大多數勒索軟件都是這三種攻擊途徑

大多數勒索軟件攻擊者通過三個主要攻擊途徑之一入侵網絡和染指企業的關鍵系統及數據。

近期，老牌網絡安全供應商卡巴斯基發布了其2022年事件響應報告。報告題為《網絡事件的本質》，其中數據揭示，2022年成功勒索軟件攻擊中用到的主要攻擊途徑包括利用公開應用中的漏洞（占所有事件的43%）、運用被盜賬戶（24%）和通過惡意電子郵件（12%）。

相比上一年，應用漏洞利用和惡意電子郵件在所有攻擊中的占比有所下降；而被盜賬戶運用則從2021年的18%增加到了24%。

一句話總結就是：重點對付最常見的攻擊途徑可以在很大程度上防止勒索軟件攻擊。卡巴斯基全球應急響應小組負責人Konstantin Sapronov表示：“很多公司都不是攻擊者最初的目標，但因為IT安全薄弱，很容易被黑，于是網絡犯罪分子沒浪費這機會。如果我們仔細審視最主要的三個初始攻擊途徑，也就是加起來占了所有事件80%的那三個，我們就可以采取一些防御措施加以緩解，很大程度上降低淪為受害者的概率。”

卡巴斯基提到的幾個主要初始攻擊途徑與事件響應公司Google Mandiant此前報告的基本一致：Google Mandiant的報告中，三大攻擊技術同樣由這幾種常見途徑構成——漏洞利用（32%）、網絡釣魚（22%）和被盜憑證（14%），但勒索軟件攻擊者傾向于聚焦漏洞利用和被盜憑證，這兩者加起來占了所有勒索軟件案例的近乎一半（48%）。

勒索軟件在2020和2021年飛速增長，但去年開始趨于平穩，甚至略有下降。到了今年，勒索軟件及其相關攻擊——出于收取贖金目的的數據泄露，似乎又開始抬頭了：2023年上半年，被掛到數據泄露網站上的企業有所增多，Mandiant金融犯罪分析首席分析師Jeremy Kennelly如此說道。

“這可能是個預警，表明我們在2022年看到的喘息之機不會太長。攻擊者有能力繼續使用同樣的初始訪問途徑輔助攻擊。”他說道。

Kennelly表示：“最近幾年，勒索軟件攻擊者無需大力發展自己的戰術、技術與程序（TTP），因為眾所周知的策略仍然行之有效。”

毫不令人意外的三件套：漏洞利用、被盜憑證、網絡釣魚

2022年12月，美國網絡安全與基礎設施安全局 （CISA）警告稱，攻擊者常采用五種初始攻擊途徑，包括卡巴斯基和Mandiant指出的那三種，以及外部遠程服務（比如VPN和遠程管理軟件），還有第三方供應鏈攻擊（也稱為可信關系）。

卡巴斯基在報告中稱，大多數攻擊非快即慢：快速攻擊會在數天之內就破壞系統并加密數據，而慢速攻擊指的是攻擊者往往在幾個月里逐漸深入網絡，或許進行網絡間諜活動，然后部署勒索軟件或發出勒索信。

作為卡巴斯基全球應急響應小組的負責人，Sapronov表示：“如果缺乏某種形式的應用或行為監控，就更難以檢測對公開應用的漏洞利用和對合法憑證的利用，導致攻擊者能在系統內駐留更長時間。”

“應用監控沒有得到足夠的重視。”Sapronov稱，“此外，攻擊者采用漏洞利用方法時，他們需要通過更多步驟來達成自己的目標。”

漏洞利用是首要初始訪問途徑，容易帶來快速勒索軟件攻擊或長期間諜活動

建議：跟蹤漏洞利用趨勢

了解攻擊者可能會采用的常見攻擊方法有助于讓防御人員做到心中有數。例如，公司應當持續重視已經有野生漏洞利用程序的那些漏洞。Mandiant金融犯罪分析首席分析師Kennelly表示，關注威脅生態系統的變化，公司就能確保自己為可能的攻擊做好準備。

Kennelly稱：“由于攻擊者可以迅速武器化漏洞利用代碼來支持入侵活動，了解哪些漏洞正遭積極利用，知道漏洞利用代碼是否公開，摸清特定補丁或修復策略是否有效，就可以輕松避免企業陷入應對一個或多個活躍入侵的境地。”

但要避免過于重視防范特定的初始訪問途徑，因為攻擊者會不斷適應防御，Kennelly補充道。

“特定時間里最常見的特定感染途徑不應大幅改變企業的防御態勢，因為攻擊者會不斷調整自己的攻擊活動，持續重用任何經驗證的有效途徑。”Kennelly表示，“任何特定攻擊途徑的流行程度下降并不意味著其構成的威脅顯著降低——例如，靠網絡釣魚獲得訪問權限的入侵占比緩慢下降，但許多大型威脅團伙仍在使用電子郵件。”