Secureworks年度威脅報告分析顯示,勒索軟體中位停留時間在一年內從4.5天急降至不到24小時
亞特蘭大, 2023年10月5日 — Secureworks®(納斯達克股票代碼:SCWX)反威脅單元(CTU
)表示,在超過50%的勒索軟體事件中,勒索軟體都是在最初獲取訪問權限後的24小時內部署的。僅僅12個月,Secureworks年度威脅報告中確定的中位停留時間就從4.5天急劇下降至不到1天。在10%的案例中,勒索軟體甚至在最初獲取訪問權限後的5小時內就已部署。
“中位停留時間大幅縮短的驅動因素可能是網路犯罪分子減少被發現的願望。網路安全行業已經變得更善於檢測勒索軟體的前兆活動。因此,威脅行為者正在專注於更簡單、更快實施的操作,而不是大規模的、跨站點的企業範圍加密事件,後者複雜度要高得多。但那些攻擊的風險仍然很高,”Secureworks威脅情報副總裁Don Smith說。
“儘管有高調的打擊和制裁,網路犯罪分子是適應大師,所以威脅仍在加速,”Smith繼續說道。
年度威脅報告檢查了從2022年6月到2023年7月的網路安全狀況。主要發現包括:
- 雖然一些熟悉的名字,包括GOLD MYSTIC(LockBit)、GOLD BLAZER(BlackCat/ALPV)和GOLD TAHOE(Cl0p)仍然主導勒索軟體格局,但新組織正在出現,並在“羞辱和羞辱”洩露網站上列出大量受害者。過去四個月的報告期內是自2019年開始羞辱和羞辱攻擊以來受害者人數最多的時期。
- 在Secureworks事件響應人員參與的勒索軟體事件中觀察到的三大初始訪問向量(IAV)是:掃描並利用漏洞、盜用憑證以及通過釣魚電子郵件的商品惡意軟件。
- 2022年及更早的已知漏洞的利用仍在繼續,並佔據了報告期間被利用最多的漏洞的一半以上。
最活躍的勒索軟體組織
與2022年一樣,2023年仍然是同一些威脅組織佔據主導地位。GOLD MYSTIC 的LockBit仍然是王者,受害者人數是第二多的BlackCat(由GOLD BLAZER操作)的近三倍。
新的計劃也出現並發布了許多受害者。MalasLocker、8BASE和Akira(排名第14)都是從2023年第二季度開始產生影響力的新人。8BASE在其洩露網站上僅在2023年6月就列出了近40個受害者,數量與LockBit差不多。MalasLocker對Zimbra服務器的攻擊從2023年4月底開始,在5月導致其洩露網站上有171個受害者。報告檢查了洩露網站活動對勒索軟體攻擊成功率的實際揭示——並非表面看來那么簡單。
報告還顯示,從4月到7月2023年,每月在洩露網站上的受害者人數是自2019年開始羞辱和羞辱以來最多的。2023年5月的受害者人數創歷史新高,為600人,是2022年5月的三倍。
勒索軟體的最常見初始訪問向量
在Secureworks事件響應人員參與的勒索軟體事件中觀察到的三大初始訪問向量(IAV)是:掃描並利用漏洞(32%)、盜用憑證(32%)和通過釣魚電子郵件的商品惡意軟件(14%)。
掃描並利用漏洞涉及識別易受攻擊的系統,可能是通過像Shodan這樣的搜索引擎或漏洞掃描器,然後嘗試使用特定的漏洞加以利用。在12個最常被利用漏洞中,58%的CVE日期早於2022年。其中一個(CVE-2018-13379)也入選了2021年和2020年最常被利用的前15名。
“儘管ChatGPT和AI風格攻擊大受關注,但2023年至今最引人注目的兩起攻擊都是由於基礎設施未修補所致。歸根結底,網路犯罪分子正在從經驗法則獲利,所以組織必須專注於基本的網路衛生以保護自己,而不是陷入炒作,”Smith繼續說道。
國家級攻擊者的世界
報告還檢查了來自中國、俄羅斯、伊朗和北韓的國家資助威脅組織的重大活動和行為趨勢。地緣政治仍是各國資助的威脅組織的主要驅動力。
中國:
中國已將部分注意力轉向東歐,同時仍專注於台灣和其他鄰國。它在網路間諜活動中顯示出越來越強調隱蔽行動——與其以往的“搶劫”聲譽不同。使用Cobalt Strike等商業工具以及中國開源工具,最大限度地降低歸因風險,並與勒索軟件活動混淆。