勒索軟件攻擊者正在尋找新的方法將老舊漏洞武器化
2023年02月21日
勒索軟件攻擊者如今正在尋找新的方法�����,通過將老舊漏洞武器化以利用企業(yè)網(wǎng)絡(luò)安全方面的弱點(diǎn)���。
將長(zhǎng)期存在的勒索軟件攻擊工具與最新的人工智能和機(jī)器學(xué)習(xí)技術(shù)相結(jié)合���,一些有組織的犯罪團(tuán)伙和先進(jìn)的持續(xù)性威脅(APT) 團(tuán)伙在創(chuàng)新方面繼續(xù)領(lǐng)先于企業(yè)。
多家漏洞和網(wǎng)絡(luò)安全分析機(jī)構(gòu)CSW公司���、Ivanti公司�、Cyware公司和Securin公司聯(lián)合發(fā)布的一份新報(bào)告揭示了勒索軟件在2022年為全球企業(yè)帶來(lái)的巨大損失��。目前被勒索軟件團(tuán)伙利用的漏洞中�����,76%是在2010年至2019年期間首次發(fā)現(xiàn)的�����。
勒索軟件成為首席信息安全官和世界各國(guó)領(lǐng)導(dǎo)人的首要議程
根據(jù)這份名為《從威脅和漏洞管理的角度看勒索軟件報(bào)告》的2023年聚焦報(bào)告��,2022年在全球發(fā)現(xiàn)了56個(gè)與勒索軟件威脅相關(guān)的新漏洞�,使漏洞總數(shù)達(dá)到344個(gè),與2021年的288個(gè)漏洞相比增加了19%�����。研究還發(fā)現(xiàn)��,在264個(gè)舊漏洞中��,有208個(gè)漏洞被公開利用�。
美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)列出了160344個(gè)漏洞,其中3.3%(5330個(gè))屬于最危險(xiǎn)的利用類型——遠(yuǎn)程代碼執(zhí)行(RCE)和特權(quán)升級(jí)(PE)���。在5330個(gè)武器化漏洞中��,344個(gè)與217個(gè)勒索病毒家族和50個(gè)高級(jí)持續(xù)性威脅(APT)團(tuán)伙有關(guān)���,因此非常危險(xiǎn)。
智能IT管理和安全軟件解決方案提供商Ivanti公司首席產(chǎn)品官Srinivas Mukkamala說(shuō):“勒索軟件是每個(gè)企業(yè)最關(guān)心的問題,無(wú)論是私營(yíng)部門還是公共部門�。由于企業(yè)、社區(qū)和個(gè)人遭受的損失不斷上升�,打擊勒索軟件已被列為世界各國(guó)領(lǐng)導(dǎo)人議程中的首要任務(wù)。所有人都必須真正了解他們的攻擊面�,并為他們的企業(yè)提供分層的安全性,以便能夠在面對(duì)越來(lái)越多的勒索軟件攻擊時(shí)具有彈性���?���!?/span>
勒索軟件攻擊者知道什么
資金充足的有組織犯罪和APT團(tuán)伙讓他們的成員專門研究攻擊模式和可以不被發(fā)現(xiàn)的老舊漏洞�。研究發(fā)現(xiàn),勒索軟件攻擊者經(jīng)常試圖躲避流行的漏洞掃描器的檢測(cè)�����,包括Nessus�����、Nexpose和Qualys�����。這些攻擊者根據(jù)他們躲避檢測(cè)的能力來(lái)選擇要攻擊的老舊漏洞�。
該研究確定了20個(gè)與勒索軟件相關(guān)的漏洞,這些漏洞的插件和檢測(cè)簽名尚不可用���。該研究報(bào)告的作者指出����,這些漏洞包括他們?cè)谏弦粋€(gè)季度的分析中發(fā)現(xiàn)的與勒索軟件相關(guān)的所有漏洞�,還有兩個(gè)新添加的漏洞——CVE-2021-33558(Boa)和CVE-2022-36537(Zkoss)。
勒索軟件攻擊者還會(huì)優(yōu)先尋找企業(yè)的網(wǎng)絡(luò)保險(xiǎn)政策及其覆蓋范圍限制����。他們要求按企業(yè)承保的最高金額支付贖金。這一發(fā)現(xiàn)與Gartner公司副總裁Paul Furtado最近接受行業(yè)媒體的采訪時(shí)所述內(nèi)容相吻合��。企業(yè)的IT領(lǐng)導(dǎo)者需要知道如何應(yīng)對(duì)勒索軟件攻擊��,并展示這種做法是多么普遍��,以及為什么老舊漏洞的武器化現(xiàn)在如此流行��。
Furtado表示�����,“例如,勒索軟件攻擊者要求一個(gè)受害者支付200萬(wàn)美元的勒索贖金���,受害者表示贖金太高���,勒索軟件攻擊者給他們發(fā)送了一份保險(xiǎn)單的副本文件,顯示他們?cè)诰W(wǎng)絡(luò)保險(xiǎn)方面的保單金額��。關(guān)于勒索軟件攻擊�,必須明白的一點(diǎn)是,與其他類型安全事件不同的是�,它可能會(huì)讓企業(yè)破產(chǎn)或倒閉?����!?/span>
武器化漏洞迅速蔓延
中小規(guī)模的企業(yè)往往受到勒索軟件攻擊的打擊最嚴(yán)重�,因?yàn)樗麄兊木W(wǎng)絡(luò)安全預(yù)算很少,無(wú)法僅為網(wǎng)絡(luò)安全而增加更多的員工��。
Sophos公司的最新研究發(fā)現(xiàn)����,制造業(yè)公司支付的贖金最高,平均達(dá)到2036189美元�����,遠(yuǎn)高于812000美元的跨行業(yè)平均水平。在對(duì)中小制造商的首席執(zhí)行官和首席運(yùn)營(yíng)官的調(diào)查時(shí)了解到����,北美地區(qū)發(fā)生的勒索軟件攻擊事件快速增長(zhǎng)�,并且還在持續(xù)。
勒索軟件攻擊者通常選擇軟目標(biāo)�,并在中型或小型企業(yè)的IT人員最難反應(yīng)的時(shí)候發(fā)起攻擊。Furtado在接受行業(yè)媒體采訪中表示:“76%的勒索軟件攻擊發(fā)生在非工作時(shí)間���。大多數(shù)受到攻擊的企業(yè)都會(huì)在隨后的時(shí)間內(nèi)成為目標(biāo);90%受到攻擊的企業(yè)會(huì)在90天內(nèi)再次成為目標(biāo)��。90%的勒索軟件襲擊都是針對(duì)年收入不到10億美元的公司�?����!?/span>
網(wǎng)絡(luò)攻擊者知道要尋找什么
識(shí)別老舊的漏洞是網(wǎng)絡(luò)攻擊者實(shí)現(xiàn)武器化的第一步�,研究發(fā)現(xiàn),復(fù)雜的有組織的犯罪和APT團(tuán)伙正在尋找最薄弱的漏洞并加以利用���。以下是報(bào)告中的一些例子:
(1)殺傷鏈影響廣泛采用的IT產(chǎn)品
研究團(tuán)隊(duì)研究了與勒索軟件相關(guān)的所有344個(gè)漏洞�����,確定了57個(gè)最危險(xiǎn)的可能被利用的漏洞�,從最初的訪問到泄露。
勒索軟件團(tuán)伙可以使用殺傷鏈來(lái)利用來(lái)自微軟�、甲骨文、F5��、VMWare�、Atlassian、Apache和SonicWall等供應(yīng)商的81種產(chǎn)品的漏洞�。
MITREA TT&CK殺傷鏈?zhǔn)且粋€(gè)模型,可以定義�����、描述和跟蹤網(wǎng)絡(luò)攻擊的每個(gè)階段����,可視化攻擊者所做的每個(gè)動(dòng)作。殺傷鏈中描述的每種策略都有多種技術(shù)來(lái)幫助勒索軟件攻擊者實(shí)現(xiàn)特定的目標(biāo)��。該框架還為每種技術(shù)提供了詳細(xì)的程序�����,并列出了現(xiàn)實(shí)世界攻擊中使用的工具、協(xié)議和惡意軟件種類�。
安全研究人員可以使用這些框架來(lái)了解攻擊模式、檢測(cè)暴露�����、評(píng)估當(dāng)前防御和跟蹤攻擊者��。
(2)APT團(tuán)伙更猛烈地發(fā)起勒索軟件攻擊
CSW公司觀察到50多個(gè)APT團(tuán)伙發(fā)起勒索軟件攻擊��,與2020年的33個(gè)相比增加了51%���。在2022年第四季度,四個(gè)與勒索軟件關(guān)聯(lián)的APT團(tuán)伙(DEV-023�����、DEV-0504��、DEV-0832和DEV-0950)發(fā)動(dòng)了猛烈的攻擊�����。
報(bào)告發(fā)現(xiàn)�����,最危險(xiǎn)的趨勢(shì)之一是部署惡意軟件和勒索軟件,作為戰(zhàn)爭(zhēng)的前兆��。2022年初����,研究團(tuán)隊(duì)看到在俄烏沖突升級(jí)之后,烏克蘭受到APT團(tuán)伙的攻擊�,包括Gamaredon(Primitive Bear)、Nobelium(APT29)����、Wizard Spider(Grim Spider)和Ghostwriter(UNC1151),其攻擊目標(biāo)是烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施����。
研究還發(fā)現(xiàn),勒索軟件團(tuán)伙Conti主要攻擊美國(guó)和其他支持烏克蘭的國(guó)家�,相信這一趨勢(shì)將繼續(xù)持續(xù)。截至2022年12月�,有50個(gè)APT團(tuán)伙將勒索軟件作為首選武器。
(3)許多企業(yè)的軟件產(chǎn)品受到開源問題的影響
在軟件產(chǎn)品中重用開源代碼會(huì)復(fù)制漏洞���,比如在Apache Log4j中發(fā)現(xiàn)的漏洞����。例如,Apache Log4j漏洞CVE-2021-45046存在于16家供應(yīng)商的93個(gè)產(chǎn)品中��。AvosLocker勒索軟件利用了這些產(chǎn)品��,另一個(gè)Apache Log4j漏洞CVE-2021-45105存在于11家供應(yīng)商的128個(gè)產(chǎn)品中��,也被AvosLocker勒索軟件利用�。
研究團(tuán)隊(duì)對(duì)CVE漏洞的進(jìn)一步分析突出了勒索軟件攻擊者成功大規(guī)模武器化勒索軟件的原因。一些CVE漏洞存在許多領(lǐng)先的企業(yè)軟件平臺(tái)和應(yīng)用程序中�。
其中的一個(gè)漏洞是CVE-2018-363���,該漏洞存在于26個(gè)供應(yīng)商的345個(gè)產(chǎn)品中�。值得關(guān)注的是��,其中包括Red Hat���、Oracle�����、亞馬遜����、微軟、蘋果和VMWare等知名廠商�。
這一漏洞存在于許多產(chǎn)品中,包括Windows Server和Enterprise Linux Server�����,并與勒索軟件相關(guān)�����。研究機(jī)構(gòu)去年年底在互聯(lián)網(wǎng)上發(fā)現(xiàn)了這一漏洞�。
CVE-2021-44228是另一個(gè)Apache Log4j漏洞。它目前存在于21家供應(yīng)商的176種產(chǎn)品中���,特別是Oracle�、Red Hat���、Apache��、Novell����、Amazon、Cisco和SonicWall等公司�。這個(gè)RCE漏洞被AvosLocker、Conti����、Khonsari、Night Sky���、Cheerscrypt和TellYouThePass這六個(gè)勒索軟件團(tuán)伙利用����。
該漏洞也成為黑客關(guān)注的焦點(diǎn)�,截至2022年12月10日,該漏洞已經(jīng)成為了一種趨勢(shì)�,這也是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)將其納入CISA KEV目錄的原因��。
勒索軟件吸引了經(jīng)驗(yàn)豐富的攻擊者
使用勒索軟件的網(wǎng)絡(luò)攻擊正變得越來(lái)越致命���,也越來(lái)越有利可圖��,吸引了全球最復(fù)雜�、資金最雄厚的有組織犯罪和APT團(tuán)伙。Ivanti公司的Mukkamala說(shuō):“威脅行為者越來(lái)越多地瞄準(zhǔn)網(wǎng)絡(luò)安全方面的缺陷����,包括遺留的漏洞管理流程。如今��,許多安全和IT團(tuán)隊(duì)難以識(shí)別漏洞構(gòu)成的風(fēng)險(xiǎn)�����,因此����,對(duì)漏洞采取了不恰當(dāng)?shù)拇胧@?���,許多企業(yè)只修補(bǔ)新的漏洞或在美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)中披露的漏洞。其他人只使用通用漏洞評(píng)分系統(tǒng)(CVSS)來(lái)評(píng)分和優(yōu)先考慮漏洞���?���!?/span>
勒索軟件攻擊者繼續(xù)尋找新的方法來(lái)實(shí)現(xiàn)老舊漏洞的武器化�。這份報(bào)告中分享的許多見解將幫助首席信息安全官及其安全團(tuán)隊(duì)做好準(zhǔn)備���,以應(yīng)對(duì)攻擊者尋求提供逃避檢測(cè)的更致命的勒索軟件有效載荷,并要求更高的勒索軟件支付費(fèi)用����。
來(lái)源:企業(yè)網(wǎng)D1Net
