勒索软件报告:288个未修补的漏洞仍是最主要攻击载体

首页 / 业界 / 报告 /  正文
发布于:2022-02-08
近日,为从云端到边缘 IT 资产提供检测、管理、保护和服务的自动化平台提供商 Ivanti 发布了 2021 年《勒索软件指数聚焦年终报告》。该报告由 Ivanti 与 认证编号机构(CNA)Cyber Security Works 和 Cyware(下一代 SOAR 和威胁情报解决方案 Cyber Fusion 供应商)共同完成。报告显示,2021 年勒索软件种类新增 32 个,总数达到 157 个,比上一年增加了26%。



报告显示,与 2020 年相比,2021 年与勒索软件相关的通用漏洞披露(CVE)增加了29%,而勒索软件种类增加了26%。
 
报告指出,这些勒索软件集团在短时间内将零日漏洞武器化并针对未修补的漏洞进行破坏性攻击。同时,他们还会扩大攻击范围,寻找新的方式来破坏企业网络,肆无忌惮地发起影响恶劣的攻击。
 
《勒索软件指数聚焦年终报告》中的一些主要观察结果和趋势如下:
 
未修补的漏洞依然是勒索软件集团利用的最主要攻击载体。该分析发现去年有 65 个新漏洞与勒索软件相关,与前一年相比增长了29%,使勒索软件相关的漏洞总数达到了 288 个。 令人担忧的是,这些新增的漏洞中,有三分之一(37%)正在暗网上流传并被多次反复利用。此外,在 2021 年之前发现的 223 个旧漏洞中,有56%仍在被勒索软件集团频繁利用。 因此,企业必须优先重视并修补勒索软件集团所针对和利用的漏洞,无论是新发现的还是较早的。
 
勒索软件集团会持续寻找和利用零日漏洞,甚至会抢在CVE被添加到国家漏洞数据库和补丁发布之前。 QNAP(CVE-2021-28799)、Sonic Wall(CVE-2021-20016)、Kaseya(CVE-2021-30116)和最近的 Apache Log4j(CVE-2021-44228)漏洞都在录入国家漏洞数据库(NVD)之前就已被勒索软件集团利用。这种危险的趋势强调了一点,供应商必须更迅速地披露漏洞以及根据优先程度发布补丁。更重要的是,除了 NVD 之外,企业还应该关注漏洞趋势、利用实例、供应商公告和安全机构警报,以及确定漏洞的修补优先次序。
 
勒索软件集团越来越频繁地攻击供应链网络,以期造成重大损失和大规模混乱。单个供应链受破坏可以为威胁者打开多个途径,导致整个系统和数百个受害者网络受到劫持。去年,威胁者就曾通过第三方应用程序、供应商特定产品和开源库入侵过供应链网络。例如,REvil 集团针对 Kaseya VSA 远程管理服务的 CVE-2021-30116 漏洞,发布了一个恶意更新包,导致所有使用 VSA 平台的本地和远程版本的客户都受到了危害。
 
勒索软件集团之间互相分享服务变得越来越普遍,就像合法的 SaaS 产品一样。“勒索软件即服务”成为了一种商业模式,勒索软件开发者向其他恶意行为者提供服务、变种、工具包或代码,以换取报酬。“漏洞即服务”则允许威胁者向开发者租用零日漏洞。此外,“植入即服务”允许新手威胁者通过程序散播恶意软件,这些程序可在运行时在受害者的计算机上执行恶意载荷。 而“木马即服务”,也称为“恶意软件即服务”,可使任何联网的人都能获得并部署定制的云端恶意软件,且无需安装。
 
157 个勒索软件类型,288 个可利用漏洞,意味着勒索软件集团完全有可能在未来几年肆意发动攻击。根据 Coveware 的数据,遭受勒索软件攻击的企业平均要支付 220,298 美元,并承受 23 天的停机时间,这一项数据也提醒企业要更加重视网络安全。
 
Ivanti 安全产品高级副总裁 Srinivas Mukkamala 表示:“勒索软件集团正变得越来越狡猾,其攻击的影响力也越来越大。 这些威胁者越来越多的借助自动化工具包来利用漏洞,并深入到被攻击的网络中。同时, 他们还扩大了目标面,对关键部门发起更多攻击,扰乱日常生活,造成前所未有的破坏。 企业需要格外警惕,第一时间修补武器化漏洞。 ”
 
Cyware 公司首席执行官 Anuj Goel 说:“我们观察到的勒索软件领域的一个根本变化是,攻击者正在企图渗入补丁部署等流程,就像他们企图通过安全保护的漏洞来渗入系统一样。漏洞发现后必须要跟进行动,把漏洞数据作为情报来处理,以推动快速响应决策。勒索软件集团正在把他们的工具、方法和目标清单程序化,安全运维团队也必须实现流程自动化,自我修复易受攻击的资产和系统,通过实时情报的程序化操作来降低风险。”
 
Cyber Security Works 首席执行官 Aaron Sandeen 也说道:“勒索软件对每个行业的客户和员工都会造成严重破坏!2022 年将出现更多的新漏洞、利用方式、APT 团体、勒索软件类型、CWE 类别,以及利用旧漏洞来攻击企业的情况。行业领导者需要创新性和预见性的协助,以确定勒索软件威胁的优先处理次序并加以补救。”
 
《勒索软件指数聚焦报告》采用的数据收集自多种来源,包括 Ivanti 和 CSW 的专有数据、公开访问的威胁数据库以及威胁研究人员和渗透测试团队。