该报告指出,勒索软件仍然是最常见的恶意软件,其份额比2020年第四季度增加了7个百分点,现在占所有恶意软件的63%。
报告称:“勒索软件仍然是攻击者最常使用的恶意软件。在第一季度,攻击者们要求近乎天文数字的赎金,并且不断提升他们自己的攻击能力,包括使用新的方法来躲避安全工具。”据披露,这些新的方法包括使用不受欢迎的编程语言,如Nim、D和Golang。
电子邮件仍然是主要的攻击媒介,因为在针对组织的恶意软件攻击中,10个恶意软件中有6个使用了这一媒介。从数据上看,个人用户仍经常受到其他方式的攻击,包括银行木马、间谍软件和提供远程访问设备的恶意软件等。
2021 年第一季度使用的五个最活跃的勒索软件是:REvil、Clop、Conti (Ryuk)、Babuk Locker以及DoppelPaymer。
对于经常看到勒索软件攻击事件相关新闻的读者来说,几乎没有不知道REvil的,在这份报告中,也着重强调了这个不可忽视的勒索软件组织。
在2021年第一季度,REvil的运营者打破了截至当时的赎金索取的记录。在攻击宏碁(Acer)之后,他们要求索取5000万美元的数据,而在加密了泛亚零售连锁乳品农场集团(Dairy Farm Group)的网络之后,他们则要求受害者支付3000万美元的赎金以换取一个解密密钥和不披露其被盗数据。
如此庞大的赎金数额是基于“要求更多,得到更多”的策略,这一点在零售商FatFace的事件中被证明了是成功的。1月初,Conti (Ryuk)的运营者通过网络钓鱼攻击侵入了该公司的网络,经过7天的潜伏,他们提取了200GB的数据,并开始了加密过程。在后期的索取赎金的过程中,攻击者一开始索要800万美元,不过在谈判期间,数额减少到200万美元,结果是双方对这一数额都感到满意。
由于一些公司拒绝支付赎金,勒索软件组织不得已开发出新的策略——如果公司拒绝付款,攻击者就会威胁要向其客户报告攻击和数据泄露情况。攻击者希望通过那些客户去说服公司支付赎金以防止其数据泄露。
REvil在今年以来还和不少大事件有关,如攻击肉类供应商 JBS Foods 和 在美国独立日假期期间攻击IT 软件公司 Kaseya而闻名,不过最近一些报道显示,该团伙似乎已经下线。
虽然 REvil 在今年第一季度的勒索软件事件中名列前茅,但该报告指出,第一季度还有一些现象值得关注,那就是出现了几种新的勒索软件——例如 Cring、Humble 和 Vovalex。
该报告的其他一些值得关注的内容:
1、与2020年第一季度相比,攻击次数增加了17%;与2020年第4季度相比,增加了1.2%,其中77%是有针对性的攻击。涉及个人的事件占总数的12%。
2、2021年一季度最受攻击者钟爱的漏洞是Microsoft Exchange Server软件(ProxyLogon)和文件共享程序Accellion FTA中的漏洞。攻击者利用在SonicWall VPN解决方案中发现的0day漏洞不仅对公司发起了攻击,同时还对其客户发起攻击,之所以会这样,同SonicWall可能没有及时通知其客户已识别的漏洞或需要实施保护措施有关。由此事件也可以看出,软件制造商应将其现存或最新发现的漏洞及时通知给客户,并且提供在补丁发布之前保护自己的方法。
3、越来越多的网络犯罪分子正在开发恶意软件来对虚拟化环境进行攻击,一些人正积极尝试利用软件中已经发现的漏洞来部署虚拟基础设施。
4、针对IT公司的攻击数量连续第二个季度保持高位。在2021年第一季度的15%的案例中,攻击者以IT公司为目标,并对其客户进行攻击或窃取客户数据。在2021年初,媒体上仍有关于受SolarWinds被攻击事件影响的新受害者的报道。
5、电信公司受到攻击的可能性是 2020 年第四季度的两倍。在 71% 的攻击中黑客的目的是获取数据,对5G技术尤其感兴趣。10起攻击中有9起使用恶意软件发起的,这之中最常见的是RAT,占所有攻击的55%。
对于该报告的内容,Positive Technologies总结道:“鉴于上个季度的攻击细节,强烈建议大家要及时安装安全更新,并特别注意保护虚拟基础设施。一方面通过使用现代安全工具,例如web应用程序防火墙来保护web资源,加强边界防护;同时为了防止恶意软件感染,建议使用沙箱来分析虚拟环境中的文件行为,并检测恶意活动。”