勒索軟件攻擊者如今正在尋找新的方法，通過將老舊漏洞武器化以利用企業(yè)網(wǎng)絡(luò)安全方面的弱點(diǎn)。

將長(zhǎng)期存在的勒索軟件攻擊工具與最新的人工智能和機(jī)器學(xué)習(xí)技術(shù)相結(jié)合，一些有組織的犯罪團(tuán)伙和先進(jìn)的持續(xù)性威脅(APT) 團(tuán)伙在創(chuàng)新方面繼續(xù)領(lǐng)先于企業(yè)。

多家漏洞和網(wǎng)絡(luò)安全分析機(jī)構(gòu)CSW公司、Ivanti公司、Cyware公司和Securin公司聯(lián)合發(fā)布的一份新報(bào)告揭示了勒索軟件在2022年為全球企業(yè)帶來的巨大損失。目前被勒索軟件團(tuán)伙利用的漏洞中，76%是在2010年至2019年期間首次發(fā)現(xiàn)的。

勒索軟件成為首席信息安全官和世界各國(guó)領(lǐng)導(dǎo)人的首要議程

根據(jù)這份名為《從威脅和漏洞管理的角度看勒索軟件報(bào)告》的2023年聚焦報(bào)告，2022年在全球發(fā)現(xiàn)了56個(gè)與勒索軟件威脅相關(guān)的新漏洞，使漏洞總數(shù)達(dá)到344個(gè)，與2021年的288個(gè)漏洞相比增加了19%。研究還發(fā)現(xiàn)，在264個(gè)舊漏洞中，有208個(gè)漏洞被公開利用。

美國(guó)國(guó)家漏洞數(shù)據(jù)庫(NVD)列出了160344個(gè)漏洞，其中3.3%(5330個(gè))屬于最危險(xiǎn)的利用類型——遠(yuǎn)程代碼執(zhí)行(RCE)和特權(quán)升級(jí)(PE)。在5330個(gè)武器化漏洞中，344個(gè)與217個(gè)勒索病毒家族和50個(gè)高級(jí)持續(xù)性威脅(APT)團(tuán)伙有關(guān)，因此非常危險(xiǎn)。

智能IT管理和安全軟件解決方案提供商Ivanti公司首席產(chǎn)品官Srinivas Mukkamala說：“勒索軟件是每個(gè)企業(yè)最關(guān)心的問題，無論是私營(yíng)部門還是公共部門。由于企業(yè)、社區(qū)和個(gè)人遭受的損失不斷上升，打擊勒索軟件已被列為世界各國(guó)領(lǐng)導(dǎo)人議程中的首要任務(wù)。所有人都必須真正了解他們的攻擊面，并為他們的企業(yè)提供分層的安全性，以便能夠在面對(duì)越來越多的勒索軟件攻擊時(shí)具有彈性。”

勒索軟件攻擊者知道什么

資金充足的有組織犯罪和APT團(tuán)伙讓他們的成員專門研究攻擊模式和可以不被發(fā)現(xiàn)的老舊漏洞。研究發(fā)現(xiàn)，勒索軟件攻擊者經(jīng)常試圖躲避流行的漏洞掃描器的檢測(cè)，包括Nessus、Nexpose和Qualys。這些攻擊者根據(jù)他們躲避檢測(cè)的能力來選擇要攻擊的老舊漏洞。

該研究確定了20個(gè)與勒索軟件相關(guān)的漏洞，這些漏洞的插件和檢測(cè)簽名尚不可用。該研究報(bào)告的作者指出，這些漏洞包括他們?cè)谏弦粋€(gè)季度的分析中發(fā)現(xiàn)的與勒索軟件相關(guān)的所有漏洞，還有兩個(gè)新添加的漏洞——CVE-2021-33558(Boa)和CVE-2022-36537(Zkoss)。

勒索軟件攻擊者還會(huì)優(yōu)先尋找企業(yè)的網(wǎng)絡(luò)保險(xiǎn)政策及其覆蓋范圍限制。他們要求按企業(yè)承保的最高金額支付贖金。這一發(fā)現(xiàn)與Gartner公司副總裁Paul Furtado最近接受行業(yè)媒體的采訪時(shí)所述內(nèi)容相吻合。企業(yè)的IT領(lǐng)導(dǎo)者需要知道如何應(yīng)對(duì)勒索軟件攻擊，并展示這種做法是多么普遍，以及為什么老舊漏洞的武器化現(xiàn)在如此流行。

Furtado表示，“例如，勒索軟件攻擊者要求一個(gè)受害者支付200萬美元的勒索贖金，受害者表示贖金太高，勒索軟件攻擊者給他們發(fā)送了一份保險(xiǎn)單的副本文件，顯示他們?cè)诰W(wǎng)絡(luò)保險(xiǎn)方面的保單金額。關(guān)于勒索軟件攻擊，必須明白的一點(diǎn)是，與其他類型安全事件不同的是，它可能會(huì)讓企業(yè)破產(chǎn)或倒閉。”

武器化漏洞迅速蔓延

中小規(guī)模的企業(yè)往往受到勒索軟件攻擊的打擊最嚴(yán)重，因?yàn)樗麄兊木W(wǎng)絡(luò)安全預(yù)算很少，無法僅為網(wǎng)絡(luò)安全而增加更多的員工。

Sophos公司的最新研究發(fā)現(xiàn)，制造業(yè)公司支付的贖金最高，平均達(dá)到2036189美元，遠(yuǎn)高于812000美元的跨行業(yè)平均水平。在對(duì)中小制造商的首席執(zhí)行官和首席運(yùn)營(yíng)官的調(diào)查時(shí)了解到，北美地區(qū)發(fā)生的勒索軟件攻擊事件快速增長(zhǎng)，并且還在持續(xù)。

勒索軟件攻擊者通常選擇軟目標(biāo)，并在中型或小型企業(yè)的IT人員最難反應(yīng)的時(shí)候發(fā)起攻擊。Furtado在接受行業(yè)媒體采訪中表示：“76%的勒索軟件攻擊發(fā)生在非工作時(shí)間。大多數(shù)受到攻擊的企業(yè)都會(huì)在隨后的時(shí)間內(nèi)成為目標(biāo);90%受到攻擊的企業(yè)會(huì)在90天內(nèi)再次成為目標(biāo)。90%的勒索軟件襲擊都是針對(duì)年收入不到10億美元的公司。”

網(wǎng)絡(luò)攻擊者知道要尋找什么

識(shí)別老舊的漏洞是網(wǎng)絡(luò)攻擊者實(shí)現(xiàn)武器化的第一步，研究發(fā)現(xiàn)，復(fù)雜的有組織的犯罪和APT團(tuán)伙正在尋找最薄弱的漏洞并加以利用。以下是報(bào)告中的一些例子:

(1)殺傷鏈影響廣泛采用的IT產(chǎn)品

研究團(tuán)隊(duì)研究了與勒索軟件相關(guān)的所有344個(gè)漏洞，確定了57個(gè)最危險(xiǎn)的可能被利用的漏洞，從最初的訪問到泄露。

勒索軟件團(tuán)伙可以使用殺傷鏈來利用來自微軟、甲骨文、F5、VMWare、Atlassian、Apache和SonicWall等供應(yīng)商的81種產(chǎn)品的漏洞。

MITREA TT&CK殺傷鏈?zhǔn)且粋€(gè)模型，可以定義、描述和跟蹤網(wǎng)絡(luò)攻擊的每個(gè)階段，可視化攻擊者所做的每個(gè)動(dòng)作。殺傷鏈中描述的每種策略都有多種技術(shù)來幫助勒索軟件攻擊者實(shí)現(xiàn)特定的目標(biāo)。該框架還為每種技術(shù)提供了詳細(xì)的程序，并列出了現(xiàn)實(shí)世界攻擊中使用的工具、協(xié)議和惡意軟件種類。

安全研究人員可以使用這些框架來了解攻擊模式、檢測(cè)暴露、評(píng)估當(dāng)前防御和跟蹤攻擊者。

(2)APT團(tuán)伙更猛烈地發(fā)起勒索軟件攻擊

CSW公司觀察到50多個(gè)APT團(tuán)伙發(fā)起勒索軟件攻擊，與2020年的33個(gè)相比增加了51%。在2022年第四季度，四個(gè)與勒索軟件關(guān)聯(lián)的APT團(tuán)伙(DEV-023、DEV-0504、DEV-0832和DEV-0950)發(fā)動(dòng)了猛烈的攻擊。

報(bào)告發(fā)現(xiàn)，最危險(xiǎn)的趨勢(shì)之一是部署惡意軟件和勒索軟件，作為戰(zhàn)爭(zhēng)的前兆。2022年初，研究團(tuán)隊(duì)看到在俄烏沖突升級(jí)之后，烏克蘭受到APT團(tuán)伙的攻擊，包括Gamaredon(Primitive Bear)、Nobelium(APT29)、Wizard Spider(Grim Spider)和Ghostwriter(UNC1151)，其攻擊目標(biāo)是烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施。

研究還發(fā)現(xiàn)，勒索軟件團(tuán)伙Conti主要攻擊美國(guó)和其他支持烏克蘭的國(guó)家，相信這一趨勢(shì)將繼續(xù)持續(xù)。截至2022年12月，有50個(gè)APT團(tuán)伙將勒索軟件作為首選武器。

(3)許多企業(yè)的軟件產(chǎn)品受到開源問題的影響

在軟件產(chǎn)品中重用開源代碼會(huì)復(fù)制漏洞，比如在Apache Log4j中發(fā)現(xiàn)的漏洞。例如，Apache Log4j漏洞CVE-2021-45046存在于16家供應(yīng)商的93個(gè)產(chǎn)品中。AvosLocker勒索軟件利用了這些產(chǎn)品，另一個(gè)Apache Log4j漏洞CVE-2021-45105存在于11家供應(yīng)商的128個(gè)產(chǎn)品中，也被AvosLocker勒索軟件利用。

研究團(tuán)隊(duì)對(duì)CVE漏洞的進(jìn)一步分析突出了勒索軟件攻擊者成功大規(guī)模武器化勒索軟件的原因。一些CVE漏洞存在許多領(lǐng)先的企業(yè)軟件平臺(tái)和應(yīng)用程序中。

其中的一個(gè)漏洞是CVE-2018-363，該漏洞存在于26個(gè)供應(yīng)商的345個(gè)產(chǎn)品中。值得關(guān)注的是，其中包括Red Hat、Oracle、亞馬遜、微軟、蘋果和VMWare等知名廠商。

這一漏洞存在于許多產(chǎn)品中，包括Windows Server和Enterprise Linux Server，并與勒索軟件相關(guān)。研究機(jī)構(gòu)去年年底在互聯(lián)網(wǎng)上發(fā)現(xiàn)了這一漏洞。

CVE-2021-44228是另一個(gè)Apache Log4j漏洞。它目前存在于21家供應(yīng)商的176種產(chǎn)品中，特別是Oracle、Red Hat、Apache、Novell、Amazon、Cisco和SonicWall等公司。這個(gè)RCE漏洞被AvosLocker、Conti、Khonsari、Night Sky、Cheerscrypt和TellYouThePass這六個(gè)勒索軟件團(tuán)伙利用。

該漏洞也成為黑客關(guān)注的焦點(diǎn)，截至2022年12月10日，該漏洞已經(jīng)成為了一種趨勢(shì)，這也是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)將其納入CISA KEV目錄的原因。

勒索軟件吸引了經(jīng)驗(yàn)豐富的攻擊者

使用勒索軟件的網(wǎng)絡(luò)攻擊正變得越來越致命，也越來越有利可圖，吸引了全球最復(fù)雜、資金最雄厚的有組織犯罪和APT團(tuán)伙。Ivanti公司的Mukkamala說:“威脅行為者越來越多地瞄準(zhǔn)網(wǎng)絡(luò)安全方面的缺陷，包括遺留的漏洞管理流程。如今，許多安全和IT團(tuán)隊(duì)難以識(shí)別漏洞構(gòu)成的風(fēng)險(xiǎn)，因此，對(duì)漏洞采取了不恰當(dāng)?shù)拇胧＠纾S多企業(yè)只修補(bǔ)新的漏洞或在美國(guó)國(guó)家漏洞數(shù)據(jù)庫(NVD)中披露的漏洞。其他人只使用通用漏洞評(píng)分系統(tǒng)(CVSS)來評(píng)分和優(yōu)先考慮漏洞。”

勒索軟件攻擊者繼續(xù)尋找新的方法來實(shí)現(xiàn)老舊漏洞的武器化。這份報(bào)告中分享的許多見解將幫助首席信息安全官及其安全團(tuán)隊(duì)做好準(zhǔn)備，以應(yīng)對(duì)攻擊者尋求提供逃避檢測(cè)的更致命的勒索軟件有效載荷，并要求更高的勒索軟件支付費(fèi)用。