[资安人文章分享] SOPHOS最新报告：资料和凭证窃取是中小企业面临的前两大威胁

Sophos发布最新《Sophos 2024 年威胁报告》。根据该份报告， 2023 年 Sophos 针对中小企业的恶意软体侦测中，近 50% 是键盘侧录程式、间谍软体和窃取程式。攻击者使用这些软体来窃取资料和凭证，然后再利用窃取到的信息进行未经授权的远端存取、勒索受害者，以及部署勒索软体等。

在这份报告中，Sophos 还分析了初始存取仲介 (IAB)，这是一群专门破解电脑网路的犯罪分子。如报告所示，IAB 正使用暗网来宣传他们可以破解中小企业网路的能力和服务，或是出售已经破解的中小企业的即时存取权限。

Sophos表示，对网路犯罪分子而言，『资料』犹如货币，尤其来源是中小企业时，因为这些企业在运作时往往只会使用同一项服务或软体应用程式。例如，假设攻击者在锁定的目标网路上放入一个窃取凭证的资料窃取软体，然后取得了该公司会计软体的密码。此后，攻击者就可以取得目标公司的财务状况，并有能力将资金转入自己的帐户。

单是 2023 年向 Sophos 回报的所有网路攻击中，超过 90% 和资料或凭证窃取有关，无论手法是透过勒索软体攻击、资料勒索、未经授权的远端存取，还是简单的资料窃取。

勒索软体仍是中小企业最大的网路威胁

勒索软体攻击是中小企业面临的最大网路威胁。在 Sophos Incident Response (IR) 处理的中小企业案例中，LockBit 是造成严重破坏的首要勒索软体集团，Akira 和 BlackCat 分别排名第二和第三。此外，报告中研究的中小企业，还须面对一些持续存在和较冷门的勒索软体攻击，如 BitLocker 和 Crytox。

根据报告，勒索软体营运者持续改变著勒索软体的策略，包括利用远端加密和锁定托管服务提供商 (MSP) 进行攻击。在 2022 年和 2023 年间，使用远端加密的勒索软体的攻击量增加了 62%；这是指攻击者使用受害者网路上未受管理的装置来加密网路上其他系统的档案。

此外，过去一年在 Sophos 托管式侦测和回应 (MDR) 团队处理的案例中，发生了五起小型企业因 MSP 的远端监控和管理 (RMM) 软体出现漏洞而遭受攻击的情形。

相关文章：ConnectWise ScreenConnect软体出现严重漏洞！MSP服务提供商应留意供应链攻击可能

攻击者强化了社交工程和商业电子邮件诈骗 (BEC) 攻击

根据 Sophos 这份报告，商业电子邮件诈骗 (BEC) 紧接在勒索软体之后，是 Sophos IR 在 2023 年处理量第二高的攻击。

这些商业电子邮件诈骗攻击和其他社交工程手法变得越来越复杂。攻击者不再只是传送夹带恶意附件的邮件，而是可能会透过传送一系列对话邮件或甚至打电话来与目标互动。

为了避免被传统的垃圾邮件防护工具侦测出来，攻击者会尝试使用新的格式来传播恶意内容，包括嵌入包含恶意程式码的图片，或是以 OneNote 或压缩档的格式来传送恶意附件。如在 Sophos 调查的一起案例中，攻击者传送了一份 PDF 档，其中有一张模糊不清且无法阅读的发票缩图，而下载按钮的连结则是连往一个恶意网站。