勒索軟件威脅居高不下

史敏才

IBM Security近日發(fā)布了新的年度《X-Force威脅情報(bào)指數(shù)（X-Force Threat Intelligence Index）》，數(shù)據(jù)表明，盡管2022年勒索軟件在攻擊事件中所占份額仍然居高不下，但防御者在檢測(cè)和阻止勒索軟件表現(xiàn)方面卻有所提升。與此同時(shí)，攻擊者們?nèi)栽诓粩嗉莱鲂抡?，?bào)告顯示，完成勒索軟件攻擊的平均時(shí)間已從2個(gè)月縮短至不足4天。

根據(jù)2023年的最新報(bào)告，部署后門(mén)（允許遠(yuǎn)程訪問(wèn)系統(tǒng)）已成為去年攻擊者所采取的最常見(jiàn)模式。其中約67 %的后門(mén)案例涉及勒索軟件，而防御者往往能夠趕在勒索軟件部署之前檢測(cè)到后門(mén)。后門(mén)部署的增加一定程度上是由于較高的“市場(chǎng)回報(bào)”。據(jù)X-Force觀察，黑客會(huì)以高達(dá)1萬(wàn)美元的價(jià)格出售部署好的后門(mén)訪問(wèn)權(quán)限，而與之相比，如今每張被盜信用卡的數(shù)據(jù)售價(jià)只有不足10美元。

“轉(zhuǎn)向更快的檢測(cè)和響應(yīng)，可讓防御者在攻擊鏈的早期干擾對(duì)手，從而在阻止勒索軟件的發(fā)展。”IBM Security X-Force全球負(fù)責(zé)人Charles Henderson說(shuō)：“今天的后門(mén)潛在威脅演變成勒索軟件危機(jī)只是時(shí)間問(wèn)題，攻擊者總能找到逃避檢測(cè)的新方法，因此單純采用被動(dòng)防守策略已遠(yuǎn)遠(yuǎn)不夠。要擺脫與攻擊者之間無(wú)休止的拉鋸戰(zhàn)，企業(yè)必須主動(dòng)采取威脅驅(qū)動(dòng)的前瞻式安全策略?！?/p>

《X-Force威脅情報(bào)指數(shù)》通過(guò)從網(wǎng)絡(luò)和終端設(shè)備、事件響應(yīng)參與和其他來(lái)源的數(shù)10億數(shù)據(jù)點(diǎn)中提取數(shù)據(jù)洞察，追蹤到了一些全新和早已存在的攻擊趨勢(shì)與模式。

2023年報(bào)告中的一些關(guān)鍵發(fā)現(xiàn)包括：

勒索———攻擊者的首選方法。2022年網(wǎng)絡(luò)攻擊最常見(jiàn)的方式就是勒索，主要是通過(guò)勒索軟件或商業(yè)電子郵件入侵來(lái)實(shí)現(xiàn)的。這種方法主要針對(duì)是歐洲，占勒索案例的44 %，因?yàn)橥{主體企圖利用緊張的地緣政治局勢(shì)。

網(wǎng)絡(luò)犯罪分子將電子郵件對(duì)話作為武器。2022年，線程劫持事件大幅上升，攻擊者使用泄露的電子郵件帳戶在對(duì)話中冒充原始參與者作出回復(fù)。X-Force發(fā)現(xiàn)，與2021年相比，該類(lèi)事件的月嘗試率增加了一倍。

遺留漏洞仍在被利用。2018-2022年，利用已知漏洞攻擊事件相對(duì)于漏洞總量的比例反而下降了10 %，這是由于漏洞數(shù)量再創(chuàng)歷史新高。調(diào)查發(fā)現(xiàn)，遺留漏洞利用使得WannaCry和Conficker等較早的惡意軟件感染仍然存在并不斷蔓延。

勒索施壓針對(duì)性強(qiáng)制造業(yè)首當(dāng)其沖

在實(shí)施勒索計(jì)劃時(shí)，網(wǎng)絡(luò)犯罪分子往往會(huì)瞄準(zhǔn)最脆弱的行業(yè)、企業(yè)和地區(qū)，并施加巨大的心理壓力，迫使受害者支付贖金。制造業(yè)已連續(xù)2年成為遭受勒索攻擊最多的行業(yè)。鑒于對(duì)停工時(shí)間的容忍度極低，制造業(yè)企業(yè)成為首當(dāng)其沖的勒索目標(biāo)。

勒索軟件并非新鮮事物，但威脅主體一直在不斷尋求勒索受害者的新方法。最新的戰(zhàn)術(shù)之一就是讓下游受害者更容易獲取被盜數(shù)據(jù)。通過(guò)將客戶和業(yè)務(wù)合作伙伴牽扯其中，威脅參與者讓被入侵組織承受到更大的壓力。威脅參與者進(jìn)而嘗試通知下游受害者，以此增加入侵事件的潛在成本和心理威懾，這使得企業(yè)必須定制一份完善的威脅事件應(yīng)對(duì)計(jì)劃，而且要將對(duì)下游受害者的潛在影響納入考量。

線程劫持?jǐn)?shù)量上升

2022年的電子郵件線程劫持事件激增，威脅參與者的每月嘗試次數(shù)比2021年的數(shù)據(jù)翻了一番。在過(guò)去一年里，X-Force發(fā)現(xiàn)攻擊者常常使用這種策略來(lái)交付Emotet、Qakbot和IcedID，這些惡意軟件通常會(huì)引發(fā)勒索軟件感染。

2022年，網(wǎng)絡(luò)釣魚(yú)是網(wǎng)絡(luò)攻擊的主要誘因，且郵件線程劫持?jǐn)?shù)量急劇上升，很顯然，人們對(duì)電子郵件的信任正是攻擊者想要利用的。對(duì)此，企業(yè)應(yīng)該讓員工充分認(rèn)識(shí)線程劫持攻擊，降低他們成為受害者的風(fēng)險(xiǎn)。

滯后漏洞需引起注意

過(guò)去幾年里，已知漏洞利用與漏洞的比率一直在下降，自2018年以來(lái)下降了10 %。網(wǎng)絡(luò)犯罪分子已經(jīng)可以訪問(wèn)超過(guò)7.8萬(wàn)個(gè)已知漏洞，這使其更易于利用較早的未修補(bǔ)漏洞，這說(shuō)明即使在5年后，導(dǎo)致WannaCry感染的漏洞仍然是一個(gè)重大威脅。X-Force報(bào)告指出，自2022年4月以來(lái)，MSS遙測(cè)數(shù)據(jù)中的WannaCry勒索軟件流量增加了800 %。早期漏洞仍被利用，這提醒企業(yè)需要進(jìn)一步完善且其漏洞管理手段以使其更成熟，包括更準(zhǔn)確地了解其潛在攻擊面并從風(fēng)險(xiǎn)角度考慮補(bǔ)丁優(yōu)先級(jí)劃分。

2023年X-Force報(bào)告的其他重要發(fā)現(xiàn)還包括釣魚(yú)者開(kāi)始“放棄”信用卡數(shù)據(jù)。用網(wǎng)絡(luò)釣魚(yú)工具包鎖定信用卡信息的網(wǎng)絡(luò)犯罪分子數(shù)量在一年內(nèi)下降了52 %，這意味著攻擊者正在優(yōu)先瞄準(zhǔn)姓名、電子郵件和家庭地址等個(gè)人身份信息，這些信息可以在暗網(wǎng)上以更高的價(jià)格出售，也可以用于開(kāi)展進(jìn)一步的侵害行動(dòng)。

北美能源行業(yè)遭遇攻擊。全球沖突讓本已動(dòng)蕩的全球能源貿(mào)易雪上加霜，在去年遭受攻擊最多的行業(yè)中，能源業(yè)排在第4位。在去年所有的能源行業(yè)攻擊中，北美能源組織受害者占46 %，比2021年增加了25 %。