根据 IBM Security 的年度 X-Force 威胁情报指数,勒索软件和网络钓鱼是 2021 年企业面临的首要网络安全问题该报告描绘了 IBM 的威胁情报共享平台 X-Force 观察到的趋势和模式,涵盖了关键数据点,包括网络和端点检测设备以及事件响应 (IR) 参与。
这份涵盖 2021 年的报告将勒索软件列为首要攻击类型;网络钓鱼和未修补漏洞是主要的感染媒介;云、开源和 Docker 环境是恶意软件最关注的领域;制造业最受打击的行业;亚洲是受灾最严重的地区。
尽管政府采取行动,勒索软件仍然蓬勃发展
根据 X-Force 的数据,勒索软件占 2021 年所有网络攻击的 21%。然而,这比 2020 年下降了 2%。X-Force 表示,执法活动有助于在 2021 年减少勒索软件,尽管有可能在 2022 年卷土重来。
REvil,也称为 Sodinikibi,是主要的勒索软件,占攻击的 37%,其次是Ryuk,占 13%,Lockbit 2.0 占 7%。涉及网络攻击的其他勒索软件包括DarkSide、Crystal、BlackMatter、Ragnar Locker、BitLocker、Medusa、EKing、Xorist。
该报告确定了最近几次重大打击中勒索软件团伙的平均寿命。“我们开始注意到我们关注的勒索软件组织的一个趋势,表明总有一天他们会解散或需要做出改变,以便执法部门失去踪迹——平均寿命为 17 个月,”Laurance Dine 说, IBM Security X-Force 事件响应全球负责人。
这种转变的一个例子是 GandCrab 集团更名为 REvil,并在 2021 年 10 月最终关闭之前运营了 31 个月。
报告发现勒索软件攻击的部署有五个阶段:
初始访问:涉及初始访问载体,例如网络钓鱼、漏洞利用和建立持久访问的远程桌面协议。
后利用:涉及 RAT(远程访问工具)或恶意软件来建立交互式访问。
了解并扩展:筛选本地系统并扩展横向移动的访问权限。
数据收集和泄露:识别有价值的数据并将其泄露。
勒索软件部署:勒索软件有效载荷的分发。
此外,该报告追踪了勒索软件攻击的演变,并指出了所谓的三重勒索的使用越来越多,这种攻击将加密、提取和DDoS(分布式拒绝服务)作为一种综合攻击。三重勒索是对受害者的威胁,有时是对受害者的合作伙伴的威胁,因为它希望从多个方面攻击受害者,增加潜在的破坏,增加攻击的心理影响,并增加支付压力,根据 Dine。
报告称,服务器访问攻击和企业电子邮件泄露 (BEC) 是第二和第三常见的攻击类型,分别占 14% 和 8%。
主要载体:网络钓鱼和漏洞利用
网络钓鱼成为 2021 年最常见的攻击方法,占所有攻击的 41%,高于 2020 年的 33%,而漏洞利用 (34%) 从 35% 下降到第二位。
全球黑客网络 X-Force Red 模拟网络钓鱼活动,该网络受雇侵入组织系统以发现漏洞,点击率达到 17.8%。加上网络钓鱼(语音钓鱼)电话,点击率跃升了三倍,达到 53.2%。
Constellation Research 的分析师 Liz Miller 说:“普通精明的消费者更容易发现明显的骗局。” “这就是为什么诈骗会转移并增加合法性的元素,例如带有网络钓鱼电子邮件跟进的电话。有人曾与我个人联系,询问金融机构可能存在的账户问题,并提供发送电子邮件说明以解决该问题。”
该报告强调,网络钓鱼工具包部署通常是短暂的,大约三分之二的使用时间不超过一天,每次部署只有大约 75 名访客/受害者。几乎所有部署都要求提供用户凭据(ID 和密码),其次是信用卡详细信息(40%)。很少有人请求 ATM 密码 (3%)。微软、苹果、谷歌、亚马逊和 Dropbox 是网络钓鱼工具包中被欺骗最多的。
2021 年,欧洲、亚洲和 MEA 企业的未修补漏洞导致了大约 50% 的攻击。两个被利用最多的漏洞是在广泛使用的企业应用程序 Microsoft Exchange 和 Apache Log4J 库中发现的。
报告中确定的其他常见感染媒介包括被盗凭据、暴力破解、远程桌面协议 (RDP)、可移动媒体和密码喷洒。
攻击利用 Docker、开源、OT
根据来自 Intezer 的数据,该报告指出,具有唯一代码的 Linux 勒索软件今年跃升了约 2.5 倍(146%),突显了该领域的创新。该报告还指出,攻击者正在从针对通用 Linux 系统转向关注 Docker 容器。
“开源的攻击向量,以及代码可以存放的扩展容器化环境,甚至与网络的其他部分分开,在过去几年中呈指数级增长,”米勒说。“出于所有最好的意图,开源可以让漏洞和恶意代码行深入到十年未曾触及的库中。”
该报告指出,运营技术 (OT) 环境中的活动有所增加,攻击者开展了大规模的侦察活动,以寻找工业网络中可利用的通信。在 2021 年,大多数这些活动都针对 TCP 端口 502。该端口使用应用层消息传递协议,用于工业网络中连接的总线、网络和可编程逻辑控制器 (PLC) 设备之间的客户端到服务器通信。针对 502 端口的侦察活动增加了 2204%。
在与 OT 连接的组织中,61% 的事件发生在制造领域,36% 的事件是勒索软件。
按地区划分的网络攻击和建议
亚洲是 2021 年受攻击最严重的地区,占所有攻击的 26%。在这些攻击中,20% 是服务器访问,11% 是勒索软件,这是该地区排名前两位的攻击。金融(包括保险)和制造业是受到攻击最多的行业,分别为 30% 和 29%。日本、澳大利亚和印度是亚洲受灾最严重的国家。
欧洲紧随其后,占所有攻击的 24%,主要集中在制造业 (25%) 和金融和保险业 (18%)。勒索软件 (26%) 和服务器访问 (12%) 在该地区的攻击类型中名列前茅。英国、意大利和德国是欧洲受攻击最严重的国家。
总体而言,制造业占 2021 年攻击的 23.2%,比上一年增长 34%。勒索软件 (23%) 和服务器访问 (12%) 是该行业的主要攻击类型。
该报告得出的结论是,零信任方法、事件响应的自动化以及扩展的检测和响应能力在应对当今的威胁时可能会有所帮助。
零信任方法,通过实施多因素身份验证和最小权限原则,有可能降低组织对报告中确定的主要攻击类型的敏感性,特别是勒索软件和商业电子邮件泄露。
报告称,自动化机器来应对可能需要一个人或一组网络专业人员数小时才能完成的威胁是另一种选择。
该报告表明,将几种不同的解决方案组合成扩展检测和响应 ( XDR)解决方案可以为组织提供识别和阻止攻击者的优势。
“网络犯罪分子在追查企业的关键数据时变得越来越有弹性、机智和隐秘——因此,企业将数据保存在哪里比以往任何时候都更加重要,”Dine 说。“他们对基础设施进行现代化改造以更好地管理、保护和控制访问数据的‘谁、什么和为什么’至关重要。”
