家修

勒索軟件攻擊者如今正在尋找新的方法，通過將老舊漏洞武器化以利用企業(yè)網(wǎng)絡(luò)安全方面的弱點(diǎn)。將長期存在的勒索軟件攻擊工具與最新的人工智能和機(jī)器學(xué)習(xí)技術(shù)相結(jié)合，一些有組織的犯罪團(tuán)伙和先進(jìn)的持續(xù)性威脅（APT）團(tuán)伙在創(chuàng)新方面繼續(xù)領(lǐng)先于企業(yè)。

多家漏洞和網(wǎng)絡(luò)安全分析機(jī)構(gòu)，包括CSW公司、Ivanti公司、Cyware公司和Securin公司聯(lián)合發(fā)布的一份新報(bào)告揭示了勒索軟件在2022年為全球企業(yè)帶來的巨大損失。目前被勒索軟件團(tuán)伙利用的漏洞中，76 %是在2010-2019年期間首次發(fā)現(xiàn)的。

勒索軟件成為首席信息安全官的首要關(guān)注

根據(jù)一份名為《從威脅和漏洞管理的角度看勒索軟件報(bào)告》的2023年聚焦報(bào)告，2022年在全球發(fā)現(xiàn)了56個(gè)與勒索軟件威脅相關(guān)的新漏洞，使漏洞總數(shù)達(dá)到344個(gè)，與2021年的288個(gè)漏洞相比增加了19 %。研究還發(fā)現(xiàn)，在264個(gè)舊漏洞中，有208個(gè)漏洞被公開利用。

美國國家漏洞數(shù)據(jù)庫（NVD）列出了160 344個(gè)漏洞，其中3.3 %（5 330個(gè)）屬于最危險(xiǎn)的利用類型———遠(yuǎn)程代碼執(zhí)行（RCE）和特權(quán)升級（PE）。在5 330個(gè)武器化漏洞中，344個(gè)與217個(gè)勒索病毒家族和50個(gè)高級持續(xù)性威脅（APT）團(tuán)伙有關(guān)，因此非常危險(xiǎn)。

智能IT管理和安全軟件解決方案提供商Ivanti公司首席產(chǎn)品官Srinivas Mukkamala說：“勒索軟件是每個(gè)企業(yè)最關(guān)心的問題，無論是私營部門還是公共部門。由于企業(yè)、社區(qū)和個(gè)人遭受的損失不斷上升，打擊勒索軟件已被列為世界各國領(lǐng)導(dǎo)人議程中的首要任務(wù)。所有人都必須真正了解他們的攻擊面，并為他們的企業(yè)提供分層的安全性，以便能夠在面對越來越多的勒索軟件攻擊時(shí)具有彈性?！?h3>勒索軟件攻擊者知道什么

資金充足的有組織犯罪和APT團(tuán)伙讓他們的成員專門研究攻擊模式和可以不被發(fā)現(xiàn)的老舊漏洞。研究發(fā)現(xiàn)，勒索軟件攻擊者經(jīng)常試圖躲避流行的漏洞掃描器的檢測，包括Nessus、Nexpose和Qualys。這些攻擊者根據(jù)他們躲避檢測的能力來選擇要攻擊的老舊漏洞。

該研究確定了20個(gè)與勒索軟件相關(guān)的漏洞，這些漏洞的插件和檢測簽名尚不可用。該研究報(bào)告的作者指出，這些漏洞包括他們在上一個(gè)季度的分析中發(fā)現(xiàn)的與勒索軟件相關(guān)的所有漏洞，還有2個(gè)新添加的漏洞———CVE-2021-33558（Boa）和CVE-2022-36537（Zkoss）。

勒索軟件攻擊者還會(huì)優(yōu)先尋找企業(yè)的網(wǎng)絡(luò)保險(xiǎn)政策及其覆蓋范圍限制。他們要求按企業(yè)承保的最高金額支付贖金。這一發(fā)現(xiàn)與Gartner公司副總裁Paul Furtado最近接受行業(yè)媒體采訪時(shí)所述的內(nèi)容相吻合。企業(yè)的IT領(lǐng)導(dǎo)者需要知道如何應(yīng)對勒索軟件攻擊，并展示這種做法是多么普遍，以及為什么老舊漏洞的武器化現(xiàn)在如此流行。

Furtado表示：“例如，勒索軟件攻擊者要求一個(gè)受害者支付200萬美元的勒索贖金，受害者表示贖金太高，勒索軟件攻擊者給他們發(fā)送了一份保險(xiǎn)單的副本文件，顯示他們在網(wǎng)絡(luò)保險(xiǎn)方面的保單金額。關(guān)于勒索軟件攻擊必須明白的一點(diǎn)是，與其他類型安全事件不同的是，它可能會(huì)讓企業(yè)破產(chǎn)或倒閉?！?h3>武器化漏洞迅速蔓延

中小規(guī)模的企業(yè)往往受到勒索軟件攻擊的打擊最嚴(yán)重，因?yàn)樗麄兊木W(wǎng)絡(luò)安全預(yù)算很少，無法僅為網(wǎng)絡(luò)安全而增加更多的員工。

Sophos公司的最新研究發(fā)現(xiàn)，制造業(yè)公司支付的贖金最高，平均達(dá)到2 036 189美元，遠(yuǎn)高于812 000美元的跨行業(yè)平均水平。在對中小制造商的首席執(zhí)行官和首席運(yùn)營官的調(diào)查時(shí)了解到，北美地區(qū)發(fā)生的勒索軟件攻擊事件快速增長，并且還在持續(xù)。

勒索軟件攻擊者通常選擇軟目標(biāo)，并在中型或小型企業(yè)的IT人員最難反應(yīng)的時(shí)候發(fā)起攻擊。Furtado在接受采訪時(shí)表示：“76 %的勒索軟件攻擊發(fā)生在非工作時(shí)間。大多數(shù)受到攻擊的企業(yè)都會(huì)在隨后的時(shí)間內(nèi)成為目標(biāo)；90 %受到攻擊的企業(yè)會(huì)在90天內(nèi)再次成為目標(biāo)。90 %的勒索軟件襲擊都是針對年收入不到10億美元的公司。”

網(wǎng)絡(luò)攻擊者的目的

識別老舊的漏洞是網(wǎng)絡(luò)攻擊者實(shí)現(xiàn)武器化的第一步，研究發(fā)現(xiàn)，復(fù)雜的、有組織的犯罪和APT團(tuán)伙正在尋找最薄弱的漏洞并加以利用。以下是報(bào)告中的一些例子。

殺傷鏈影響廣泛采用的IT產(chǎn)品

研究團(tuán)隊(duì)研究了與勒索軟件相關(guān)的所有344個(gè)漏洞，確定了57個(gè)最危險(xiǎn)可能被利用的漏洞，從最初的訪問到泄露。

勒索軟件團(tuán)伙可以使用的殺傷鏈來利用來自微軟、甲骨文、F5、VMWare、Atlassian、Apache和SonicWall等供應(yīng)商的81種產(chǎn)品的漏洞。

MITREA TT&CK殺傷鏈?zhǔn)且粋€(gè)模型，可以定義、描述和跟蹤網(wǎng)絡(luò)攻擊的每個(gè)階段，可視化攻擊者所做的每個(gè)動(dòng)作。殺傷鏈中描述的每種策略都有多種技術(shù)來幫助勒索軟件攻擊者實(shí)現(xiàn)特定的目標(biāo)。該框架還為每種技術(shù)提供了詳細(xì)的程序，并列出了現(xiàn)實(shí)世界攻擊中使用的工具、協(xié)議和惡意軟件種類。

安全研究人員可以使用這些框架來了解攻擊模式、檢測暴露、評估當(dāng)前防御和跟蹤攻擊者。

APT團(tuán)伙更猛烈地發(fā)起勒索軟件攻擊

CSW公司觀察到50多個(gè)APT團(tuán)伙發(fā)起勒索軟件攻擊，與2020年的33個(gè)相比增加了51 %。在2022年第4季度，4個(gè)與勒索軟件關(guān)聯(lián)的APT團(tuán)伙（DEV-023、DEV-0504、DEV-0832和DEV-0950）發(fā)動(dòng)了猛烈的攻擊。

報(bào)告發(fā)現(xiàn)，最危險(xiǎn)的趨勢之一是部署惡意軟件和勒索軟件，作為戰(zhàn)爭的前兆。2022年初，研究團(tuán)隊(duì)看到在俄烏沖突升級之后，烏克蘭受到APT團(tuán)伙的攻擊，包括Gamaredon（Primitive Bear）、Nobelium（APT29）、Wizard Spider（Grim Spider）和Ghostwriter（UNC1151），其攻擊目標(biāo)是烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施。

許多企業(yè)的軟件產(chǎn)品受到開源問題的影響

在軟件產(chǎn)品中重用開源代碼會(huì)復(fù)制漏洞，比如在Apache Log4j中發(fā)現(xiàn)的漏洞。例如，Apache Log4j漏洞CVE-2021- 45046存在于16家供應(yīng)商的93個(gè)產(chǎn)品中。AvosLocker勒索軟件利用了這些產(chǎn)品，另一個(gè)Apache Log4j漏洞CVE-2021-45105存在于11家供應(yīng)商的128個(gè)產(chǎn)品中，也被AvosLocker勒索軟件利用。

研究團(tuán)隊(duì)對CVE漏洞的進(jìn)一步分析出了勒索軟件攻擊者成功大規(guī)模武器化勒索軟件的原因。一些CVE漏洞存在許多領(lǐng)先的企業(yè)軟件平臺和應(yīng)用程序中，其中的一個(gè)漏洞是CVE-2018-363，該漏洞存在于26個(gè)供應(yīng)商的345個(gè)產(chǎn)品中，其中包括Red Hat、Oracle、亞馬遜、微軟、蘋果和VMWare等知名廠商。

這一漏洞存在于許多產(chǎn)品中，包括Windows Server和Enterprise Linux Server，并與勒索軟件相關(guān)，研究機(jī)構(gòu)2022年年底在互聯(lián)網(wǎng)上發(fā)現(xiàn)了這一漏洞。

CVE-2021-44228是另一個(gè)Apache Log4j漏洞。它目前存在于21家供應(yīng)商的176種產(chǎn)品中，特別是Oracle、Red Hat、Apache、Novell、Amazon、Cisco和SonicWall等公司。這個(gè)RCE漏洞被AvosLocker、Conti、Khonsari、NightSky、Cheerscrypt和TellYouThePass這6個(gè)勒索軟件團(tuán)伙利用。

該漏洞也成為黑客關(guān)注的焦點(diǎn)，截至2022年12月10日，該漏洞已經(jīng)成為了一種趨勢，這也是美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）將其納入CISA KEV目錄的原因。

勒索軟件吸引了經(jīng)驗(yàn)豐富的攻擊者

使用勒索軟件的網(wǎng)絡(luò)攻擊正變得越來越致命，也越來越有利可圖，因此吸引了全球最復(fù)雜、資金最雄厚的有組織犯罪和APT團(tuán)伙。Ivanti公司的Mukkamala說：“威脅行為者越來越多地瞄準(zhǔn)網(wǎng)絡(luò)安全方面的缺陷，包括遺留的漏洞管理流程。如今，許多安全和IT團(tuán)隊(duì)難以識別漏洞構(gòu)成的風(fēng)險(xiǎn)，因此，對漏洞采取了不恰當(dāng)?shù)拇胧＠?，許多企業(yè)只修補(bǔ)新的漏洞或在美國國家漏洞數(shù)據(jù)庫（NVD）中披露的漏洞。其他人只使用通用漏洞評分系統(tǒng)（CVSS）來評分和優(yōu)先考慮漏洞?！?/p>

勒索軟件攻擊者繼續(xù)尋找新的方法來實(shí)現(xiàn)老舊漏洞的武器化。這份報(bào)告中分享的許多見解將幫助首席信息安全官及其安全團(tuán)隊(duì)做好準(zhǔn)備，以應(yīng)對攻擊者的更致命的勒索軟件和更高的勒索費(fèi)用。