勒索软件攻击在过去的一年里,因几起备受瞩目的案件而登上了许多头条新闻,其中包括洛杉矶医院该公司对数据进行了加密,最终支付了赎金才把数据拿回来。最近,渥太华医院在加拿大也遭到袭击,但能够控制勒索软件的袭击。

我们发现,加拿大另一家医院的网站被侵入,向其访客传播勒索软件:最有可能访问该网站的是工作人员、病人和家属。位于安大略省的诺福克综合医院于2009年成为麦克马斯特大学健康科学学院的教学设施。

该门户网站由Joomla CMS提供支持,根据一份声明,运行版本2.5.6(最新版本为3.4.8)清单文件在他们的服务器上显示。这个过时的安装存在多个漏洞,这可以解释该站点被黑客攻击的原因。

我们的蜜罐访问了医院页面,并通过垂钓者利用工具包感染了勒索软件。仔细查看数据包捕获发现,导致攻击工具包的恶意代码被直接注入站点的源代码本身。

像许多网站黑客一样,这种注入是有条件的,对于特定的IP地址只出现一次。例如,经常访问该页面的站点管理员只会看到该页面的干净版本,而初次访问的用户则会受到攻击和恶意软件的攻击。

流

这里泄露的勒索软件是TeslaCrypt,它要求500美元来恢复你被加密的个人文件。一周后还会翻倍。

不安全的网络平台仍然盛行

我们仍然看到大量的网站运行着过时的服务器端软件,比如WordPress和Joomla网站。与恶意广告一样,被黑客攻击的网站是新恶意软件感染的最大载体。

不更新网站的常见原因包括缺乏资源、担心破坏现有应用程序或忘记更新安全补丁。事实是,任何过时或安全性差的网站都只是一只坐以待毙的鸭子,等待通过自动扫描仪接管,然后再利用垃圾邮件,网络钓鱼或恶意重定向,仅举几个例子。

我们联系了诺福克医院,最终与他们的IT人员取得了联系。我们分享了我们拥有的信息(屏幕截图,网络数据包捕获),并告诉他们我们在实验室复制攻击时收集的勒索软件有效载荷。我们被告知他们正在通过他们的主机提供商升级Joomla的版本。

加拿大的勒索软件

这一特殊的攻击促使我们关注加拿大勒索软件的状况。自今年1月以来,马尔瓦里字节必威平台APP反恶意软件已检测到一万多起影响加拿大人的勒索事件,而更多的勒索事件已经被我们的Anti-ExploitAnti-Ransomwareβ产品。

根据我们的遥测数据,以下是受勒索软件影响最大的10个加拿大城市:

  1. 多伦多
  2. 渥太华
  3. 蒙特利尔
  4. 马卡姆
  5. 卡尔加里
  6. 温哥华
  7. 伦敦
  8. 埃德蒙顿
  9. 温尼伯
  10. 圣凯瑟琳市

最好是万无一失当涉及到勒索软件时。每周至少备份一次你的文件,如果可能的话,将这些备份保存在外部媒体上。通过适当的安全卫生和多层防御来预防感染。

不幸的是,就像存在不安全的网站一样,更多的个人电脑也容易受到感染。由于备份很少执行,许多用户会发现自己处于困难的情况下,他们迫切需要返回自己的数据,并感到被迫支付赎金。

可悲的是,这些综合因素解释了为什么勒索软件如此盛行,为什么新的家庭和抄袭者不断涌现。网络罪犯正在充分利用这个纽黑文敲诈软件.