勒索软件攻击者现在正在寻找新的方法,通过将旧漏洞武器化来利用企业网络安全中的弱点。将长期存在的勒索软件攻击工具与最新的人工智能和机器学习技术相结合,一些有组织的犯罪和高级持续威胁(APT)组织继续引领创新。漏洞和网络安全分析师CSW、Ivanti、Cyware和Securin的一份新报告揭示了2022年勒索软件将使全球企业付出多少代价。目前被勒索软件团伙利用的漏洞中有76%是在2010年至2019年间首次发现的。勒索软件位居榜首CISO和世界领导人的议程根据名为《从威胁和漏洞管理的角度看勒索软件报告》的2023Spotlight报告,2022年全球发现了56个与勒索软件威胁相关的新漏洞,使漏洞总数达到344个,相比2021年的288个漏洞增加了19%研究还发现,在264个旧漏洞中,有208个被公开利用。美国国家漏洞数据库(NVD)列出了160,344个漏洞,其中3.3%(5,330)属于最危险的漏洞类型——远程代码执行(RCE)和权限提升(PE)。在5,330个武器化漏洞中,有344个与217个勒索软件家族和50个高级持续威胁(APT)组织相关,这使得它们极其危险。智能IT管理和安全软件解决方案提供商Ivanti的首席产品官SrinivasMukkamala表示:“勒索软件是每个企业最关心的问题,无论是在私营部门还是公共部门。随着企业、社区和个人的损失不断增加,打击勒索软件已被置于世界领导人议程的首位。所有人都必须真正了解他们的攻击面并为其组织提供分层安全性,以便能够在勒索软件攻击方面应对日益增长的弹性。”勒索软件攻击者知道什么资金雄厚的有组织犯罪和APT团伙的成员专门从事攻击模式和可能未被发现的旧漏洞。研究发现,勒索软件攻击者经常试图逃避流行的漏洞扫描程序(包括Nessus、Nexpose和Qualys)的检测。这些攻击者根据逃避检测的能力选择遗留漏洞进行攻击。该研究确定了20个与勒索软件相关的漏洞,这些漏洞的插件和检测签名尚不可用。该研究的作者指出,这些漏洞包括他们在上一季度的分析中发现的所有与勒索软件相关的漏洞,以及两个新添加的漏洞——CVE-2021-33558(Boa)和CVE-2022-36537(兹科斯)。勒索软件攻击者还会优先寻找公司的网络保险单及其承保范围限制。他们要求支付企业保险最高金额的赎金。这一发现与Gartner副总裁PaulFurtado在最近接受行业媒体采访时所说的相吻合。企业IT领导者需要知道如何应对勒索软件攻击,并展示这种做法有多普遍,以及为什么旧漏洞的武器化现在如此普遍。Furtado说,“例如,勒索软件攻击者要求受害者支付200万美元的赎金,受害者表示赎金太高,勒索软件攻击者向他们发送了一份保险单副本。关于勒索软件攻击需要了解的一件事是,与其他类型的安全事件不同,它可能导致企业破产或倒闭。”武器化的漏洞迅速传播中小型企业经常受到勒索软件攻击的摆布中小型企业受到的打击最为严重,因为他们的网络安全预算非常小,以至于他们无法仅仅为了网络安全而增加更多员工。Sophos的最新研究发现,制造公司支付的赎金最高,平均达到2,036,189美元,远高于跨行业平均水平812,000美元。一项针对中小型制造商的CEO和COO的调查发现,北美的勒索软件攻击正在迅速增长并持续存在。勒索软件攻击者通常会选择软目标并在中小型企业的IT员工最难做出反应时发起攻击。Furtado在接受行业媒体采访时表示:“76%的勒索软件攻击发生在下班时间。大多数被攻击的企业在短时间内成为目标;90%的被攻击企业在90天内再次成为目标。”“.90%的勒索软件攻击针对的是年收入低于10亿美元的公司。”网络攻击者知道要寻找什么有组织的犯罪和APT团伙正在寻找最薄弱的漏洞并加以利用。以下是报告中的一些示例:(1)杀伤链影响广泛采用的IT产品研究团队查看了所有344个与勒索软件相关的漏洞,并确定了57个最危险的漏洞,可以被利用,从最初接触到泄漏开始。勒索软件团伙可以使用杀伤链来利用Microsoft、Oracle、F5、VMWare、Atlassian、Apache和SonicWall等供应商的81款产品中的漏洞。MITREATT&CKKillChain是一个模型,可以定义、描述和跟踪网络攻击的每个阶段,可视化攻击者的每个动作。杀伤链中描述的每种策略都有多种技术来帮助勒索软件攻击者实现特定目标。该框架还提供了每种技术的详细过程,并列出了现实世界攻击中使用的工具、协议和恶意软件类别。安全研究人员可以使用这些框架来了解攻击模式、检测暴露、评估当前防御并跟踪攻击者。(2)APT团伙发起勒索软件攻击更加猛烈CSW观察到,超过50个APT团伙发起勒索软件攻击,较2020年的33个增加了51%。2022年第四季度,4个与勒索软件相关的APT团伙(DEV-023)、DEV-0504、DEV-0832和DEV-0950)发起了猛烈的攻击。报告发现,最危险的趋势之一是部署恶意软件和勒索软件作为战争的前兆。2022年初,研究团队看到,在俄乌冲突升级后,乌克兰遭到APT组织的攻击,包括Gamaredon(原始熊)、Nobelium(APT29)、WizardSpider(冷酷蜘蛛)和Ghostwriter(UNC1151),其目标是乌克兰的关键基础设施。研究还发现,勒索软件组织Conti主要针对美国和其他亲乌克兰国家,这一趋势被认为会持续下去。截至2022年12月,50个APT组织将勒索软件作为他们的首选武器。(3)很多企业的软件产品受到开源问题的影响。在软件产品中重复使用开源代码会复制漏洞,例如在ApacheLog4j中发现的漏洞。例如,ApacheLog4j漏洞CVE-2021-45046存在于16家厂商的93款产品中。AvosLocker勒索软件利用了这些产品,ApacheLog4j的另一个漏洞CVE-2021-45105存在于11家供应商的128款产品中,也被AvosLocker勒索软件利用。研究团队对CVE漏洞的进一步分析突出了勒索软件攻击者为何成功地将勒索软件大规模武器化。许多领先的企业软件平台和应用程序中都存在多个CVE漏洞。其中一个漏洞是CVE-2018-363,它存在于26家供应商的345种产品中。值得注意的是,包括红帽、甲骨文、亚马逊、微软、苹果和VMWare等知名厂商。该缺陷存在于许多产品中,包括WindowsServer和EnterpriseLinuxServer,并且与勒索软件有关。该研究所去年底在互联网上发现了这个漏洞。CVE-2021-44228是另一个ApacheLog4j漏洞。目前,它存在于21个供应商的176种产品中,主要是Oracle、RedHat、Apache、Novell、Amazon、Cisco和SonicWall等公司。这个RCE漏洞被六个勒索软件团伙利用:AvosLocker、Conti、Khonsari、NightSky、Cheerscrypt和TellYouThePass。这个漏洞也成为黑客关注的焦点。截至2022年12月10日,该漏洞已成为一种趋势,这也是美国网络安全和基础设施安全局(CISA)将其列入CISAKEV目录的原因。勒索软件吸引老练的攻击者使用勒索软件的网络攻击变得越来越致命,也越来越有利可图,吸引了世界上一些最老练、资金最充足的有组织犯罪和APT团伙。“威胁行为者越来越多地瞄准网络安全中的弱点,包括遗留的漏洞管理流程,”Ivanti的Mukkamala说。适当的措施。例如,许多组织只修补新漏洞或国家漏洞数据库(NVD)中披露的漏洞。其他人仅使用通用漏洞评分系统(CVSS)对漏洞进行评分和优先级排序。”勒索软件攻击者继续寻找将旧漏洞武器化的新方法。本报告中分享的许多见解将帮助CISO及其安全团队为攻击者做好准备,以应对寻求提供更致命的勒索软件有效负载以逃避检测并要求支付更高勒索软件费用的攻击者。
