Sophos:勒索軟件及重大網絡攻擊趨勢再現
網絡安全廠商Sophos發布《2021年網絡威脅報告》,揭示勒索軟件及不同級別的攻擊者和其迅速變化網絡攻擊模式,將如何影響2021年威脅的環境及資訊安全。
《2021年網絡威脅報告》中三大主要趨勢包括:
- 不同級別的勒索軟件操作者的技能及資源水平差別將擴大:最高級別的勒索軟件系列上將不斷改良其手法,技術和流程(TTPs)將更貼近國家級攻擊般複雜,用以針對大型企業,勒索數以百萬美元巨額。在2020年,這些勒索軟件系列包括Ryuk and RagnarLocker。反觀另一方面,Sophos估計入門或學徒級的攻擊數量將會增加,他們將較趨向備有步驟說明或者如Dharma 之類的租用式勒索軟件來向大量的小型目標發動攻擊。
另一個趨勢是勒索軟件是「次級敲詐」,即除了受害者數據加密,攻擊者將同時偷取敏感或機密資訊,再威脅公開這些資訊以進行勒索。在2020年,Sophos曾指出Maze、RagnarLocker、Netwalker、REvil等軟件均採用這種方法牟利。
Sophos首席研究科學家Chester Wisniewski表示:「勒索軟件的商業模式是多變而複雜的。在2020年,Sophos發現攻擊者開始根據他們的技能和目標進行分類。然而,Sophos亦發現有些勒索軟件系列均擁有強勁工具,更會形成具個性特色的團伙。例如Maze似乎已經退隱江湖,但Maze的部分工具和技能以全新的Egregor形象出現。網絡威脅的環境可謂是沒有空檔的,當一個勢力消失,另一個勢力便會立即補上。很多情況下,我們幾乎無法預測勒索軟件的下個目標,但Sophos threat report上所述的攻擊趨勢相信會在2021年持續。」
- 我們需更留心商品惡意軟件如loaders 、 殭屍網絡及人手控制的Initial Access Brokers等日常威脅。這些威脅看似低級,但是它們目的是在目標中站穩陣腳,採集所需數據及送回command-and-control 網絡,等待下一步指示作出攻擊。如果有人手控制這些威脅,他們將會檢視每個受影響機器的位置或其他有價值的線索,然後將最具價值的受害者資訊售賣給最高價的競投者,例如某個勒索軟件組織。例如,在2020年Ryuk使用Buer Loader來發送勒索軟件。
Wisniewski續指:「商品類惡意軟件似乎對於安全系統而言只是小事。但是,Sophos的分析指出,防衛者需認真對待這些攻擊,因為其後果可以十分嚴重。 只需一部機器受到感染,便可傳染大量其他機器。很多安全小組都以為,只要將惡意軟件封鎖及移除,並將受感染的機器清理好之後,事件就可以平息。但是,他們未必意識到攻擊目標並不止一部機器,而且看似普通的Emotet 和 Buer Loader惡意軟件都可以引起更高級Ryuk或Netwalker等攻擊,直至某個深夜或週末當勒索軟件已作好部署時,資訊科技部門才會發現問題。如果無法預測看似細小的感染,將會導致相當嚴重的後果。」
- 任何級別的攻擊者都會增加使用獲認可的工具、著名的設施以及常用的網絡目的地,以避開偵測及安全措施,以及阻撓分析和身分暴露。使用獲認可的工具讓攻擊者能在不被發現下在網絡內四處遊走,直至他們開展勒索軟件之類的大規模攻擊。對於由國家資助的攻擊者而言,使用常用工具更可令抓捕元兇變得更為困難。在2020年,Sophos也曾報告大量攻擊者採用的標準攻擊工具。
Wisniewski評價道:「在Sophos就有關2020年的威脅環境評估中已清楚顯示,攻擊者會使用普通工具及技巧來隱藏主動式攻擊。此技巧為傳統的安全措施帶來威脅,因為普通工具不會令系統自動起疑。此時,由人手控制的威脅狩捕及回應服務將可大顯身手,因為人類專家知道如何找尋細小的異常和痕跡,例如發現在不合適的時間和地點使用獲認可的工具。對訓練有素的狩獵者或 IT 主管而言,使用端點偵測與回應 (EDR)功能時,這些痕跡就是珍貴的線索,觸發安全小組發現攻擊者和出現潛在攻擊。」
其他在《2021年網絡威脅報告》中發現的威脅包括:
- 攻擊伺服器:攻擊者以Windows和Linux系統的伺服器作為攻擊對象,利用它們在企業的內部開展攻擊。
- COVID 19疫情對資訊科技安全的影響,例如在家工作者使用的個人網絡的防護程度不同,所帶來的安全挑戰。
- 雲端環境的安全挑戰:儘管雲端計算已成功負起企業對安全雲端環境的需求壓力,但是它也帶來與傳統網絡不同的的挑戰。
- 常用服務如RDP和VPN集中器,仍然是攻擊者在網絡週邊上的攻擊對象。攻擊者同時使用RDP在受攻擊的網絡上橫向移動。
- 軟件應用程式通常被標示為「潛在不必要」,因為它們傳送大量廣告,但會使用難以和惡意軟件區分的技巧。
- 一個久遠的VelvetSweatshop重出江湖,它是一個早期的Microsoft Excel的預設密碼功能,用於在文件上隱藏巨集或其他惡意內容,逃避威脅偵測。
- 他們需要採取流行病學的方法來將未見、未偵測到及未知的網絡風險進行量化分析,以改善偵測、風險評估及設定優先順序之間的連接。
