Deep Instinct发布了2022年半年度网络威胁报告,重点关注2022年上半年以来的主要恶意软件和勒索软件趋势和策略,并为不断发展的网络安全威胁形势提供了关键要点和预测。
2022 年是网络犯罪分子和勒索软件团伙创纪录的又一年。众所周知,这些攻击者不断使用逃避传统网络防御的新策略和改进策略来达到目的。 Deep Instinct威胁实验室团队负责人Mark Vaitzman
▌2022 年上半年的恶意软件和勒索软件趋势
▶ 犯罪团伙的结构变化
观察到的一些最普遍的活动包括勒索软件团伙的变化,包括LockBit、Hive、BlackCat和Conti。后者催生了由Quantum,BlackBasta和BlackByte组成的“Conti Splinters”。在Conti衰落后,这三个著名的前附属集团各自运营。
▶不断变化的恶意软件活动
该报告强调了Emotet,Agent Tesla,NanoCore等发生重大变化的原因。例如,Emotet使用高度模糊的VBA宏来避免检测。
▶微软关闭一条途径,攻击者已寻求其他途径
研究人员发现,随着微软在Office文件中默认禁用宏,之前作为头号攻击向量的恶意软件文档的使用已经减少。观察到的攻击者正在改变方向并实施其他方法来部署他们的恶意软件,例如LNK,HTML和存档电子邮件附件。
▶主要可利用漏洞
SpoolFool,Follina和DirtyPipe等漏洞突出了Windows和Linux系统的可利用性,尽管它们努力增强其安全性。对CISA发布的已知漏洞目录的分析表明,被利用的野外漏洞数量每3-4个月就会激增一次,预计随着年底的临近将会出现下一个峰值。
▶数据泄露攻击扩展到第三方
犯罪集团正在利用其攻击流中的数据外泄,以索取泄露数据的赎金。在敏感数据外泄的情况下,补救措施较少,因此许多犯罪团伙甚至更进一步,如果泄露的数据包含第三方公司的敏感信息,则要求其支付赎金。
不可否认,勒索软件攻击仍然是对组织的严重威胁,因为目前有17个泄露的数据库由犯罪团伙运营,他们利用这些数据对第三方公司进行攻击,最著名的是社会工程、凭证窃取和三重勒索攻击。
▌三项具体预测
▶内部人员和联盟计划
攻击者寻找最薄弱的环节。随着网络安全的不断创新,一些攻击者选择定位薄弱目标或只是付钱给内部人员。像Lapsus$这样的组织不依赖于漏洞利用,而是寻找愿意在其组织内出售数据访问权限的内部人员。
▶抗议软件正在兴起
抗议软件的趋势现象有所增加,可以定义为自我破坏软件,并利用恶意软件功能将其武器化,以试图伤害其所有或部分用户。俄乌战争导致抗议软件激增,最著名的例子是node-ipc擦除器,这是一种流行的NPM软件包。发现此类供应链攻击并不容易,而且通常只有在影响多个受害者后才能检测到它们。
▶年终攻击
尽管目前还没有听说过2022年出现类似于Log4J或2021年交易所案例的重大漏洞,针对报告的漏洞公开分配的CVE数量逐年增加。由于2021年CVE存在大量未修补的系统,2022年期间,攻击者仍在利用旧的漏洞。
主动防御是应对所有未知攻击的最佳防御姿态,我们建议,在入侵发生之前先行验证自身防御体系有效性。塞讯安全度量验证平台通过模拟真实的勒索团伙的攻击手法,用可视量化的数据结果帮助企业精准评估自身防御能力。
针对勒索软件,塞讯验证也推出了勒索软件防御评估服务,帮助您进行勒索软件防御能力的技术评估,我们的评估服务覆盖勒索软件整个勒索软件攻击杀伤链的所有攻击阶段,为企业识别每个攻击阶段存在的风险。
| 参考来源
https://www.helpnetsecurity.com/2022/11/10/malware-ransomware-trends/