勒索軟件領(lǐng)域在數(shù)量方面并沒有發(fā)生變化，但SecureWorks的研究人員報(bào)告，2022年5月和6月的事件響應(yīng)活動(dòng)表明，勒索軟件攻擊的成功率有所下降。不過，現(xiàn)在下結(jié)論還為時(shí)過早。幾個(gè)原因可以解釋成功的勒索軟件攻擊減少的原因，尤其是烏克蘭戰(zhàn)爭對勒索軟件威脅分子帶來的破壞性影響、旨在給勒索軟件運(yùn)營團(tuán)伙帶來阻力的經(jīng)濟(jì)制裁以及Gold Ulrick的Conti勒索軟件即服務(wù)活動(dòng)銷聲匿跡。

2022年勒索軟件趨勢

研究人員還想知道是否出現(xiàn)了一種新趨勢，包括攻擊數(shù)量更多的小組織而不是攻擊大公司，因?yàn)檫@可能是網(wǎng)絡(luò)犯罪分子減小執(zhí)法部門打擊力度的一種方式。

另一方面，網(wǎng)絡(luò)防御者看到成功防御勒索軟件的機(jī)會(huì)窗口縮小了。這個(gè)窗口是指最初的入侵到部署勒索軟件和加密數(shù)據(jù)這段時(shí)間。2022年，窗口的中位數(shù)長度為4.5天，相比之下2021年為5天；2021年的平均逗留時(shí)間為22天，而2022年為11天。這意味著勒索軟件運(yùn)營團(tuán)伙在管理時(shí)間方面更高效了，而且在受攻擊系統(tǒng)上逗留的時(shí)間比以前少。

針對這些攻擊的最有效的措施當(dāng)然是，在任何額外的攻擊載荷被部署以及在攻擊者發(fā)起橫向移動(dòng)操作之前防止或檢測初始攻擊。

毫無疑問，最初的主要攻擊途徑是利用遠(yuǎn)程服務(wù)和濫用憑據(jù)。

勒索軟件運(yùn)營團(tuán)伙還越來越多地使用以Rust或Go編程語言開發(fā)的跨平臺(tái)惡意軟件，這使他們得以在多個(gè)不同平臺(tái)上編譯惡意軟件，無需更改代碼。

“黑客和泄露”攻擊仍然是一大威脅

一些網(wǎng)絡(luò)犯罪團(tuán)伙已決定不使用勒索軟件。相反，他們在索要贖金之前破壞系統(tǒng)并竊取敏感信息。如果受害者不付款，就公開泄露數(shù)據(jù)。

使用這種攻擊的團(tuán)伙常常通過面向互聯(lián)網(wǎng)的VPN服務(wù)來攻擊系統(tǒng)，他們可能利用其漏洞，或者使用安全性弱或被盜的憑據(jù)。一旦進(jìn)入系統(tǒng)，他們常常使用操作系統(tǒng)的原生工具來完成其任務(wù)，這使得他們更難被發(fā)現(xiàn)。

最大的初始攻擊途徑：利用遠(yuǎn)程服務(wù)

據(jù)SecureWorks的數(shù)據(jù)顯示，利用面向互聯(lián)網(wǎng)的系統(tǒng)（無論是設(shè)備、服務(wù)器還是服務(wù)）上的漏洞已成為2021年最常見的初始訪問途徑（IAV）。威脅分子往往使用任何可能幫助他們破壞系統(tǒng)的漏洞，而防御者在打補(bǔ)丁方面往往動(dòng)作偏晚。

最危險(xiǎn)的漏洞是那些允許在沒有任何身份驗(yàn)證的情況下遠(yuǎn)程執(zhí)行代碼的漏洞。

研究人員還特別指出，從防御的角度來看，嘗試檢測漏洞而不是檢測漏洞利用工具更值得關(guān)注，因?yàn)楹笳哂袝r(shí)可以被修改，可能逃避檢測。

信息竊取程序和加載程序惡意軟件

Emotet死灰復(fù)燃表明了一些網(wǎng)絡(luò)犯罪團(tuán)伙如何陰魂不散，即使執(zhí)法部門端掉了他們的基礎(chǔ)設(shè)施。Emotet是一種加載程序惡意軟件，能夠在系統(tǒng)中植入另外的惡意軟件。

加載程序是在感染初期階段所使用的軟件，用于安裝其他惡意軟件，這些惡意軟件常常是勒索軟件或信息竊取程序。Bumblebee就是一個(gè)例子，這種迅猛發(fā)展的威脅用于投放Cobalt Strike和Metasploit攻擊載荷，甚至是新的Sliver框架攻擊載荷，但外面有幾種高效的加載程序。

信息竊取程序惡意軟件通常用于收集有效憑據(jù)，然后在Genesis Market、Russian Market或2easy之類的網(wǎng)絡(luò)犯罪地下市場上出售這些憑據(jù)。

Genesis市場自2018年以來一直很活躍，并出售訪問受害者計(jì)算機(jī)的權(quán)限，這可能導(dǎo)致憑據(jù)被盜。列出了每個(gè)訪問權(quán)限以及機(jī)器上可用的憑據(jù)，自定義機(jī)器人軟件讓網(wǎng)絡(luò)犯罪分子可以克隆受害者的瀏覽器。

據(jù)研究人員聲稱，目前主要的信息竊取程序惡意軟件系列是RedLine、Vidar、Raccoon、Taurus和AZORult。

路過式下載仍不可忽視

路過式下載是一種用于讓毫無戒心的用戶通過訪問受感染或欺詐性網(wǎng)站來下載惡意軟件的手段。

比如說，威脅團(tuán)伙Gold Zodiac大量使用搜索引擎優(yōu)化（SEO）投毒方法，使用多層公共博文和受感染的WordPress網(wǎng)站，將感染性鏈接放在谷歌的搜索引擎結(jié)果之上。一旦用戶訪問了其中一個(gè)，就會(huì)被誘騙下載GootLoader，這反過來導(dǎo)致下載Cobalt Strike攻擊載荷以投放勒索軟件。

商業(yè)電子郵件入侵

2022年，商業(yè)電子郵件泄露（BEC）仍然與勒索軟件一道是主要威脅。聯(lián)邦調(diào)查局（FBI）報(bào)告，2021年由此造成的損失高達(dá)24億美元。

SecureWorks的分析顯示，與2021年同期相比，2022年上半年BEC同比增加27%，事件仍使用完全相同的簡單但有效的手段。

攻擊者最常用的方法是通過冒充公司經(jīng)理或主管，并使用不同的社會(huì)工程伎倆，企圖讓被盯上的公司向他們擁有的銀行賬戶進(jìn)行電匯。攻擊者通常會(huì)入侵公司的電子郵件帳戶，好讓他們的郵件看起來更合法。

網(wǎng)絡(luò)間諜活動(dòng)悄然地繼續(xù)

敵國政府撐腰的網(wǎng)絡(luò)間諜活動(dòng)一直在進(jìn)行，在2022年沒有帶來太多的新手法，因?yàn)楣粽呖赡懿恍枰浅８叱乃骄湍艿贸选?/p>

亞洲的威脅分子主要使用PlugX和ShadowPad作為主要的惡意軟件，常常使用DLL側(cè)載來安裝和執(zhí)行其惡意軟件。

除了攻擊國內(nèi)外的不同政見者外，伊朗還不斷攻擊以色列及其他中東國家。 2021年和2022年，一些威脅分子與伊朗政府之間的聯(lián)系也越來越緊密。從技術(shù)角度來看，大多數(shù)伊朗攻擊者使用DNS隧道作為一種規(guī)避手段。一些攻擊者則部署了勒索軟件，但它可能用于破壞而不是牟取任何經(jīng)濟(jì)利益。

俄羅斯的網(wǎng)絡(luò)間諜能力沒有太大變化，依然針對西方，尤其是針對北約聯(lián)盟。據(jù)SecureWorks聲稱，雖然自俄烏戰(zhàn)爭開始以來，預(yù)計(jì)俄羅斯方面具備先進(jìn)的破壞能力，但所做的嘗試并未對沖突產(chǎn)生太大影響。然而，烏克蘭國家計(jì)算機(jī)應(yīng)急響應(yīng)小組CERT-UA的報(bào)告顯示，俄羅斯人有條不紊地攻擊烏克蘭目標(biāo)。

朝鮮的威脅分子仍然專注于攻擊金融領(lǐng)域，尤其是加密貨幣。2022年3月，臭名昭著的Lazaru威脅團(tuán)伙闖入了基于以太坊的加密貨幣錢包Ronin的一些驗(yàn)證器節(jié)點(diǎn)，設(shè)法竊取了逾5.4億美元。

繞過多因素身份驗(yàn)證（MFA）

幾個(gè)威脅團(tuán)伙已成功入侵了尚未使用多因素身份驗(yàn)證（MFA）的帳戶，還添加了各自的設(shè)備，因此如果MFA被激活，它將被繞過。

另一種仍然廣泛使用的手段是“提示轟炸”手段，即攻擊者通過生成眾多MFA提示的重復(fù)登錄嘗試，最終讓目標(biāo)不堪重負(fù)。攻擊者希望用戶分心或憤怒到足以接受其中一個(gè)登錄嘗試。

攻擊者還可能使用社會(huì)工程伎倆繞過MFA，為此打電話給用戶，并使用各種策略讓用戶證實(shí)目標(biāo)服務(wù)上的身份驗(yàn)證。

其他方法可能是使用采用透明反向代理的網(wǎng)絡(luò)釣魚工具包，以便實(shí)時(shí)收集憑據(jù)和會(huì)話 cookie，并繞過MFA。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明