自4月中旬以來(lái)，我們監(jiān)測(cè)到國(guó)內(nèi)一個(gè)新興勒索家族，Wormhole勒索軟件開(kāi)始崛起。在4月下旬，其攻擊量開(kāi)始達(dá)到峰值，最高峰時(shí)單日攔截該勒索軟件攻擊數(shù)百次之多。
但我們注意到，在隨后的五一勞動(dòng)節(jié)假期期間，Wormhole勒索軟件的傳播出乎意料的出現(xiàn)了暫停(而作為同類(lèi)傳播方式的老牌勒索軟件TellYouThePass則更喜歡在節(jié)假日、休息日發(fā)起攻擊)。而且在假期一結(jié)束，Wormhole的傳播活動(dòng)又迅速恢復(fù)了其攻擊態(tài)勢(shì)。因此，我們也更加懷疑，這個(gè)勒索黑產(chǎn)團(tuán)伙，更有可能是國(guó)內(nèi)的攻擊團(tuán)伙所為。在此我們提醒，不管是假期還是工作日，都應(yīng)持續(xù)保持警惕，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施，以防被勒索軟件抓到可趁之機(jī)。
Wormhole勒索軟件基本信息
Wormhole勒索軟件利用了瑞**翼軟件中的SQL注入漏洞作為其主要傳播手段。此漏洞允許攻擊者在沒(méi)有進(jìn)行適當(dāng)身份驗(yàn)證的情況下向數(shù)據(jù)庫(kù)注入惡意SQL代碼，從而獲取對(duì)當(dāng)前系統(tǒng)的非法訪(fǎng)問(wèn)權(quán)限。
目前，我們已經(jīng)監(jiān)測(cè)到Wormhole勒索軟件有兩個(gè)主要版本，這兩個(gè)版本的勒索軟件僅在加密文件后的勒索策略上存在細(xì)微差異。其中一個(gè)版本會(huì)在被加密的文件后添加“.locked”后綴。在該版本的勒索提示信息中雖明確提出了0.04個(gè)比特幣（BTC）的贖金要求，但受害者仍可以通過(guò)電子郵件與攻擊者進(jìn)行談判，并有可能通過(guò)這一談判來(lái)壓低最終實(shí)際成交的贖金金額。
而另一個(gè)版本則會(huì)在被加密的文件后添加“.Wormhole”的后綴。與前一個(gè)版本不同，該版本的勒索提示信息并沒(méi)有給出明確的勒索金額。受害者只能通過(guò)攻擊者提供的TOX ID（一個(gè)用于點(diǎn)對(duì)點(diǎn)通信的標(biāo)識(shí)符）與其進(jìn)行聯(lián)系和談判。這種缺乏明確贖金金額信息的做法可能會(huì)使受害者在談判過(guò)程中處于更為劣勢(shì)的地位。
漏洞利用類(lèi)勒索病毒異常活躍，典型攻擊目標(biāo)包括：瑞友天翼、恩軟EnterCRM、億賽通電子文檔管理系統(tǒng)、金蝶K3Cloud、金蝶星空云、海康威視IVMS、用友時(shí)空KSOA、用友U8、用友時(shí)空CCERP、用友時(shí)空CDM、速達(dá)天耀、泛微OA、致遠(yuǎn)OA、通達(dá)OA、泛微E-Office、暢捷通T+、IBM WebSphere，攻擊方法均為Web應(yīng)用服務(wù)漏洞。建議使用上述產(chǎn)品的用戶(hù)盡快更新產(chǎn)品補(bǔ)丁至最新版。
安全建議
對(duì)于漏洞利用攻擊，我們提出以下幾點(diǎn)安全建議：
l  安裝殺毒軟件：例如360、卡巴斯基、火絨等。
l  未知程序慎重打開(kāi)：例如不打開(kāi)未知網(wǎng)址或下載未知郵件、附件 軟件等。
l  及時(shí)更新軟件補(bǔ)丁：請(qǐng)定期使用安全軟件中的漏洞修復(fù)工具，為操作系統(tǒng)、瀏覽器以及所有常用軟件應(yīng)用及時(shí)打上安全補(bǔ)丁；
l  信任安全軟件的警報(bào)：請(qǐng)相信您的安全軟件的判斷，避免將被識(shí)別為惡意的程序添加到信任列表中，也不要在沒(méi)有充分理由的情況下關(guān)閉安全軟件；
l  定期進(jìn)行安全檢查：對(duì)于已知易受攻擊的環(huán)境，如Java、通達(dá)OA、致遠(yuǎn)OA等，進(jìn)行定期的安全排查。這有助于識(shí)別和修復(fù)可能的安全風(fēng)險(xiǎn)；
l  備份重要數(shù)據(jù)：定期備份您的重要數(shù)據(jù)，確保在遭受攻擊時(shí)能夠快速恢復(fù)，減少潛在的損失。