 文件。
攻击者利用新冠肺炎疫情相关题材作为诱饵文档，进行鱼叉式攻击时，医疗机构、医疗工作领域成为此次攻击的最大受害者。一旦其“攻击阴谋”得逞，轻则丢失数据、引发计算机故障，重则影响各地疫情防控工作的有序推进，危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的 APT 组织的攻击，后果简直不堪设想。
在现在这种特殊的时期，为防止黑客以疫情有关词汇或信息为诱饵，通过社交网络、钓鱼邮件等渠道传播计算机病毒，进行网络攻击，可能造成操作系统核心文件、注册表被删除，主机被远程控制，信息被窃取等危害,我们一定要提高警惕、加强防范。
防范网络攻击小技巧：
1.安装必要的杀毒软件，及时更新杀毒软件程序并保证随时开启；
2.不要打开来历不明的电子邮件或下载不明来源的文件；
3.切勿轻易下载或点击对于含有“冠状病毒”、“疫情”、“武汉”等热点词汇的可执行文件、不明来源的疫情有关文档、邮件、压缩包等；
4.不要启用Office宏，除非文档来自可信来源；
5.对于公用的系统，做好权限、密码管理和保护。
最后，对于网络攻击北京网络与信息安全信息通报中心建议，及时开展自查验证；所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装漏洞补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础；尽量关闭不必要的文件共享权限以及关闭不必要的端口；建议关闭远程桌面协议；合理划分内网安全域；强化业务数据备份；加强应急处置，加强监测。