2020云上勒索事件频发，云上勒索的方式是什么

产业互联网时代，云计算IT架构以更简单的架构设计、更高的性价比、更灵活的系统颠覆了传统IT基础架构，但随着算力、IT架构、攻防节奏、以及数据资产的不断变化，也为云上安全提出了新的挑战。腾讯安全发布的《2020年公有云安全报告》中针对云上勒索进行了分析。

一部分黑客入侵云主机之后，会尝试实施勒索攻击，腾讯安全目前观察到针对云上勒索的攻击有两类情况：数据库锁库勒索和勒索病毒加密。幸运的是，大量黑灰产业攻击云上主机，最终用来挖矿的最为常见，其次是作为攻击跳板或控制失陷主机组建僵尸网络，直接实施勒索攻击的相对少见。
一类是数据库锁库勒索，以mysql数据库勒索最为常见。攻击过程通常包括3步：

1)信息收集：通过开源代码泄露，默认端口扫描等方式，获取到存在mysql服务的IP列表。
2)爆破攻击：利用密码字典爆破mysql密码（一般是扫描root账号，使用NMAP，xHydra，Metasploit等工具爆破）
3)锁库勒索：利用获取到的mysql密码，登录后删除数据库数据勒索。或者直接在数据库内，将原有数据加密后存入新表中（利用Mysql自带的aes加密函数），然后创建表存储勒索赎金相关信息。

另一类为入侵后下载运行勒索病毒，主要针对Windows系统云主机。攻击过程通常为4步：

1) 信息收集：批量扫描，获取IP列表；
2) 爆破攻击：RDP爆破；
3) 登录投毒：登录受害者服务器，横向渗透，或作为跳板对外攻击；
4) 加密勒索：失去利用价值后，加密本地文件勒索

同样是勒索攻击，黑灰产业针对云上资产的勒索，其危害远不如针对企业私有网络的攻击，对受害者造成的实质性威胁也较小。这其中有个非常重要的原因：政企机构将业务上云之后，较多情况下会部署相对完善的备份、容灾方案。当攻击者发现针对云上主机的勒索攻击屡屡不能得手的时候，云上勒索攻击便无法成为云上威胁的主流。
尽管如此，腾讯安全团队建议业务上云的政企机构切莫小视勒索威胁，攻击者入侵控制云上主机，就有利用被控肉鸡系统牟利的各种可能性，任何时候都不可忽视业务容灾备份的重要性。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！