企業正在輸掉勒索軟件戰爭
勒索軟件攻擊者正在積極利用已知的常見漏洞和暴露(CVE) ,搶在供應商安全團隊發布補丁前發起攻擊。不僅如此,勒索軟件攻擊者還使攻擊變得更加復雜、成本高昂且難以識別和阻止,以比企業更快的速度針對潛在目標的漏洞采取行動。
Ivanti與Cyware最新發布的兩個勒索軟件報告顯示,企業識別勒索軟件的速度與勒索軟件攻擊速度之間存在越來越大的差距。這兩項研究都對企業在識別和阻止勒索軟件攻擊方面的落后程度進行了嚴格的評估。
危險的“已知漏洞”
勒索軟件攻擊者正在以越來越快的速度擴展他們的攻擊武器庫,并迅速采用新技術。2021年第3季度勒索軟件指數更新顯示,勒索軟件組織在第3季度通過12個新的漏洞關聯擴大了他們的攻擊庫,是上一季度的兩倍。攻擊者正在采用更新、更復雜的攻擊技術,包括木馬即服務和投放器即服務 (DaaS)。此外,在過去的一年里,隨著更高級的網絡犯罪分子希望招募不太先進的團伙作為其勒索軟件網絡的一部分,更多的勒索軟件代碼在網上泄露。
勒索軟件仍然是2021年增長最快的網絡攻擊之一。僅在2021年第三季度,與勒索軟件相關的已知漏洞數量就從266個增加到278個。被積極利用以發起攻擊的流行漏洞也增加了4.5%,總數達到140個。此外,Ivanti的索引更新在第三季度發現了5個新的勒索軟件種群,使全球勒索軟件種群的總數達到151個。
勒索軟件組織正在利用已知的CVE漏洞,在業界將CVE添加到國家漏洞數據庫(NVD)并發布補丁之前發現并利用零日漏洞:2021年之前增加的258個CVE 現在都與勒索軟件攻擊相關聯。大量遺留CVE被利用進一步說明勒索軟件攻擊者善于利用舊的CVE漏洞實施攻擊。今天業界跟蹤的所有漏洞中,有92.4%與勒索軟件有關。
威脅情報“信息梗塞”
根據Cyware委托Forrester進行的研究,71%的安全領導者表示,他們的團隊需要訪問威脅情報、安全運營數據、事件響應和漏洞數據。然而,65%的人發現今天為安全團隊提供綜合的數據訪問是一項挑戰。
如今,64%的企業無法跨職能共享威脅情報數據,從而限制了跨部門共享的安全運營中心(SOC)、事件響應和威脅情報的數量。下圖說明了企業在提供實時威脅情報數據方面的落后程度。企業和勒索軟件攻擊者之間的知識差距正在擴大,攻擊者利用已知CVE漏洞的速度加快了這一差距。
上圖:只有23%的企業向其安全團隊提供漏洞數據,以識別潛在的勒索軟件攻擊和破壞企圖。相比安全團隊,勒索軟件攻擊者在知道CVE中定義的哪些系統和配置最容易受到攻擊方面占據上風。他們正在創建更復雜、更復雜的勒索軟件代碼,以利用長期存在的系統漏洞。(圖片來源:Cyware和 Forrester)
企業無法訪問實時威脅情報數據,這導致勒索軟件攻擊者能夠快速實施更復雜、更具挑戰性的攻擊,同時要求更高的贖金。美國財政部的金融犯罪執法網絡(FinCEN)于2021年6月發布了一份報告,發現 2021年前六個月與勒索軟件相關的可疑活動報告(SAR)中報告的可疑活動達到了5.9億美元,超過了2020 年的4.16億美元。FinCEN還發現,在過去三年中,10個主要的勒索軟件團伙已支付了52億美元的比特幣。現在平均贖金為4500萬美元,比特幣是首選的支付貨幣。
漏洞的漏洞
2021年第3季度勒索軟件指數聚焦報告說明了勒索軟件攻擊者如何研究長期存在的CVE,以找到可利用的遺留系統安全漏洞,而這些漏洞通常未被保護不足的企業發現。一個例子是HelloKitty勒索軟件如何使用CVE-2019-7481,這是一個通用漏洞評分系統(CVSS)得分為7.5的CVE。此外,索引指出Cring勒索軟件家族增加了兩個存在十多年的漏洞(CVE-2009-3960)和(CVE-2010-2861)。雖然有補丁程序可用,但企業仍然容易受到勒索軟件攻擊,因為他們尚未修補遺留應用程序和操作系統。
例如,最近在運行過時版本的微軟Windows操作系統的ColdFusion服務器上發生了一次成功的勒索軟件攻擊。下面比較了兩個CVE的時間線,說明了Cring勒索軟件自現身以來的十多年里是如何實施攻擊的:
上圖:2021年第三季度勒索軟件指數聚焦報告包括對CVE-2009-3960的評估,因為它最近與Cring勒索軟件相關聯,進一步說明了勒索軟件攻擊者如何通過挖掘CVE以利用長期存在的漏洞。(圖片來源:Ivanti)
截至2021年第三季度,有278個CVE或漏洞與勒索軟件相關,這個數據量化了威脅的快速增長。此外,現在有12個漏洞與7個勒索軟件種群相關。本季度發現的新漏洞之一是繼第二季度CVE-2021-30116中定義的零日漏洞之后,Kaseya Unitrends Service中的一個零日漏洞,在今年7月3日由REvil組織在大規模供應鏈攻擊中被利用。
2021年7月7日,Kaseya承認了這次攻擊,并于7月9日將該漏洞添加到NVD。7月11日發布了相同的補丁。不幸的是,就在Kaseya的安全團隊準備為其系統發布補丁(在2021年4月了解該漏洞之后)前夕,該漏洞已經被REvil勒索軟件利用。下表提供了按CVSS分數排名的12個CVE新關聯漏洞的見解。知道自己存在與這些CVE相關的漏洞的企業需要加快在漏洞數據、威脅情報、事件響應和安全運營數據方面的工作。
上圖:2021年第三季度勒索軟件指數聚焦報告為企業提供了CVE的熱門列表,以評估其風險級別。(圖片來源:Ivanti)
結論
由于勒索軟件攻擊者更快地將新技術應用到他們的武器庫中并發起攻擊,攻防的平衡正在向勒索軟件攻擊者傾斜。因此,如果企業想要及時阻止勒索軟件攻擊,就需要更加緊迫地對威脅情報、補丁管理以及最重要的零信任安全進行標準化。
