IBM Security：助力抗擊新冠肺炎疫情的多個行業遭網絡攻擊

近日，IBM Security發布了2021年IBM X-Force威脅情報指數報告，重點闡述了網絡攻擊在2020年經歷的演變。這一年，新冠肺炎疫情帶來了前所未有的社會經濟、商業和政治挑戰，而眾多威脅源都試圖從中獲利，IBM Security X-Force觀察到：攻擊者在世界各地助力抗擊新冠肺炎疫情的關鍵企業作為攻擊對象，包括醫院、醫藥產品生產商、以及為抗擊新冠肺炎疫情供應鏈提供電力的能源公司。

根據這份最新報告，2020年針對醫療、制造業和能源行業發起的網絡攻擊與2019年相比翻了一番，威脅源選擇的目標都是一旦停工就有可能導致醫療服務或關鍵供應鏈中斷的關鍵組織。在2020年，制造業和能源行業成為了重點攻擊對象，僅次于金融和保險業。由于工業控制系統 (ICS) 中的漏洞增加了近50%，而制造業和能源行業都十分依賴ICS，所以，攻擊者就利用這些漏洞發起攻擊。

IBM Security X-Force全球威脅情報負責人Nick Rossmann表示：“從本質來看，此次疫情重塑了當下的關鍵基礎設施，而攻擊者注意到了這一點。為了抗擊疫情，許多企業首次走上前線，支持新冠肺炎疫情相關研究、維護疫苗和食物供應鏈、生產個人防護裝備等。隨著新冠肺炎疫情的不斷發展，攻擊者也在不斷進行受害者研究并隨之改變攻擊策略，這也再次反映了網絡攻擊者的適應性、機智性和持久性。”

IBM對130多個國家/地區每天發生的超過1500億起安全事件進行了監控，并根據通過監控獲得的洞察和觀察結果發布了X-Force威脅情報指數報告。此外，IBM從內部的多個來源收集了相關數據，并對這些數據進行了分析。相關數據來源包括IBM Security X-Force威脅情報與應急事件響應、X-Force Red、IBM Managed Security Services，以及Quad9和Intezer提供的數據——在此次發布的報告中，后兩個來源的數據已經體現。

2021年IBM X-Force威脅情報指數報告的重點包括：

? 網絡罪犯分子加速使用Linux惡意軟件——根據Intezer提供的數據，在過去一年中，Linux相關惡意軟件系列產品增加了40%；2020年的前六個月，Go編寫的惡意軟件增加了500%，攻擊者正在加快利用Linux惡意軟件，這種惡意軟件可以更輕易地在各種平臺上（包括云環境）運行。

? 疫情導致知名品牌遭仿冒——在過去一年中，多地提倡保持社交距離和遠程工作，因此，提供谷歌、Dropbox和微軟等協作工具的品牌，或亞馬遜和PayPal等在線購物品牌都成為在2020年最常被仿冒的品牌。YouTube和Facebook成為去年消費者獲取新聞的主要途徑，所以，二者也成為了最常被仿冒的品牌。令人意外的是，2020年第七大最常被仿冒的品牌竟然是阿迪達斯，這是阿迪達斯首次進入最常被仿冒的品牌之列，主要原因可能是人們對Yeezy和Superstar運動鞋系列的需求大增。

? 勒索軟件集團從盈利的商業模式中獲利——2020年，在X-Force應對的各種攻擊中，近四分之一的攻擊來自勒索軟件，該種攻擊可演變為包含雙重勒索戰術的攻擊。X-Force利用該模型進行了評估，發現在2020年最受關注的勒索軟件集團Sodinokibi在當年獲利頗豐。X-Force在該報告中估計，該企業在過去一年里的保守收益估值超過1.23億美元，大約三分之二的受害者支付了贖金。

對開源惡意軟件的投資使云環境慘遭威脅

在新冠肺炎疫情期間，許多企業都試圖加快采用云技術。“事實上，Gartner近期進行的一項調查顯示，新冠肺炎疫情造成業務中斷之后，如今采用云服務的企業之中的近70%計劃增加在云技術方面的支出。”但是，由于目前90%的云工作負載均由Linux支持，而X-Frand報告表明，過去十年中與Linux相關的惡意軟件系列增加了500%，因此，云環境可能成為威脅源的主要攻擊媒介。

隨著開源惡意軟件的增加，IBM通過評估發現，攻擊者可能正在尋找提高利潤率的方法，即他們可能會通過降低成本、提高效率、創造機會來發起收益更高的攻擊。該報告強調，多家威脅組織（如APT28、APT29和Carbanak）均轉向開源惡意軟件，這表明該趨勢會導致新一年出現更多云環境攻擊。

報告還指出，攻擊者正在利用云環境提供的可擴展處理能力，將大量云使用費用轉嫁給受害企業。Intezer在2020年觀察到，超過13%的Linux加密挖掘惡意軟件中出現了從未被發現過的新代碼。

由于攻擊者的目標鎖定在云上，所以，X-Force建議企業應該考慮針對其安全策略采用零信任方法。企業還應將保密計算作為其安全基礎設施的核心組件，以幫助保護最敏感的數據。通過對使用中的數據進行加密，企業可以減少惡意攻擊者可利用的漏洞，確保即使他們能夠訪問企業的敏感環境，也會一無所獲。

偽裝成知名品牌的網絡罪犯

2021年IBM X-Force威脅情報指數報告強調，網絡犯罪分子大多選擇將自己偽裝成消費者信任的品牌。作為世界上最具影響力的品牌之一，阿迪達斯似乎對于網絡犯罪分子具有很強的吸引力。這些網絡犯罪分子試圖利用消費者的需求心理，引誘那些尋找心儀運動鞋的人進入貌似合法網站的惡意網站。一旦用戶訪問了貌似合法的域名，網絡犯罪分子就會試圖開展在線支付詐騙、竊取用戶的財務信息、獲取用戶憑據或通過惡意軟件使受害者的設備中毒。

報告指出，假冒阿迪達斯的大部分欺騙行為都與Yeezy和Superstar運動鞋系列相關。據報道，僅Yeezy系列運動鞋在2019年就為阿迪達斯實現了13億美元的收入，該系列是運動服飾生產商阿迪達斯最暢銷的運動鞋系列之一。阿迪達斯將在年初推出新款運動鞋，而攻擊者很有可能會利用暢銷品牌的購買需求謀得私利。

勒索軟件是2020年最常見的攻擊形式

根據2021年IBM X-Force威脅情報指數報告，與2019年相比，2020年全球遭遇的勒索軟件攻擊數量有所增長。在X-Force應對的勒索軟件攻擊中，近60%采用了雙重勒索策略，即攻擊者加密并竊取數據。如果受害者不支付勒索金，攻擊者就會發出泄露數據等威脅。事實上，2020年，在X-Force追蹤的數據泄露案例中，36%源于勒索軟件攻擊，這些攻擊同時還涉嫌數據盜竊，表明數據泄露和勒索軟件攻擊開始發生沖撞。

據報道，2020年最活躍的勒索軟件集團是Sodinokibi（也稱為 REvil），該企業主導的勒索軟件攻擊占X-Force觀察到的所有勒索軟件事件的 22%。X-Force估計，Sodinokibi從受害者那里竊取了大約21.6TB的數據，將近三分之二的Sodinokibi受害者支付了贖金，大約43%受害者的數據被泄露——X-Force估計，該公司在過去一年通過勒索攻擊獲利1.23億美元。

該報告發現，2020年那些最成功的勒索軟件集團也和Sodinokibi一樣專注于竊取和泄露數據、成立勒索軟件即服務團伙，并將其業務的關鍵部分外包給專注于攻擊不同方面的網絡犯罪分子。針對這些更具攻擊性的勒索軟件攻擊，X-Force建議企業限制對敏感數據的訪問權限，使用特權訪問管理 (PAM) 和身份與訪問管理 (IAM) 保護高級特權帳戶。

該報告中的其他關鍵發現包括：

? 漏洞超過網絡釣魚，成為最常見的感染媒介——2021年的報告顯示，去年，掃描和漏洞利用 (35%) 是訪問受害者環境最常見的方式，多年來首次超過網絡釣魚 (31%)。

? 2020年的網絡攻擊使歐洲遍體鱗傷——根據該報告，在X-Force在2020年應對的攻擊中，歐洲遭受的攻擊占31%，高于其他任何地區，其中，勒索軟件是罪魁禍首。此外，歐洲遭受的內部威脅攻擊也多于其他任何地區，其數量是北美和亞洲總和的兩倍。

2021年IBM X-Force威脅情報指數報告使用了IBM在2020年收集的數據，提供了關于全球威脅領域的深層洞察，告知了安全專家與他們的企業最相關的威脅。