勒索軟件攻擊者正在尋找新的方法將老舊漏洞武器化
2023年02月21日
勒索軟件攻擊者如今正在尋找新的方法��,通過將老舊漏洞武器化以利用企業(yè)網(wǎng)絡(luò)安全方面的弱點(diǎn)���。
將長期存在的勒索軟件攻擊工具與最新的人工智能和機(jī)器學(xué)習(xí)技術(shù)相結(jié)合����,一些有組織的犯罪團(tuán)伙和先進(jìn)的持續(xù)性威脅(APT) 團(tuán)伙在創(chuàng)新方面繼續(xù)領(lǐng)先于企業(yè)����。
多家漏洞和網(wǎng)絡(luò)安全分析機(jī)構(gòu)CSW公司、Ivanti公司�����、Cyware公司和Securin公司聯(lián)合發(fā)布的一份新報告揭示了勒索軟件在2022年為全球企業(yè)帶來的巨大損失��。目前被勒索軟件團(tuán)伙利用的漏洞中�,76%是在2010年至2019年期間首次發(fā)現(xiàn)的。
勒索軟件成為首席信息安全官和世界各國領(lǐng)導(dǎo)人的首要議程
根據(jù)這份名為《從威脅和漏洞管理的角度看勒索軟件報告》的2023年聚焦報告�,2022年在全球發(fā)現(xiàn)了56個與勒索軟件威脅相關(guān)的新漏洞,使漏洞總數(shù)達(dá)到344個��,與2021年的288個漏洞相比增加了19%���。研究還發(fā)現(xiàn)���,在264個舊漏洞中���,有208個漏洞被公開利用。
美國國家漏洞數(shù)據(jù)庫(NVD)列出了160344個漏洞��,其中3.3%(5330個)屬于最危險的利用類型——遠(yuǎn)程代碼執(zhí)行(RCE)和特權(quán)升級(PE)�����。在5330個武器化漏洞中�,344個與217個勒索病毒家族和50個高級持續(xù)性威脅(APT)團(tuán)伙有關(guān),因此非常危險��。
智能IT管理和安全軟件解決方案提供商Ivanti公司首席產(chǎn)品官Srinivas Mukkamala說:“勒索軟件是每個企業(yè)最關(guān)心的問題���,無論是私營部門還是公共部門。由于企業(yè)�����、社區(qū)和個人遭受的損失不斷上升���,打擊勒索軟件已被列為世界各國領(lǐng)導(dǎo)人議程中的首要任務(wù)��。所有人都必須真正了解他們的攻擊面���,并為他們的企業(yè)提供分層的安全性����,以便能夠在面對越來越多的勒索軟件攻擊時具有彈性�����?����!?/span>
勒索軟件攻擊者知道什么
資金充足的有組織犯罪和APT團(tuán)伙讓他們的成員專門研究攻擊模式和可以不被發(fā)現(xiàn)的老舊漏洞���。研究發(fā)現(xiàn)�,勒索軟件攻擊者經(jīng)常試圖躲避流行的漏洞掃描器的檢測��,包括Nessus��、Nexpose和Qualys�。這些攻擊者根據(jù)他們躲避檢測的能力來選擇要攻擊的老舊漏洞����。
該研究確定了20個與勒索軟件相關(guān)的漏洞���,這些漏洞的插件和檢測簽名尚不可用�����。該研究報告的作者指出���,這些漏洞包括他們在上一個季度的分析中發(fā)現(xiàn)的與勒索軟件相關(guān)的所有漏洞,還有兩個新添加的漏洞——CVE-2021-33558(Boa)和CVE-2022-36537(Zkoss)��。
勒索軟件攻擊者還會優(yōu)先尋找企業(yè)的網(wǎng)絡(luò)保險政策及其覆蓋范圍限制��。他們要求按企業(yè)承保的最高金額支付贖金�。這一發(fā)現(xiàn)與Gartner公司副總裁Paul Furtado最近接受行業(yè)媒體的采訪時所述內(nèi)容相吻合。企業(yè)的IT領(lǐng)導(dǎo)者需要知道如何應(yīng)對勒索軟件攻擊�����,并展示這種做法是多么普遍�,以及為什么老舊漏洞的武器化現(xiàn)在如此流行�。
Furtado表示����,“例如�����,勒索軟件攻擊者要求一個受害者支付200萬美元的勒索贖金����,受害者表示贖金太高,勒索軟件攻擊者給他們發(fā)送了一份保險單的副本文件�����,顯示他們在網(wǎng)絡(luò)保險方面的保單金額�����。關(guān)于勒索軟件攻擊�,必須明白的一點(diǎn)是,與其他類型安全事件不同的是�,它可能會讓企業(yè)破產(chǎn)或倒閉?!?/span>
武器化漏洞迅速蔓延
中小規(guī)模的企業(yè)往往受到勒索軟件攻擊的打擊最嚴(yán)重,因?yàn)樗麄兊木W(wǎng)絡(luò)安全預(yù)算很少����,無法僅為網(wǎng)絡(luò)安全而增加更多的員工���。
Sophos公司的最新研究發(fā)現(xiàn),制造業(yè)公司支付的贖金最高��,平均達(dá)到2036189美元�����,遠(yuǎn)高于812000美元的跨行業(yè)平均水平��。在對中小制造商的首席執(zhí)行官和首席運(yùn)營官的調(diào)查時了解到��,北美地區(qū)發(fā)生的勒索軟件攻擊事件快速增長����,并且還在持續(xù)。
勒索軟件攻擊者通常選擇軟目標(biāo)�,并在中型或小型企業(yè)的IT人員最難反應(yīng)的時候發(fā)起攻擊。Furtado在接受行業(yè)媒體采訪中表示:“76%的勒索軟件攻擊發(fā)生在非工作時間�。大多數(shù)受到攻擊的企業(yè)都會在隨后的時間內(nèi)成為目標(biāo);90%受到攻擊的企業(yè)會在90天內(nèi)再次成為目標(biāo)。90%的勒索軟件襲擊都是針對年收入不到10億美元的公司����?!?/span>
網(wǎng)絡(luò)攻擊者知道要尋找什么
識別老舊的漏洞是網(wǎng)絡(luò)攻擊者實(shí)現(xiàn)武器化的第一步�,研究發(fā)現(xiàn)��,復(fù)雜的有組織的犯罪和APT團(tuán)伙正在尋找最薄弱的漏洞并加以利用���。以下是報告中的一些例子:
(1)殺傷鏈影響廣泛采用的IT產(chǎn)品
研究團(tuán)隊(duì)研究了與勒索軟件相關(guān)的所有344個漏洞���,確定了57個最危險的可能被利用的漏洞,從最初的訪問到泄露�����。
勒索軟件團(tuán)伙可以使用殺傷鏈來利用來自微軟��、甲骨文��、F5����、VMWare、Atlassian�、Apache和SonicWall等供應(yīng)商的81種產(chǎn)品的漏洞。
MITREA TT&CK殺傷鏈?zhǔn)且粋€模型,可以定義���、描述和跟蹤網(wǎng)絡(luò)攻擊的每個階段��,可視化攻擊者所做的每個動作�����。殺傷鏈中描述的每種策略都有多種技術(shù)來幫助勒索軟件攻擊者實(shí)現(xiàn)特定的目標(biāo)�。該框架還為每種技術(shù)提供了詳細(xì)的程序����,并列出了現(xiàn)實(shí)世界攻擊中使用的工具、協(xié)議和惡意軟件種類���。
安全研究人員可以使用這些框架來了解攻擊模式���、檢測暴露、評估當(dāng)前防御和跟蹤攻擊者��。
(2)APT團(tuán)伙更猛烈地發(fā)起勒索軟件攻擊
CSW公司觀察到50多個APT團(tuán)伙發(fā)起勒索軟件攻擊�,與2020年的33個相比增加了51%。在2022年第四季度�����,四個與勒索軟件關(guān)聯(lián)的APT團(tuán)伙(DEV-023、DEV-0504�����、DEV-0832和DEV-0950)發(fā)動了猛烈的攻擊�����。
報告發(fā)現(xiàn)���,最危險的趨勢之一是部署惡意軟件和勒索軟件,作為戰(zhàn)爭的前兆�����。2022年初����,研究團(tuán)隊(duì)看到在俄烏沖突升級之后,烏克蘭受到APT團(tuán)伙的攻擊�����,包括Gamaredon(Primitive Bear)、Nobelium(APT29)��、Wizard Spider(Grim Spider)和Ghostwriter(UNC1151)��,其攻擊目標(biāo)是烏克蘭的關(guān)鍵基礎(chǔ)設(shè)施��。
研究還發(fā)現(xiàn)�,勒索軟件團(tuán)伙Conti主要攻擊美國和其他支持烏克蘭的國家,相信這一趨勢將繼續(xù)持續(xù)���。截至2022年12月����,有50個APT團(tuán)伙將勒索軟件作為首選武器�����。
(3)許多企業(yè)的軟件產(chǎn)品受到開源問題的影響
在軟件產(chǎn)品中重用開源代碼會復(fù)制漏洞���,比如在Apache Log4j中發(fā)現(xiàn)的漏洞���。例如,Apache Log4j漏洞CVE-2021-45046存在于16家供應(yīng)商的93個產(chǎn)品中���。AvosLocker勒索軟件利用了這些產(chǎn)品�,另一個Apache Log4j漏洞CVE-2021-45105存在于11家供應(yīng)商的128個產(chǎn)品中,也被AvosLocker勒索軟件利用��。
研究團(tuán)隊(duì)對CVE漏洞的進(jìn)一步分析突出了勒索軟件攻擊者成功大規(guī)模武器化勒索軟件的原因�����。一些CVE漏洞存在許多領(lǐng)先的企業(yè)軟件平臺和應(yīng)用程序中���。
其中的一個漏洞是CVE-2018-363,該漏洞存在于26個供應(yīng)商的345個產(chǎn)品中����。值得關(guān)注的是,其中包括Red Hat���、Oracle����、亞馬遜���、微軟����、蘋果和VMWare等知名廠商。
這一漏洞存在于許多產(chǎn)品中�����,包括Windows Server和Enterprise Linux Server���,并與勒索軟件相關(guān)�。研究機(jī)構(gòu)去年年底在互聯(lián)網(wǎng)上發(fā)現(xiàn)了這一漏洞�����。
CVE-2021-44228是另一個Apache Log4j漏洞�����。它目前存在于21家供應(yīng)商的176種產(chǎn)品中���,特別是Oracle����、Red Hat��、Apache、Novell��、Amazon�、Cisco和SonicWall等公司。這個RCE漏洞被AvosLocker�����、Conti����、Khonsari、Night Sky��、Cheerscrypt和TellYouThePass這六個勒索軟件團(tuán)伙利用�。
該漏洞也成為黑客關(guān)注的焦點(diǎn)�����,截至2022年12月10日����,該漏洞已經(jīng)成為了一種趨勢,這也是美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)將其納入CISA KEV目錄的原因���。
勒索軟件吸引了經(jīng)驗(yàn)豐富的攻擊者
使用勒索軟件的網(wǎng)絡(luò)攻擊正變得越來越致命����,也越來越有利可圖,吸引了全球最復(fù)雜��、資金最雄厚的有組織犯罪和APT團(tuán)伙��。Ivanti公司的Mukkamala說:“威脅行為者越來越多地瞄準(zhǔn)網(wǎng)絡(luò)安全方面的缺陷�����,包括遺留的漏洞管理流程����。如今,許多安全和IT團(tuán)隊(duì)難以識別漏洞構(gòu)成的風(fēng)險����,因此,對漏洞采取了不恰當(dāng)?shù)拇胧?����。例如,許多企業(yè)只修補(bǔ)新的漏洞或在美國國家漏洞數(shù)據(jù)庫(NVD)中披露的漏洞����。其他人只使用通用漏洞評分系統(tǒng)(CVSS)來評分和優(yōu)先考慮漏洞?��!?/span>
勒索軟件攻擊者繼續(xù)尋找新的方法來實(shí)現(xiàn)老舊漏洞的武器化����。這份報告中分享的許多見解將幫助首席信息安全官及其安全團(tuán)隊(duì)做好準(zhǔn)備�,以應(yīng)對攻擊者尋求提供逃避檢測的更致命的勒索軟件有效載荷,并要求更高的勒索軟件支付費(fèi)用����。
來源:企業(yè)網(wǎng)D1Net
