2022年威脅行情：勒索軟件仍在重創許多公司

勒索軟件領域在數量方面并沒有發生變化，但SecureWorks的研究人員報告，2022年5月和6月的事件響應活動表明，勒索軟件攻擊的成功率有所下降。不過，現在下結論還為時過早。幾個原因可以解釋成功的勒索軟件攻擊減少的原因，尤其是烏克蘭戰爭對勒索軟件威脅分子帶來的破壞性影響、旨在給勒索軟件運營團伙帶來阻力的經濟制裁以及Gold Ulrick的Conti勒索軟件即服務活動銷聲匿跡。

2022年勒索軟件趨勢

研究人員還想知道是否出現了一種新趨勢，包括攻擊數量更多的小組織而不是攻擊大公司，因為這可能是網絡犯罪分子減小執法部門打擊力度的一種方式。

另一方面，網絡防御者看到成功防御勒索軟件的機會窗口縮小了。這個窗口是指最初的入侵到部署勒索軟件和加密數據這段時間。2022年，窗口的中位數長度為4.5天，相比之下2021年為5天；2021年的平均逗留時間為22天，而2022年為11天。這意味著勒索軟件運營團伙在管理時間方面更高效了，而且在受攻擊系統上逗留的時間比以前少。

針對這些攻擊的最有效的措施當然是，在任何額外的攻擊載荷被部署以及在攻擊者發起橫向移動操作之前防止或檢測初始攻擊。

毫無疑問，最初的主要攻擊途徑是利用遠程服務和濫用憑據（圖A）。

圖A. 勒索軟件攻擊的初始訪問途徑，2021年6月至2022年6月（來源：SecureWorks）

勒索軟件運營團伙還越來越多地使用以Rust或Go編程語言開發的跨平臺惡意軟件，這使他們得以在多個不同平臺上編譯惡意軟件，無需更改代碼。

“黑客和泄露”攻擊仍然是一大威脅

一些網絡犯罪團伙已決定不使用勒索軟件。相反，他們在索要贖金之前破壞系統并竊取敏感信息。如果受害者不付款，就公開泄露數據。

使用這種攻擊的團伙常常通過面向互聯網的VPN服務來攻擊系統，他們可能利用其漏洞，或者使用安全性弱或被盜的憑據。一旦進入系統，他們常常使用操作系統的原生工具來完成其任務，這使得他們更難被發現。

最大的初始攻擊途徑：利用遠程服務

據SecureWorks的數據顯示，利用面向互聯網的系統（無論是設備、服務器還是服務）上的漏洞已成為2021年最常見的初始訪問途徑（IAV）。威脅分子往往使用任何可能幫助他們破壞系統的漏洞，而防御者在打補丁方面往往動作偏晚。

最危險的漏洞是那些允許在沒有任何身份驗證的情況下遠程執行代碼的漏洞。

研究人員還特別指出，從防御的角度來看，嘗試檢測漏洞而不是檢測漏洞利用工具更值得關注，因為后者有時可以被修改，可能逃避檢測。

信息竊取程序和加載程序惡意軟件

Emotet死灰復燃表明了一些網絡犯罪團伙如何陰魂不散，即使執法部門端掉了他們的基礎設施。Emotet是一種加載程序惡意軟件，能夠在系統中植入另外的惡意軟件。

加載程序是在感染初期階段所使用的軟件，用于安裝其他惡意軟件，這些惡意軟件常常是勒索軟件或信息竊取程序。Bumblebee就是一個例子，這種迅猛發展的威脅用于投放Cobalt Strike和Metasploit攻擊載荷，甚至是新的Sliver框架攻擊載荷，但外面有幾種高效的加載程序。

信息竊取程序惡意軟件通常用于收集有效憑據，然后在Genesis Market、Russian Market或2easy之類的網絡犯罪地下市場上出售這些憑據。

Genesis市場自2018年以來一直很活躍，并出售訪問受害者計算機的權限，這可能導致憑據被盜。列出了每個訪問權限以及機器上可用的憑據，自定義機器人軟件讓網絡犯罪分子可以克隆受害者的瀏覽器（圖 B）。

圖B. Genesis市場上的受攻擊機器列表（來源：SecureWorks）

據研究人員聲稱，目前主要的信息竊取程序惡意軟件系列是RedLine、Vidar、Raccoon、Taurus和AZORult。

路過式下載仍不可忽視

路過式下載是一種用于讓毫無戒心的用戶通過訪問受感染或欺詐性網站來下載惡意軟件的手段。

比如說，威脅團伙Gold Zodiac大量使用搜索引擎優化（SEO）投毒方法，使用多層公共博文和受感染的WordPress網站，將感染性鏈接放在谷歌的搜索引擎結果之上。一旦用戶訪問了其中一個，就會被誘騙下載GootLoader，這反過來導致下載Cobalt Strike攻擊載荷以投放勒索軟件。

商業電子郵件入侵

2022年，商業電子郵件泄露（BEC）仍然與勒索軟件一道是主要威脅。聯邦調查局（FBI）報告，2021年由此造成的損失高達24億美元。

SecureWorks的分析顯示，與2021年同期相比，2022年上半年BEC同比增加27%，事件仍使用完全相同的簡單但有效的手段。

攻擊者最常用的方法是通過冒充公司經理或主管，并使用不同的社會工程伎倆，企圖讓被盯上的公司向他們擁有的銀行賬戶進行電匯。攻擊者通常會入侵公司的電子郵件帳戶，好讓他們的郵件看起來更合法。

網絡間諜活動悄然地繼續

敵國政府撐腰的網絡間諜活動一直在進行，在2022年沒有帶來太多的新手法，因為攻擊者可能不需要非常高超的水平就能得逞。

亞洲的威脅分子主要使用PlugX和ShadowPad作為主要的惡意軟件，常常使用DLL側載來安裝和執行其惡意軟件。

除了攻擊國內外的不同政見者外，伊朗還不斷攻擊以色列及其他中東國家。2021年和2022年，一些威脅分子與伊朗政府之間的聯系也越來越緊密。從技術角度來看，大多數伊朗攻擊者使用DNS隧道作為一種規避手段。一些攻擊者則部署了勒索軟件，但它可能用于破壞而不是牟取任何經濟利益。

俄羅斯的網絡間諜能力沒有太大變化，依然針對西方，尤其是針對北約聯盟。據SecureWorks聲稱，雖然自俄烏戰爭開始以來，預計俄羅斯方面具備先進的破壞能力，但所做的嘗試并未對沖突產生太大影響。然而，烏克蘭國家計算機應急響應小組CERT-UA的報告顯示，俄羅斯人有條不紊地攻擊烏克蘭目標。

朝鮮的威脅分子仍然專注于攻擊金融領域，尤其是加密貨幣。2022年3月，臭名昭著的Lazaru威脅團伙闖入了基于以太坊的加密貨幣錢包Ronin的一些驗證器節點，設法竊取了逾5.4億美元。

繞過多因素身份驗證（MFA）

幾個威脅團伙已成功入侵了尚未使用多因素身份驗證（MFA）的帳戶，還添加了各自的設備，因此如果MFA被激活，它將被繞過。

另一種仍然廣泛使用的手段是“提示轟炸”手段，即攻擊者通過生成眾多MFA提示的重復登錄嘗試，最終讓目標不堪重負。攻擊者希望用戶分心或憤怒到足以接受其中一個登錄嘗試。

攻擊者還可能使用社會工程伎倆繞過MFA，為此打電話給用戶，并使用各種策略讓用戶證實目標服務上的身份驗證。

其他方法可能是使用采用透明反向代理的網絡釣魚工具包，以便實時收集憑據和會話 cookie，并繞過MFA。