IBM Security报告:助力抗击新冠肺炎疫情的多个行业惨遭网络攻击

勒索软件集团收益过亿;2020 年开源恶意软件增长 40%,预测仍不乐观;保持社交距离的“必备”工具导致知名品牌遭仿冒

中国北京,2021 年 2 月 25 日–IBM (NYSE: IBM) Security 今日发布了 2021 年 IBM X-Force 威胁情报指数报告,重点阐述了网络攻击在2020 年经历的演变。这一年,新冠肺炎疫情带来了前所未有的社会经济、商业和政治挑战,而众多威胁源都试图从中获利,IBM Security X-Force 观察到:攻击者在世界各地助力抗击新冠肺炎疫情的关键企业作为攻击对象,包括医院、医药产品生产商、以及为抗击新冠肺炎疫情供应链提供电力的能源公司。

根据这份最新报告,2020年针对医疗、制造业和能源行业发起的网络攻击与2019年相比翻了一番,威胁源选择的目标都是一旦停工就有可能导致医疗服务或关键供应链中断的关键组织。在 2020 年,制造业和能源行业成为了重点攻击对象,仅次于金融和保险业。由于工业控制系统 (ICS) 中的漏洞增加了近 50%,而制造业和能源行业都十分依赖 ICS,所以,攻击者就利用这些漏洞发起攻击。

IBM Security X-Force 全球威胁情报负责人 Nick Rossmann 表示:“从本质来看,此次疫情重塑了当下的关键基础设施,而攻击者注意到了这一点。为了抗击疫情,许多企业首次走上前线,支持新冠肺炎疫情相关研究、维护疫苗和食物供应链、生产个人防护装备等。随着新冠肺炎疫情的不断发展,攻击者也在不断进行受害者研究并随之改变攻击策略,这也再次反映了网络攻击者的适应性、机智性和持久性。”

我们对 130 多个国家/地区每天发生的超过 1,500 亿起安全事件进行了监控,并根据通过监控获得的洞察和观察结果发布了 X-Force 威胁情报指数报告。此外,我们从 IBM 内部的多个来源收集了相关数据,并对这些数据进行了分析。相关数据来源包括 IBM Security X-Force 威胁情报与应急事件响应、X-Force Red、IBM Managed Security Services,以及 Quad9 和 Intezer 提供的数据—— 在此次发布的报告中,后两个来源的数据已经体现。

2021 年 IBM X-Force 威胁情报指数报告的重点包括:

• 网络罪犯分子加速使用 Linux 恶意软件——根据 Intezer 提供的数据,在过去一年中,Linux 相关恶意软件系列产品增加了 40%;2020 年的前六个月,Go 编写的恶意软件增加了 500%,攻击者正在加快利用 Linux 恶意软件,这种恶意软件可以更轻易地在各种平台上(包括云环境)运行。

• 疫情导致知名品牌遭仿冒——在过去一年中,多地提倡保持社交距离和远程工作,因此,提供谷歌、Dropbox 和微软等协作工具的品牌,或亚马逊和 PayPal 等在线购物品牌都成为在 2020 年最常被仿冒的品牌。YouTube 和 Facebook 成为去年消费者获取新闻的主要途径,所以,二者也成为了最常被仿冒的品牌。令人意外的是,2020 年第七大最常被仿冒的品牌竟然是阿迪达斯,这是阿迪达斯首次进入最常被仿冒的品牌之列,主要原因可能是人们对 Yeezy 和 Superstar 运动鞋系列的需求大增。

• 勒索软件集团从盈利的商业模式中获利——2020 年,在 X-Force 应对的各种攻击中,近四分之一的攻击来自勒索软件,该种攻击可演变为包含双重勒索战术的攻击。X-Force 利用该模型进行了评估,发现在 2020 年最受关注的勒索软件集团 Sodinokibi 在当年获利颇丰。X-Force 在该报告中估计,该企业在过去一年里的保守收益估值超过 1.23 亿美元,大约三分之二的受害者支付了赎金。

对开源恶意软件的投资使云环境惨遭威胁

在新冠肺炎疫情期间,许多企业都试图加快采用云技术。“事实上,Gartner 近期进行的一项调查显示,新冠肺炎疫情造成业务中断之后,如今采用云服务的企业之中的近 70% 计划增加在云技术方面的支出。” 1 但是,由于目前 90% 的云工作负载均由 Linux 支持,而 X-Frand 报告表明,过去十年中与 Linux 相关的恶意软件系列增加了 500%,因此,云环境可能成为威胁源的主要攻击媒介。

随着开源恶意软件的增加,IBM 通过评估发现,攻击者可能正在寻找提高利润率的方法,即他们可能会通过降低成本、提高效率、创造机会来发起收益更高的攻击。该报告强调,多家威胁组织(如 APT28、APT29 和 Carbanak)均转向开源恶意软件,这表明该趋势会导致新一年出现更多云环境攻击。

报告还指出,攻击者正在利用云环境提供的可扩展处理能力,将大量云使用费用转嫁给受害企业。Intezer 在 2020 年观察到,超过 13% 的 Linux 加密挖掘恶意软件中出现了从未被发现过的新代码。

由于攻击者的目标锁定在云上,所以,X-Force 建议企业应该考虑针对其安全策略采用零信任方法。企业还应将保密计算作为其安全基础设施的核心组件,以帮助保护最敏感的数据。通过对使用中的数据进行加密,企业可以减少恶意攻击者可利用的漏洞,确保即使他们能够访问企业的敏感环境,也会一无所获。

伪装成知名品牌的网络罪犯

2021 年 IBM X-Force 威胁情报指数报告强调,网络犯罪分子大多选择将自己伪装成消费者信任的品牌。作为世界上最具影响力的品牌之一,阿迪达斯似乎对于网络犯罪分子具有很强的吸引力。这些网络犯罪分子试图利用消费者的需求心理,引诱那些寻找心仪运动鞋的人进入貌似合法网站的恶意网站。一旦用户访问了貌似合法的域名,网络犯罪分子就会试图开展在线支付诈骗、窃取用户的财务信息、获取用户凭据或通过恶意软件使受害者的设备中毒。

报告指出,假冒阿迪达斯的大部分欺骗行为都与 Yeezy和 Superstar 运动鞋系列相关。据报道,仅 Yeezy 系列运动鞋在 2019 年就为阿迪达斯实现了 13 亿美元的收入,该系列是运动服饰生产商阿迪达斯最畅销的运动鞋系列之一。阿迪达斯将在年初推出新款运动鞋,而攻击者很有可能会利用畅销品牌的购买需求谋得私利。

勒索软件是 2020 年最常见的攻击形式

根据2021 年 IBM X-Force 威胁情报指数报告,与 2019 年相比,2020 年全球遭遇的勒索软件攻击数量有所增长。在 X-Force 应对的勒索软件攻击中,近 60% 采用了双重勒索策略,即攻击者加密并窃取数据。如果受害者不支付勒索金,攻击者就会发出泄露数据等威胁。事实上,2020 年,在 X-Force 追踪的数据泄露案例中,36% 源于勒索软件攻击,这些攻击同时还涉嫌数据盗窃,表明数据泄露和勒索软件攻击开始发生冲撞。

据报道,2020 年最活跃的勒索软件集团是 Sodinokibi(也称为 REvil),该企业主导的勒索软件攻击占 X-Force 观察到的所有勒索软件事件的 22%。X-Force 估计,Sodinokibi 从受害者那里窃取了大约 21.6TB 的数据,将近三分之二的 Sodinokibi 受害者支付了赎金,大约 43% 受害者的数据被泄露——X-Force 估计,该公司在过去一年通过勒索攻击获利 1.23 亿美元。

该报告发现,2020 年那些最成功的勒索软件集团也和 Sodinokibi 一样专注于窃取和泄露数据、成立勒索软件即服务团伙,并将其业务的关键部分外包给专注于攻击不同方面的网络犯罪分子。针对这些更具攻击性的勒索软件攻击,X-Force 建议企业限制对敏感数据的访问权限,使用特权访问管理 (PAM) 和身份与访问管理 (IAM) 保护高级特权帐户。

该报告中的其他关键发现包括:

• 漏洞超过网络钓鱼,成为最常见的感染媒介——2021 年的报告显示,去年,扫描和漏洞利用 (35%) 是访问受害者环境最常见的方式,多年来首次超过网络钓鱼 (31%)。

• 2020 年的网络攻击使欧洲遍体鳞伤——根据该报告,在 X-Force 在 2020 年应对的攻击中,欧洲遭受的攻击占 31%,高于其他任何地区,其中,勒索软件是罪魁祸首。此外,欧洲遭受的内部威胁攻击也多于其他任何地区,其数量是北美和亚洲总和的两倍。

2021 年 IBM X-Force 威胁情报指数报告使用了 IBM 在 2020 年收集的数据,提供了关于全球威胁领域的深层洞察,告知了安全专家与他们的企业最相关的威胁。如需下载 2021 年 IBM X-Force 威胁情报指数报告的副本,请访问:https://www.ibm.biz/threatindex2021

参考资料:

1:  Gartner 新闻稿,Gartner 预测 2021 年全球公有云终端用户支出将增长 18%,2020 年 11 月 17 日

关于 IBM Security

IBM Security 打造世界领先的集成式企业安全系列产品和服务。系列产品由享誉世界的 IBM Security X-Force 研究团队提供支持,旨在帮助企业高效管理风险,从容应对突发威胁。IBM 运营着全球最广泛的安全研究、部署和交付机构之一,客户遍布全球,每天为全球超过 130 个国家或地区监控 1,500 亿起安全事件,在全球范围已获得超过 10,000 项安全专利。要了解更多信息,请访问:www.ibm.com/security,访问:IBM Security Intelligence 博客,或:https://www.ibm.com/cn-zh/security