Sophos網絡威脅報告2022: 勒索軟件匯集多種網絡威脅
網絡安全廠商Sophos發布《2022年網絡威脅報告》,揭示勒索軟件如何匯集多種網絡威脅,以構成龐大且互連的勒索軟件傳送系統,對IT 安全構成重大威脅。報告由SophosLabs研究人員、Sophos Managed Threat Response 威脅狩捕人員和事故快速回應專員,以及 Sophos AI 團隊共同撰寫,就企業將於 2022 年面臨的安全威脅及趨勢作全方位分析。
《2022年網絡威脅報告》中四大主要趨勢
- 在2022年,勒索軟件的規模將變得更模組化及統一。隨著攻擊者提供「攻擊即服務」的部件,如包含工具和技術在內的指引,讓不同黑客組織能輕易發動非常類似的攻擊。據 Sophos研究人員研究顯示,2021年由單一勒索軟件組織發動的攻擊較採用勒索軟件即服務 (RaaS) 產品為少,專業勒索軟件開發員趨向租用第三方組織開發的惡意程式碼和基礎架構。當中,今年備受觸目的勒索軟件攻擊都與RaaS有關,包括DarkSide分支組織針對美國燃油運輸公司Colonial Pipeline的攻擊。Conti 勒索軟件的附屬組織洩露一份內部攻擊指南,揭示攻擊者可以用作部署勒索軟件攻擊的逐步工具及技術。
當攻擊者取得所需的惡意軟件後,與RaaS相關的組織及其他勒索軟件營運商將能透過Initial Access brokers和惡意軟件傳送平台,以鎖定潛在受害機構。此情況將引伸至Sophos研究揭示的第二大趨勢。
- 現時網絡威脅能不斷適應環境以分發和傳送勒索軟件。目前的網絡威脅包括loaders、dropper、商品類惡意軟件、越來越先進並以人手控制的Initial Access Brokers、垃圾郵件,以及廣告軟件。在2021年,Sophos揭示Gootloader事故中採用新型混合攻擊,而相關攻擊結合大規模活動與仔細篩選的能力,以鎖定惡意軟件的攻擊目標。
- 勒索軟件攻擊者使用多種敲詐方式迫使受害機構支付贖金,Sophos 預期勒索範圍和強度將持續增加。在2021年,Sophos事故回應人員就10種不同類型的施壓手法進行分類,包括數據盜竊及泄露、威脅電話,甚至分散式阻斷服務 (DDoS) 攻擊等。
- 加密貨幣將繼續助長勒索軟件和惡意加密挖礦等網絡罪行,而Sophos預期趨勢將會持續,直至全球加密貨幣得到更嚴格的監管。在2021年,Sophos研究人員發現加密挖礦程式如Lemon Duck及不太常見的MrbMiner等,利用日前被發現的漏洞取得存取權限,並於已被勒索軟件入侵的電腦及伺服器上安裝加密挖礦程式。
勒索軟件蓬勃發展
Sophos首席研究科學家Chester Wisniewski 表示:「勒索軟件蓬勃發展的主因是源於其高適應能力及創新技術。以RaaS產品為例,在數年前其主要功能讓技術能力較低或資金不足的攻擊者能夠使用勒索軟件。然而,在2021年,RaaS開發人員則投入更多時間和精力以產生複雜的程式碼,試圖從受害者、保險公司和談判者中搾取更豐厚的贖金。此外,他們更把鎖定受害機構、安裝和執行惡意軟件,以及清洗被盜加密貨幣的工作轉移給第三方。此現象將扭曲目前網絡威脅的格局,同時讓早於勒索軟件出現並構成破壞的常見威脅,如loaders、dropper及Initial Access Brokers等,一一納入看似『黑洞』的勒索軟件之列。」
「對企業而言,單憑網絡安全監測工具,讓自己深信有能力偵測惡意程式的想法是不設實際。其實,某些偵測結果甚至警示,則如同小偷從窗外闖進家中打破花瓶一樣。IT部門必須仔細調查以往認為微不足道的警示,因為這些常見的入侵特徵現已演變成控制整個網絡必需的立足點。」
其他在《2022年網絡威脅報告》中發現的威脅包括:
- 自2021年發現 (並修補) ProxyLogon和ProxyShell的漏洞後,攻擊者快速利用漏洞作出攻擊。因此 ,Sophos預料不少專業攻擊者和普遍的網絡犯罪分子將大規模濫用 IT 管理工具和面向網絡可採用的服務。
- Sophos亦預料網絡犯罪分子濫用模擬工具將成為常見的現象,例如Cobalt Strike Beacons、mimikatz和PowerSploit。IT部門應檢查每個與被濫用的合規工具組合有關的警示,就如檢視惡意偵測結果的情況一樣,因為它們有機會意味著網絡中存在入侵者。
- 在2021年,Sophos研究人員詳列多項針對Linux系統的全新威脅。他們亦預料在2022年,不論在雲端、網絡和虛擬伺服器中,機構對採用Linux系統的興趣將會有增無減。
- 手機威脅和社交工程詐騙,如Flubot和Joker等預料將持續出現,並將目標延展至個人及企業對象
- 隨著強大的機器學習模組於威脅偵測和警示優先排序上反映重要價值,人工智能在網絡安全中的應用比例將持續增加及加快發展。然而,攻擊者亦將更頻繁採用人工智能技術。未來數年間,網絡威脅將從人工智能所支援的虛假資訊活動和虛假社交媒體帳號,發展至包含水坑(watering-hole)攻擊的網頁內容、網絡釣魚電郵,甚至是進階的deepfake影片和語音合成技術等。
