近日,为从云端到边缘的IT资产提供检测、管理、保护和服务的Ivanti Neurons神经元自动化平台提供商Ivanti发布了《2022年Q2-Q3勒索软件指数报告》。这份报告由Ivanti与认证编号机构 (CNA) Cyber Security Works和致力于建立网络融合中心的技术平台领先供应商Cyware共同完成。报告显示,自2019年以来,勒索软件数量增长了466%,并且从俄罗斯与乌克兰的冲突以及伊朗和阿尔巴尼亚的网络战争中可以看出,越来越多的勒索软件被用作实体战争的先导手段。
勒索软件团伙在数量和狡猾程度方面继续增长,在2022年前三个季度,有35个漏洞与勒索软件相关,有159个正在流行的活跃漏洞。更为复杂的是,由于缺乏足够的数据和威胁背景信息,企业很难有效地修补系统以及减少漏洞风险。
该报告确定了10个新的勒索软件家族(Black Basta、Hive、BianLian、BlueSky、Play、Deadbolt、H0lyGh0st、Lorenz、Maui和NamPoHyu),使漏洞总数达到170个。由于有101个CVE可用于网络钓鱼攻击,越来越多的勒索软件攻击者依靠鱼叉式网络钓鱼技术来引诱毫无戒心的受害者实现其恶意负载。Pegasus 就是一个强有力的例子,它利用一条简单的网络钓鱼消息来创建最初的后门,再加上iPhone的漏洞,导致许多世界重要人物的手机遭到渗透和破坏。
勒索软件需要人际互动,网络钓鱼并不是唯一的攻击载体。报告通过分析323个当前的勒索软件漏洞并将其映射至MITRE ATT&CK框架,发现了勒索软件的战术、技术和程序可组成杀伤链来危害组织安全,并发现其中57个漏洞能导致从初始访问到数据外泄的完整系统劫持。
报告还发现了两个新的勒索软件漏洞CVE-2021-40539和CVE-2022-26134,这两个漏洞在被添加到国家漏洞数据库 (NVD) 之前或当天就已被勒索软件团伙(AvosLocker和Cerber)利用。这些统计数据强调,如果组织仅根据国家漏洞数据库 (NVD)所披露的数据来修补漏洞,那么很容易受到攻击。
报告显示,CISA的已知可利用漏洞 (KEV) 目录为美国公共部门和政府机构提供了一份需要限期修补的漏洞清单,但其中缺少124个勒索软件漏洞。
Ivanti首席产品官Srinivas Mukkamala表示:“IT和安全团队必须抓紧采取基于风险的漏洞管理方法,以更好地抵御勒索软件和其他威胁。这包括利用自动化技术关联不同来源(即网络扫描程序、内部和外部漏洞数据库和渗透测试)的数据、衡量风险、提供漏洞武器化的早期预警、预测攻击,并对漏洞修复进行优先级排序。组织若继续依赖传统漏洞管理做法,如仅利用NVD和其他公共数据库来对漏洞进行排序和修补,仍将面临较高风险的网络攻击。”
而市面流行的扫描工具有所遗漏,这进一步凸显了超越传统漏洞管理方法的必要性。报告发现,与勒索软件有关的18个漏洞没有被市面流行的扫描工具检测出来。
Cyber Security Works首席执行官Aaron Sandeen表示:“如果你所依赖的扫描工具不能识别已暴露的漏洞,那你会面临一个可怕的前景。组织需要采用一种攻击面管理解决方案,去发现所有组织资产面临的风险。”
此外,报告还分析了勒索软件对关键基础设施的影响,其中受影响最严重的三个行业是医疗保健、能源和关键制造业。报告显示,47.4%的勒索软件漏洞影响医疗系统、31.6%影响能源系统,21.1%影响关键制造业。
Cyware公司联合创始人兼首席执行官Anuj Goel表示:“尽管事后修复策略已经随时间推移逐步得到改进,但“防患于未然”这句话仍然重要。为了正确分析威胁背景并有效地对主动缓解行动加以排序,必须通过安全流程的弹性编排对SecOps相关漏洞情报加以可操作化处理,以确保资产的完整性。”
报告还对当前和未来的勒索软件趋势进行了深入分析。值得注意的是,市面上对跨平台恶意软件的需求猛增,这是因为勒索软件操作者可以通过单一代码库轻松攻击多个操作系统目标。报告还发现了大量针对第三方安全解决方案供应商和软件代码库的攻击,可能导致大量受害者产生。展望未来,随着Conti和DarkSide等“黑帮大佬”的退出,可能会有新的勒索软件团伙出现。这些新帮派可能会重新使用或修改已经“金盆洗手”的勒索软件团伙所采用的源代码和漏洞利用方法。
《勒索软件指数聚焦报告》采用的数据收集自多种来源,包括Ivanti和CSW的专有数据、公开访问的威胁数据库以及威胁研究人员和渗透测试团队。
关于 Ivanti
Ivanti让无处不在的工作空间成为可能。通过“无处不在的工作空间”,员工可以在任何地方,使用多种设备,连接各种网络来访问IT应用和数据,同时保证工作效率。Ivanti Neurons神经元自动化平台为企业连接业界领先的统一端点管理、零信任安全和企业服务管理解决方案,统一的IT平台使设备能够自我治疗、自我安全,而用户则能够自助服务。已经有45,000 多位客户,包括96家《财富》百强企业,选择了Ivanti为他们检测、管理、保护和服务从云端到边缘的IT资产,同时为员工提供卓越的终端用户体验,无论他们在哪里、使用何种方式工作。
关于 Cyware
Cyware通过提供网络威胁情报和新一代SOAR(安全协调、自动化和响应)解决方案,帮助企业网络安全团队建立与平台无关的网络融合中心。企业可以借此提高速度和准确性,同时降低成本、减轻分析人员负担。Cyware的虚拟网络融合解决方案使规模各异、需求不同的MSSP、企业、政府机构和共享社区 (ISAC/ISAO) 实现安全协作、信息共享和更出色的威胁可见性。
关于 CSW
CSW是一家专注于攻击面管理和渗透测试即服务的网络安全服务公司。凭借创新的漏洞研究,在 Oracle、D-Link、WSO2、Thembay、Zoho 等热门产品中发现了45个以上的零日漏洞。CSW加入了CVE 编号授权机构,推动了数以千计的漏洞报告赏金猎人,在全球漏洞管理中发挥了重要作用。作为公认的漏洞研究和分析领导者,CSW引领行业前沿,帮助世界各地的企业保护业务免受不断变化的威胁。