首页 > 最新消息 >[资安人文章分享] 庞大且互连的勒索软体递送系统正在孵育

最新消息

2021-11-11

[资安人文章分享] 庞大且互连的勒索软体递送系统正在孵育


Sophos发布《Sophos 2022 年威胁报告》,揭露勒索软体如黑洞般的引力如何将其他网路威胁吸入一个庞大且互连的勒索软体递送系统,对 IT 安全极具威胁。该报告由 SophosLabs 安全研究人员、Sophos Managed Threat Response 威胁捕猎人员和快速回应人员,以及 Sophos AI 团队共同撰写,针对企业在 2022 年面临的安全威胁和趋势提供独特的多元视角。
 
《Sophos 2022 年威胁报告》分析出以下主要趋势:
  1. 在接下来的一年里,勒索软体的形势将变得更加模组化和一致,会由攻击「专家」提供「攻击即服务」的不同组件,以及包含工具和技术在内的剧本,使不同的攻击者团体能够发动非常类似的攻击。据 Sophos 研究人员研究,2021 年间由个别勒索软体团体发动的攻击比蓬勃发展的勒索软体即服务 (RaaS) 产品少,专业的勒索软体开发者大多向第三方相关组织租用恶意程式码和基础架构。本年度一些最引人注目的勒索软体攻击都和 RaaS 有关,包括 DarkSide 相关组织对美国燃油运输公司 Colonial Pipeline 的攻击。Conti 勒索软体的相关组织外流了一份内部的实作指南,让我们得知攻击者会用于部署勒索软体的阶段性工具和技术。 

    一旦他们取得所需的恶意软体,RaaS 相关组织和其他勒索软体营运者就会开始接触初始存取代理 (IAB) 和恶意软体递送平台来寻找和瞄准潜在的受害者。这将导出 Sophos 预期的第二个大趋势。
     
  2. 现存的网路威胁将不断适应环境以分发和递送勒索软体。包括载入程式、植入程式和其他商用恶意软体;越来越先进并以人工操作的初始存取代理;垃圾邮件,以及广告软体。2021 年,Sophos 揭露了 Gootloader 使用的新型混合式攻击,这些攻击结合大规模活动与精细筛选的能力,可找出特定恶意软体套件的目标。
     
  3. 勒索软体攻击者使用多种形式的敲诈来迫使受害者支付赎金,Sophos 预期勒索的范围和强度将继续增加。在 2021 年,Sophos 事件回应人员归类出 10 种不同类型的施压手法,包含资料窃取与外泄、威胁电话,到分散式阻断服务 (DDoS) 攻击等。
     
  4. 加密货币将继续助长勒索软体和恶意加密挖矿等网路犯罪,Sophos 预期这一趋势将会持续,直到全球加密货币得到更好的监管。2021 年,Sophos 研究人员发现了如 Lemon Duck 和不太常见的 MrbMiner 等加密挖矿程式,它们利用最新被发现的弱点取得权限,锁定已被勒索软体营运者入侵的目标并在电脑和伺服器上安装加密挖矿程式。 
Sophos 首席研究科学家 Chester Wisniewski 表示:「勒索软体因其适应和创新能力而蓬勃发展。例如,虽然 RaaS 产品并非首见,但在前几年,它们的用途主要是让技术能力较低或资金不足的攻击者能够使用勒索软体。不过这种情况已经改变了。在 2021 年,RaaS 开发者投入更多时间和精力来产生复杂的程式码,并试图找出方法来尽力从受害者、保险公司和谈判者取得最多的赎金。他们将寻找受害者、安装和执行恶意软体,以及清洗被盗加密货币的工作转移给其他角色。这一点正在改变网路威胁形势。在勒索软体出现之前就已经存在并造成破坏的常见威胁,如载入程式、植入程式和初始存取代理等,正被勒索软体这个可以吞没一切的『黑洞』所吸引。 

「对于企业来说,只靠安全监控工具,认为它们可以运作就认为自己安全无虞,已经不够了。某些侦测甚至是警示,只是相当于小偷从后窗爬进来时打破了花瓶一般。防御人员必须调查所有警示,即使是过去认为微不足道的警示,因为这些常见的入侵已经发展成为控制整个网路时使用的立足点。」

Sophos 分析的其他趋势包括:
  • 在 ProxyLogon 和 ProxyShell 漏洞在 2021 年被发现 (并修补) 之后,攻击者利用它们的速度是如此之快,因此 Sophos 预期还会看到熟练的攻击者和一般网路犯罪分子大规模滥用 IT 管理工具和可利用的网际网路服务  
     
  • Sophos 还预期网路犯罪分子会更常滥用攻击者模拟工具,例如 Cobalt Strike Beacons、mimikatz 和 PowerSploit。防御人员应检查与被滥用的合法工具或工具组有关的每个警示,就像检查恶意侦测结果一样,因为它们可能代表著网路中存在入侵者
     
  • 2021 年,Sophos 研究人员详细介绍了许多针对 Linux 系统的新威胁,预计到 2022 年,人们对使用 Linux 的系统会越来越感兴趣,无论是在云端、网路和虚拟伺服器中
     
  • 我们预期包括 Flubot 和 Joker 在内的行动威胁和社交工程诈骗将继续出现并更多样化,以锁定个人和企业
     
  • 人工智慧在网路安全中的应用比例将继续提高并加快,因为强大的机器学习模型证明了它们在威胁侦测和警示优先排序方面的价值。然而与此同时,攻击者亦将提高使用人工智慧的比例,在未来几年内,从人工智慧支援的假讯息活动和社交媒体诈骗,发展到水坑攻击的网路内容、网路钓鱼电子邮件,甚至是进阶的深伪影片和语音合成技术等。

原文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9566