將長期存在的勒索軟件攻擊工具與最新的人工智能和機(jī)器學(xué)習(xí)技術(shù)相結(jié)合,一些有組織的犯罪團(tuán)伙和先進(jìn)的持續(xù)性威脅(APT) 團(tuán)伙在創(chuàng)新方面繼續(xù)領(lǐng)先于企業(yè)。
多家漏洞和網(wǎng)絡(luò)安全分析機(jī)構(gòu)CSW公司、Ivanti公司、Cyware公司和Securin公司聯(lián)合發(fā)布的一份新報(bào)告揭示了勒索軟件在2022年為全球企業(yè)帶來的巨大損失。目前被勒索軟件團(tuán)伙利用的漏洞中,76%是在2010年至2019年期間首次發(fā)現(xiàn)的。
勒索軟件成為首席信息安全官和世界各國領(lǐng)導(dǎo)人的首要議程
根據(jù)這份名為《從威脅和漏洞管理的角度看勒索軟件報(bào)告》的2023年聚焦報(bào)告,2022年在全球發(fā)現(xiàn)了56個(gè)與勒索軟件威脅相關(guān)的新漏洞,使漏洞總數(shù)達(dá)到344個(gè),與2021年的288個(gè)漏洞相比增加了19%。研究還發(fā)現(xiàn),在264個(gè)舊漏洞中,有208個(gè)漏洞被公開利用。
美國國家漏洞數(shù)據(jù)庫(NVD)列出了160344個(gè)漏洞,其中3.3%(5330個(gè))屬于最危險(xiǎn)的利用類型——遠(yuǎn)程代碼執(zhí)行(RCE)和特權(quán)升級(PE)。在5330個(gè)武器化漏洞中,344個(gè)與217個(gè)勒索病毒家族和50個(gè)高級持續(xù)性威脅(APT)團(tuán)伙有關(guān),因此非常危險(xiǎn)。
智能IT管理和安全軟件解決方案提供商Ivanti公司首席產(chǎn)品官Srinivas Mukkamala說:“勒索軟件是每個(gè)企業(yè)最關(guān)心的問題,無論是私營部門還是公共部門。由于企業(yè)、社區(qū)和個(gè)人遭受的損失不斷上升,打擊勒索軟件已被列為世界各國領(lǐng)導(dǎo)人議程中的首要任務(wù)。所有人都必須真正了解他們的攻擊面,并為他們的企業(yè)提供分層的安全性,以便能夠在面對越來越多的勒索軟件攻擊時(shí)具有彈性。”
勒索軟件攻擊者知道什么
資金充足的有組織犯罪和APT團(tuán)伙讓他們的成員專門研究攻擊模式和可以不被發(fā)現(xiàn)的老舊漏洞。研究發(fā)現(xiàn),勒索軟件攻擊者經(jīng)常試圖躲避流行的漏洞掃描器的檢測,包括Nessus、Nexpose和Qualys。這些攻擊者根據(jù)他們躲避檢測的能力來選擇要攻擊的老舊漏洞。
該研究確定了20個(gè)與勒索軟件相關(guān)的漏洞,這些漏洞的插件和檢測簽名尚不可用。該研究報(bào)告的作者指出,這些漏洞包括他們在上一個(gè)季度的分析中發(fā)現(xiàn)的與勒索軟件相關(guān)的所有漏洞,還有兩個(gè)新添加的漏洞——CVE-2021-33558(Boa)和CVE-2022-36537(Zkoss)。
勒索軟件攻擊者還會優(yōu)先尋找企業(yè)的網(wǎng)絡(luò)保險(xiǎn)政策及其覆蓋范圍限制。他們要求按企業(yè)承保的最高金額支付贖金。這一發(fā)現(xiàn)與Gartner公司副總裁Paul Furtado最近接受行業(yè)媒體的采訪時(shí)所述內(nèi)容相吻合。企業(yè)的IT領(lǐng)導(dǎo)者需要知道如何應(yīng)對勒索軟件攻擊,并展示這種做法是多么普遍,以及為什么老舊漏洞的武器化現(xiàn)在如此流行。
Furtado表示,“例如,勒索軟件攻擊者要求一個(gè)受害者支付200萬美元的勒索贖金,受害者表示贖金太高,勒索軟件攻擊者給他們發(fā)送了一份保險(xiǎn)單的副本文件,顯示他們在網(wǎng)絡(luò)保險(xiǎn)方面的保單金額。關(guān)于勒索軟件攻擊,必須明白的一點(diǎn)是,與其他類型安全事件不同的是,它可能會讓企業(yè)破產(chǎn)或倒閉。”
武器化漏洞迅速蔓延
中小規(guī)模的企業(yè)往往受到勒索軟件攻擊的打擊最嚴(yán)重,因?yàn)樗麄兊木W(wǎng)絡(luò)安全預(yù)算很少,無法僅為網(wǎng)絡(luò)安全而增加更多的員工。
Sophos公司的最新研究發(fā)現(xiàn),制造業(yè)公司支付的贖金最高,平均達(dá)到2036189美元,遠(yuǎn)高于812000美元的跨行業(yè)平均水平。在對中小制造商的首席執(zhí)行官和首席運(yùn)營官的調(diào)查時(shí)了解到,北美地區(qū)發(fā)生的勒索軟件攻擊事件快速增長,并且還在持續(xù)。
勒索軟件攻擊者通常選擇軟目標(biāo),并在中型或小型企業(yè)的IT人員最難反應(yīng)的時(shí)候發(fā)起攻擊。Furtado在接受行業(yè)媒體采訪中表示:“76%的勒索軟件攻擊發(fā)生在非工作時(shí)間。大多數(shù)受到攻擊的企業(yè)都會在隨后的時(shí)間內(nèi)成為目標(biāo);90%受到攻擊的企業(yè)會在90天內(nèi)再次成為目標(biāo)。90%的勒索軟件襲擊都是針對年收入不到10億美元的公司。”
網(wǎng)絡(luò)攻擊者知道要尋找什么
識別老舊的漏洞是網(wǎng)絡(luò)攻擊者實(shí)現(xiàn)武器化的第一步,研究發(fā)現(xiàn),復(fù)雜的有組織的犯罪和APT團(tuán)伙正在尋找最薄弱的漏洞并加以利用。以下是報(bào)告中的一些例子:
(1)殺傷鏈影響廣泛采用的IT產(chǎn)品
研究團(tuán)隊(duì)研究了與勒索軟件相關(guān)的所有344個(gè)漏洞,確定了57個(gè)最危險(xiǎn)的可能被利用的漏洞,從最初的訪問到泄露。
勒索軟件團(tuán)伙可以使用殺傷鏈來利用來自微軟、甲骨文、F5、VMWare、Atlassian、Apache和SonicWall等供應(yīng)商的81種產(chǎn)品的漏洞。
MITREA TT&CK殺傷鏈?zhǔn)且粋€(gè)模型,可以定義、描述和跟蹤網(wǎng)絡(luò)攻擊的每個(gè)階段,可視化攻擊者所做的每個(gè)動作。殺傷鏈中描述的每種策略都有多種技術(shù)來幫助勒索軟件攻擊者實(shí)現(xiàn)特定的目標(biāo)。該框架還為每種技術(shù)提供了詳細(xì)的程序,并列出了現(xiàn)實(shí)世界攻擊中使用的工具、協(xié)議和惡意軟件種類。
安全研究人員可以使用這些框架來了解攻擊模式、檢測暴露、評估當(dāng)前防御和跟蹤攻擊者。
(2)APT團(tuán)伙更猛烈地發(fā)起勒索軟件攻擊
CSW公司觀察到50多個(gè)APT團(tuán)伙發(fā)起勒索軟件攻擊,與2020年的33個(gè)相比增加了51%。在2022年第四季度,四個(gè)與勒索軟件關(guān)聯(lián)的APT團(tuán)伙(DEV-023、DEV-0504、DEV-0832和DEV-0950)發(fā)動了猛烈的攻擊。
報(bào)告發(fā)現(xiàn),最危險(xiǎn)的趨勢之一是部署惡意軟件和勒索軟件,作為戰(zhàn)爭的前兆。2022年初,研究團(tuán)隊(duì)看到在俄烏沖突升級之后,烏克蘭受到APT團(tuán)伙的攻擊,包括Gamaredon(Primitive Bear)、Nobelium(APT29)、Wizard Spider(Grim Spider)和Ghostwriter(UNC1151),其攻擊目標(biāo)是烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施。
研究還發(fā)現(xiàn),勒索軟件團(tuán)伙Conti主要攻擊美國和其他支持烏克蘭的國家,相信這一趨勢將繼續(xù)持續(xù)。截至2022年12月,有50個(gè)APT團(tuán)伙將勒索軟件作為首選武器。
(3)許多企業(yè)的軟件產(chǎn)品受到開源問題的影響
在軟件產(chǎn)品中重用開源代碼會復(fù)制漏洞,比如在Apache Log4j中發(fā)現(xiàn)的漏洞。例如,Apache Log4j漏洞CVE-2021-45046存在于16家供應(yīng)商的93個(gè)產(chǎn)品中。AvosLocker勒索軟件利用了這些產(chǎn)品,另一個(gè)Apache Log4j漏洞CVE-2021-45105存在于11家供應(yīng)商的128個(gè)產(chǎn)品中,也被AvosLocker勒索軟件利用。
研究團(tuán)隊(duì)對CVE漏洞的進(jìn)一步分析突出了勒索軟件攻擊者成功大規(guī)模武器化勒索軟件的原因。一些CVE漏洞存在許多領(lǐng)先的企業(yè)軟件平臺和應(yīng)用程序中。
其中的一個(gè)漏洞是CVE-2018-363,該漏洞存在于26個(gè)供應(yīng)商的345個(gè)產(chǎn)品中。值得關(guān)注的是,其中包括Red Hat、Oracle、亞馬遜、微軟、蘋果和VMWare等知名廠商。
這一漏洞存在于許多產(chǎn)品中,包括Windows Server和Enterprise Linux Server,并與勒索軟件相關(guān)。研究機(jī)構(gòu)去年年底在互聯(lián)網(wǎng)上發(fā)現(xiàn)了這一漏洞。
CVE-2021-44228是另一個(gè)Apache Log4j漏洞。它目前存在于21家供應(yīng)商的176種產(chǎn)品中,特別是Oracle、Red Hat、Apache、Novell、Amazon、Cisco和SonicWall等公司。這個(gè)RCE漏洞被AvosLocker、Conti、Khonsari、Night Sky、Cheerscrypt和TellYouThePass這六個(gè)勒索軟件團(tuán)伙利用。
該漏洞也成為黑客關(guān)注的焦點(diǎn),截至2022年12月10日,該漏洞已經(jīng)成為了一種趨勢,這也是美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)將其納入CISA KEV目錄的原因。
勒索軟件吸引了經(jīng)驗(yàn)豐富的攻擊者
使用勒索軟件的網(wǎng)絡(luò)攻擊正變得越來越致命,也越來越有利可圖,吸引了全球最復(fù)雜、資金最雄厚的有組織犯罪和APT團(tuán)伙。Ivanti公司的Mukkamala說:“威脅行為者越來越多地瞄準(zhǔn)網(wǎng)絡(luò)安全方面的缺陷,包括遺留的漏洞管理流程。如今,許多安全和IT團(tuán)隊(duì)難以識別漏洞構(gòu)成的風(fēng)險(xiǎn),因此,對漏洞采取了不恰當(dāng)?shù)拇胧@?,許多企業(yè)只修補(bǔ)新的漏洞或在美國國家漏洞數(shù)據(jù)庫(NVD)中披露的漏洞。其他人只使用通用漏洞評分系統(tǒng)(CVSS)來評分和優(yōu)先考慮漏洞。”
勒索軟件攻擊者繼續(xù)尋找新的方法來實(shí)現(xiàn)老舊漏洞的武器化。這份報(bào)告中分享的許多見解將幫助首席信息安全官及其安全團(tuán)隊(duì)做好準(zhǔn)備,以應(yīng)對攻擊者尋求提供逃避檢測的更致命的勒索軟件有效載荷,并要求更高的勒索軟件支付費(fèi)用。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。