2021年勒索软件年终报告:黑客对零日漏洞和供应链网络的攻击不断攀升,以期造成最大影响

报告显示,与2020年相比,2021年与勒索软件相关的通用漏洞披露(CVE)增加了29%,而勒索软件种类增加了26%

近日,为从云端到边缘的IT资产提供检测、管理、保护和服务的自动化平台提供商Ivanti发布了2021年《勒索软件指数聚焦年终报告》。该报告由 Ivanti 与 认证编号机构(CNA)Cyber Security Works和 Cyware(下一代SOAR和威胁情报解决方案 Cyber Fusion 的领先供应商)共同完成。报告显示2021年勒索软件种类新增32个,总数达到157个,比上一年增加了26%。

报告还指出,这些勒索软件集团在短时间内将零日漏洞武器化并针对未修补的漏洞进行破坏性攻击。同时,他们还会扩大攻击范围,寻找新的方式来破坏企业网络,肆无忌惮地发起影响恶劣的攻击。

以下是《勒索软件指数聚焦年终报告》中的一些主要观察结果和趋势:

未修补的漏洞依然是勒索软件集团利用的最主要攻击载体。该分析发现去年有65个新漏洞与勒索软件相关,与前一年相比增长了29%,使勒索软件相关的漏洞总数达到了288个。 令人担忧的是,这些新增的漏洞中,有三分之一(37%)正在暗网上流传并被多次反复利用。此外,在2021年之前发现的223个旧漏洞中,有56%仍在被勒索软件集团频繁利用。 因此,企业必须优先重视并修补勒索软件集团所针对和利用的漏洞,无论是新发现的还是较早的。

勒索软件集团会持续寻找和利用零日漏洞,甚至会抢在CVE被添加到国家漏洞数据库和补丁发布之前。 QNAP(CVE-2021-28799)、Sonic Wall(CVE-2021-20016)、Kaseya(CVE-2021-30116)和最近的Apache Log4j(CVE-2021-44228)漏洞都在录入国家漏洞数据库(NVD)之前就已被勒索软件集团利用。这种危险的趋势强调了一点,供应商必须更迅速地披露漏洞以及根据优先程度发布补丁。更重要的是,除了NVD之外,企业还应该关注漏洞趋势、利用实例、供应商公告和安全机构警报,以及确定漏洞的修补优先次序。

勒索软件集团越来越频繁地攻击供应链网络,以期造成重大损失和大规模混乱。单个供应链受破坏可以为威胁者打开多个途径,导致整个系统和数百个受害者网络受到劫持。去年,威胁者就曾通过第三方应用程序、供应商特定产品和开源库入侵过供应链网络。例如,REvil集团针对Kaseya VSA远程管理服务的CVE-2021-30116漏洞,发布了一个恶意更新包,导致所有使用VSA平台的本地和远程版本的客户都受到了危害。

勒索软件集团之间互相分享服务变得越来越普遍,就像合法的SaaS产品一样。“勒索软件即服务”成为了一种商业模式,勒索软件开发者向其他恶意行为者提供服务、变种、工具包或代码,以换取报酬。“漏洞即服务”则允许威胁者向开发者租用零日漏洞。此外,“植入即服务”允许新手威胁者通过程序散播恶意软件,这些程序可在运行时在受害者的计算机上执行恶意载荷。 而“木马即服务”,也称为“恶意软件即服务”,可使任何联网的人都能获得并部署定制的云端恶意软件,且无需安装。

157个勒索软件类型,288个可利用漏洞,意味着勒索软件集团完全有可能在未来几年肆意发动攻击。 根据Coveware的数据,遭受勒索软件攻击的企业平均要支付220,298美元,并承受23天的停机时间,这一项数据也提醒企业要更加重视网络安全。 未来,在网络环境日趋复杂的情况下,自动化的网络安全会变得越来越重要。

Ivanti 安全产品高级副总裁 Srinivas Mukkamala 表示:“勒索软件集团正变得越来越狡猾,其攻击的影响力也越来越大。 这些威胁者越来越多的借助自动化工具包来利用漏洞,并深入到被攻击的网络中。同时, 他们还扩大了目标面,对关键部门发起更多攻击,扰乱日常生活,造成前所未有的破坏。 企业需要格外警惕,第一时间修补武器化漏洞。 这就需要利用基于风险的漏洞优先排序和自动化补丁智能,以识别和优先处理漏洞弱点,进而加速修复。”

Cyware公司首席执行官Anuj Goel说:“我们观察到的勒索软件领域的一个根本变化是,攻击者正在企图渗入补丁部署等流程,就像他们企图通过安全保护的漏洞来渗入系统一样。漏洞发现后必须要跟进行动,把漏洞数据作为情报来处理,以推动快速响应决策。勒索软件集团正在把他们的工具、方法和目标清单程序化,安全运维团队也必须实现流程自动化,自我修复易受攻击的资产和系统,通过实时情报的程序化操作来降低风险。”

Cyber Security Works首席执行官Aaron Sandeen也说道:“勒索软件对每个行业的客户和员工都会造成严重破坏!2022年将出现更多的新漏洞、利用方式、APT团体、勒索软件类型、CWE类别,以及利用旧漏洞来攻击企业的情况。行业领导者需要创新性和预见性的协助,以确定勒索软件威胁的优先处理次序并加以补救。”

《勒索软件指数聚焦报告》采用的数据收集自多种来源,包括Ivanti和CSW的专有数据、公开访问的威胁数据库以及威胁研究人员和渗透测试团队。