根據(jù)這份最新報(bào)告,2020年針對醫(yī)療、制造業(yè)和能源行業(yè)發(fā)起的網(wǎng)絡(luò)攻擊與2019年相比翻了一番,威脅源選擇的目標(biāo)都是一旦停工就有可能導(dǎo)致醫(yī)療服務(wù)或關(guān)鍵供應(yīng)鏈中斷的關(guān)鍵組織。在2020年,制造業(yè)和能源行業(yè)成為了重點(diǎn)攻擊對象,僅次于金融和保險(xiǎn)業(yè)。由于工業(yè)控制系統(tǒng)(ICS)中的漏洞增加了近50%,而制造業(yè)和能源行業(yè)都十分依賴ICS,所以,攻擊者就利用這些漏洞發(fā)起攻擊。
IBMSecurityX-Force全球威脅情報(bào)負(fù)責(zé)人NickRossmann表示:“從本質(zhì)來看,此次疫情重塑了當(dāng)下的關(guān)鍵基礎(chǔ)設(shè)施,而攻擊者注意到了這一點(diǎn)。為了抗擊疫情,許多企業(yè)首次走上前線,支持新冠肺炎疫情相關(guān)研究、維護(hù)疫苗和食物供應(yīng)鏈、生產(chǎn)個(gè)人防護(hù)裝備等。隨著新冠肺炎疫情的不斷發(fā)展,攻擊者也在不斷進(jìn)行受害者研究并隨之改變攻擊策略,這也再次反映了網(wǎng)絡(luò)攻擊者的適應(yīng)性、機(jī)智性和持久性。”
IBM對130多個(gè)國家/地區(qū)每天發(fā)生的超過1500億起安全事件進(jìn)行了監(jiān)控,并根據(jù)通過監(jiān)控獲得的洞察和觀察結(jié)果發(fā)布了X-Force威脅情報(bào)指數(shù)報(bào)告。此外,IBM從內(nèi)部的多個(gè)來源收集了相關(guān)數(shù)據(jù),并對這些數(shù)據(jù)進(jìn)行了分析。相關(guān)數(shù)據(jù)來源包括IBMSecurityX-Force威脅情報(bào)與應(yīng)急事件響應(yīng)、X-ForceRed、IBMManagedSecurityServices,以及Quad9和Intezer提供的數(shù)據(jù)——在此次發(fā)布的報(bào)告中,后兩個(gè)來源的數(shù)據(jù)已經(jīng)體現(xiàn)。
2021年IBMX-Force威脅情報(bào)指數(shù)報(bào)告的重點(diǎn)包括:
網(wǎng)絡(luò)罪犯分子加速使用Linux惡意軟件——根據(jù)Intezer提供的數(shù)據(jù),在過去一年中,Linux相關(guān)惡意軟件系列產(chǎn)品增加了40%;2020年的前六個(gè)月,Go編寫的惡意軟件增加了500%,攻擊者正在加快利用Linux惡意軟件,這種惡意軟件可以更輕易地在各種平臺(tái)上(包括云環(huán)境)運(yùn)行。
疫情導(dǎo)致知名品牌遭仿冒——在過去一年中,多地提倡保持社交距離和遠(yuǎn)程工作,因此,提供谷歌、Dropbox和微軟等協(xié)作工具的品牌,或亞馬遜和PayPal等在線購物品牌都成為在2020年最常被仿冒的品牌。YouTube和Facebook成為去年消費(fèi)者獲取新聞的主要途徑,所以,二者也成為了最常被仿冒的品牌。令人意外的是,2020年第七大最常被仿冒的品牌竟然是阿迪達(dá)斯,這是阿迪達(dá)斯首次進(jìn)入最常被仿冒的品牌之列,主要原因可能是人們對Yeezy和Superstar運(yùn)動(dòng)鞋系列的需求大增。
勒索軟件集團(tuán)從盈利的商業(yè)模式中獲利——2020年,在X-Force應(yīng)對的各種攻擊中,近四分之一的攻擊來自勒索軟件,該種攻擊可演變?yōu)榘p重勒索戰(zhàn)術(shù)的攻擊。X-Force利用該模型進(jìn)行了評估,發(fā)現(xiàn)在2020年最受關(guān)注的勒索軟件集團(tuán)Sodinokibi在當(dāng)年獲利頗豐。X-Force在該報(bào)告中估計(jì),該企業(yè)在過去一年里的保守收益估值超過1.23億美元,大約三分之二的受害者支付了贖金。
對開源惡意軟件的投資使云環(huán)境慘遭威脅
在新冠肺炎疫情期間,許多企業(yè)都試圖加快采用云技術(shù)。“事實(shí)上,Gartner近期進(jìn)行的一項(xiàng)調(diào)查顯示,新冠肺炎疫情造成業(yè)務(wù)中斷之后,如今采用云服務(wù)的企業(yè)之中的近70%計(jì)劃增加在云技術(shù)方面的支出。”但是,由于目前90%的云工作負(fù)載均由Linux支持,而X-Frand報(bào)告表明,過去十年中與Linux相關(guān)的惡意軟件系列增加了500%,因此,云環(huán)境可能成為威脅源的主要攻擊媒介。
隨著開源惡意軟件的增加,IBM通過評估發(fā)現(xiàn),攻擊者可能正在尋找提高利潤率的方法,即他們可能會(huì)通過降低成本、提高效率、創(chuàng)造機(jī)會(huì)來發(fā)起收益更高的攻擊。該報(bào)告強(qiáng)調(diào),多家威脅組織(如APT28、APT29和Carbanak)均轉(zhuǎn)向開源惡意軟件,這表明該趨勢會(huì)導(dǎo)致新一年出現(xiàn)更多云環(huán)境攻擊。
報(bào)告還指出,攻擊者正在利用云環(huán)境提供的可擴(kuò)展處理能力,將大量云使用費(fèi)用轉(zhuǎn)嫁給受害企業(yè)。Intezer在2020年觀察到,超過13%的Linux加密挖掘惡意軟件中出現(xiàn)了從未被發(fā)現(xiàn)過的新代碼。
由于攻擊者的目標(biāo)鎖定在云上,所以,X-Force建議企業(yè)應(yīng)該考慮針對其安全策略采用零信任方法。企業(yè)還應(yīng)將保密計(jì)算作為其安全基礎(chǔ)設(shè)施的核心組件,以幫助保護(hù)最敏感的數(shù)據(jù)。通過對使用中的數(shù)據(jù)進(jìn)行加密,企業(yè)可以減少惡意攻擊者可利用的漏洞,確保即使他們能夠訪問企業(yè)的敏感環(huán)境,也會(huì)一無所獲。
偽裝成知名品牌的網(wǎng)絡(luò)罪犯
2021年IBMX-Force威脅情報(bào)指數(shù)報(bào)告強(qiáng)調(diào),網(wǎng)絡(luò)犯罪分子大多選擇將自己偽裝成消費(fèi)者信任的品牌。作為世界上最具影響力的品牌之一,阿迪達(dá)斯似乎對于網(wǎng)絡(luò)犯罪分子具有很強(qiáng)的吸引力。這些網(wǎng)絡(luò)犯罪分子試圖利用消費(fèi)者的需求心理,引誘那些尋找心儀運(yùn)動(dòng)鞋的人進(jìn)入貌似合法網(wǎng)站的惡意網(wǎng)站。一旦用戶訪問了貌似合法的域名,網(wǎng)絡(luò)犯罪分子就會(huì)試圖開展在線支付詐騙、竊取用戶的財(cái)務(wù)信息、獲取用戶憑據(jù)或通過惡意軟件使受害者的設(shè)備中毒。
報(bào)告指出,假冒阿迪達(dá)斯的大部分欺騙行為都與Yeezy和Superstar運(yùn)動(dòng)鞋系列相關(guān)。據(jù)報(bào)道,僅Yeezy系列運(yùn)動(dòng)鞋在2019年就為阿迪達(dá)斯實(shí)現(xiàn)了13億美元的收入,該系列是運(yùn)動(dòng)服飾生產(chǎn)商阿迪達(dá)斯最暢銷的運(yùn)動(dòng)鞋系列之一。阿迪達(dá)斯將在年初推出新款運(yùn)動(dòng)鞋,而攻擊者很有可能會(huì)利用暢銷品牌的購買需求謀得私利。
勒索軟件是2020年最常見的攻擊形式
根據(jù)2021年IBMX-Force威脅情報(bào)指數(shù)報(bào)告,與2019年相比,2020年全球遭遇的勒索軟件攻擊數(shù)量有所增長。在X-Force應(yīng)對的勒索軟件攻擊中,近60%采用了雙重勒索策略,即攻擊者加密并竊取數(shù)據(jù)。如果受害者不支付勒索金,攻擊者就會(huì)發(fā)出泄露數(shù)據(jù)等威脅。事實(shí)上,2020年,在X-Force追蹤的數(shù)據(jù)泄露案例中,36%源于勒索軟件攻擊,這些攻擊同時(shí)還涉嫌數(shù)據(jù)盜竊,表明數(shù)據(jù)泄露和勒索軟件攻擊開始發(fā)生沖撞。
據(jù)報(bào)道,2020年最活躍的勒索軟件集團(tuán)是Sodinokibi(也稱為REvil),該企業(yè)主導(dǎo)的勒索軟件攻擊占X-Force觀察到的所有勒索軟件事件的22%。X-Force估計(jì),Sodinokibi從受害者那里竊取了大約21.6TB的數(shù)據(jù),將近三分之二的Sodinokibi受害者支付了贖金,大約43%受害者的數(shù)據(jù)被泄露——X-Force估計(jì),該公司在過去一年通過勒索攻擊獲利1.23億美元。
該報(bào)告發(fā)現(xiàn),2020年那些最成功的勒索軟件集團(tuán)也和Sodinokibi一樣專注于竊取和泄露數(shù)據(jù)、成立勒索軟件即服務(wù)團(tuán)伙,并將其業(yè)務(wù)的關(guān)鍵部分外包給專注于攻擊不同方面的網(wǎng)絡(luò)犯罪分子。針對這些更具攻擊性的勒索軟件攻擊,X-Force建議企業(yè)限制對敏感數(shù)據(jù)的訪問權(quán)限,使用特權(quán)訪問管理(PAM)和身份與訪問管理(IAM)保護(hù)高級特權(quán)帳戶。
該報(bào)告中的其他關(guān)鍵發(fā)現(xiàn)包括:
漏洞超過網(wǎng)絡(luò)釣魚,成為最常見的感染媒介——2021年的報(bào)告顯示,去年,掃描和漏洞利用(35%)是訪問受害者環(huán)境最常見的方式,多年來首次超過網(wǎng)絡(luò)釣魚(31%)。
2020年的網(wǎng)絡(luò)攻擊使歐洲遍體鱗傷——根據(jù)該報(bào)告,在X-Force在2020年應(yīng)對的攻擊中,歐洲遭受的攻擊占31%,高于其他任何地區(qū),其中,勒索軟件是罪魁禍?zhǔn)住4送猓瑲W洲遭受的內(nèi)部威脅攻擊也多于其他任何地區(qū),其數(shù)量是北美和亞洲總和的兩倍。
2021年IBMX-Force威脅情報(bào)指數(shù)報(bào)告使用了IBM在2020年收集的數(shù)據(jù),提供了關(guān)于全球威脅領(lǐng)域的深層洞察,告知了安全專家與他們的企業(yè)最相關(guān)的威脅。
