报告显示病毒木马攻击是大中型政企机构的最大威胁

　　近日，奇安信安服团队发布了《2019年网络安全应急响应分析报告》。报告显示，2019年全年，奇安信安服团队共参与和处置了1029起全国范围内的网络安全应急响应事件。其中，通过对政府机构、大中型企业安全事件攻击类型进行分析，木马病毒攻击占据半数以上，达到50.4%。攻击者利用木马病毒对办公系统进行攻击，通常会产生大范围感染，造成系统不可用、数据损坏或丢失等现象。

　　进一步分析攻击者常用的木马类型，常见木马排名前三的为勒索病毒、挖矿木马以及一般木马，分别占比32.1%、15.7%、6.4%。其中，勒索病毒常见于GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。

　　除了常见的挖矿木马和勒索病毒之外，“永恒之蓝下载器”木马在2019年3、4月份爆发。该木马是一个利用多种方式横向传播的后门及挖矿木马，其初期利用某软件的升级通道进行下发传播，随后在利用弱口令漏洞等方式在内网横向移动并实现持久化驻留，完成上传用户信息、挖矿等攻击行为。该木马爆发力强，传播速度，2个小时内感染用户便达到10万。针对该情况，奇安信集团安服联合奇安信安全能力中心发布了“永恒之蓝下载器”专杀工具，有效遏制了“永恒之蓝下载器”病毒在企业内网中的传播，相关攻击事件开始迅速下降。

　　从图中曲线可以看出，受“永恒之蓝下载器”木马的爆发的影响，勒索病毒和挖矿木马相关的攻击事件也在3、4月份到达顶峰。

　　通过勒索病毒和挖矿木马攻击等攻击手段，攻击者主要将其用于从事黑产活动和敲诈勒索，进而实现牟取暴利等非法目的。数据显示，2019年奇安信安服团队的应急事件中，30%为黑产活动，25.6%位敲诈勒索。

　　据奇安信安服团队判断，从事黑产活动的攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利;而从事敲诈勒索的攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。