歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Sophos 2021 年網路威脅報告: 勒索軟體會進行「二次敲詐」、更留心商用惡意軟體
2020 / 12 / 04
編輯部
Sophos 發布《2021 年網路威脅報告》,揭露勒索軟體和不同等級的攻擊者,以及迅速變化的網路攻擊模式,將如何影響 2021 年的威脅態勢及資訊安全。此報告由 SophosLabs 研究人員,連同 Sophos 的威脅捕獵、事件快速回應團隊,以及雲端安全及人工智慧專家等共同撰寫,就安全威脅及趨勢的起源及實際影響作出全方位分析。
《2021 年網路威脅報告》中三大主要趨勢包括:
1. 不同等級的勒索軟體操作者的技能及資源水準差別將擴大:
最高等級的重量級勒索軟體系列將不斷改良手法、技術和流程 (TTPs),將其提升到接近國家級攻擊般複雜,以對大型企業索取數以百萬美元的鉅額贖款。在 2020 年,這些勒索軟體系列包括 Ryuk 和 RagnarLocker。另一方面,Sophos 預測入門或基本型攻擊的數量將會增加,它們會尋找提供選單可租用勒索軟體 (如 Dharma),以向大量的小型目標發動攻擊。
另一個趨勢是勒索軟體會進行「二次敲詐」,即除了加密受害者的資料,攻擊者會同時偷取敏感或機密資訊,再威脅公開這些資訊以進行勒索。在 2020 年,Sophos 就指出 Maze、RagnarLocker、Netwalker、REvil 等軟體均採用這種方法牟利。
Sophos 首席研究科學家 Chester Wisniewski 表示:「勒索軟體的商業模式多變而複雜。在 2020 年,Sophos 發現攻擊者開始根據他們的技能和目標進行分類。然而,Sophos 亦發現勒索軟體系列會共用強大的工具,形成自成一格的集團。例如 Maze 似乎已經退隱江湖,但 Maze 的部分工具和技能以新的 Egregor 假面孔出現。網路威脅的環境沒有空窗期,當一個勢力消失,另一個勢力便會立即補上。很多時候,我們幾乎無法預測勒索軟體的下個目標,但 Sophos threat report 上所述的攻擊趨勢將在2021年持續升溫。」
2.更留心商用惡意軟體 (如載入程式、殭屍網路),以及人工操縱的初始存取代理程式等日常威脅。這些威脅看似低階,但是它們目的是在目標中站穩陣腳,收集所需資料並回傳到命令與控制 (C&C) 網路,等待下一步攻擊指示。
如果有人操控這些威脅,他們將會檢視每個受影響機器的位置或其他有用的線索,然後將最有價值的受害者資訊售賣給最高價的競標者 (如某個勒索軟體組織)。例如,在 2020 年 Ryuk 使用 Buer Loader 來發送勒索軟體。
Wisniewski 表示:「商用惡意軟體如同沙塵暴的雜訊,會堵塞安全警示系統。Sophos 的分析指出,防衛者需認真對待這些攻擊,因它們可能會帶來十分嚴重的後果。 任何一部機器受到感染,所有電腦都可能受害。很多安全團隊都以為,只要封鎖及移除惡意軟體,清理受感染的機器,事件就可以平息。但是,他們可能沒有意識到攻擊目標並不止是一部機器,而且看似常見的 Emotet 和 Buer Loader 惡意軟體都可以觸發更進階的 Ryuk 或 Netwalker 等攻擊。直到某個深夜或週末,當勒索軟體已經作好部署時,IT 部門才會發現問題。如果低估看似微小的感染徵兆,將會導致相當嚴重的後果。」
3. 各種等級的攻擊者都會更常使用合法的工具、知名的公用程式以及常用的網路目的地,以避開偵測和安全措施,阻礙分析和身分暴露。
使用合法的工具讓攻擊者能在網路內四處遊走而不被發現,直至他們發動如勒索軟體等主要攻擊為止。對於由國家資助的攻擊者,使用一般工具還有其他好處,因為會更難追究源頭。在 2020 年,Sophos 也曾列出大量攻擊者採用的標準攻擊工具。
Wisniewski表示:「Sophos在 2020 年的威脅環境評估中就已清楚說明,攻擊者會使用日常工具及技巧來隱藏主動式攻擊。這種作法會對傳統的安全措施帶來威脅,因為日常工具的外觀不會自動觸發危險訊號。此時,以人主導的威脅捕獵及回應服務將可大顯身手,因為人類專家知道如何尋找細微的異常和痕跡,例如發現在不合適的時間和地點使用合法的工具。對訓練有素的捕獵人員或 IT 管理者而言,使用端點偵測與回應 (EDR) 功能時,這些痕跡就是珍貴的線索,能提醒安全團隊出現攻擊者和潛在攻擊。」
其他在《2021 年網路威脅報告》中發現的威脅包括:
攻擊伺服器:攻擊者以 Windows 和 Linux 系統的伺服器作為攻擊對象,利用這些跳板在企業的內部展開攻擊。
COVID 19 疫情對資訊科技安全的影響,例如在家工作者使用的個人網路的防護程度不同,帶來了新的安全挑戰。
雲端環境的安全挑戰:儘管雲端運算已成功擔負起企業對安全雲端環境的需求壓力,但是它也帶來與傳統網路不同的挑戰。
常用服務如 RDP 和 VPN 集訊器,仍然是攻擊者在網路週邊上的攻擊對象。攻擊者同時使用 RDP 在受攻擊的網路上橫向移動。
軟體應用程式通常被標示為「可能不需要」,因為它們傳送大量廣告,但採用的技巧和公開的惡意軟體越來越難以區分。
一個久遠的 VelvetSweatshop 漏洞重出江湖,它是一個早期 Microsoft Excel 的預設密碼功能,用於在文件上隱藏巨集或其他惡意內容,躲避威脅偵測。
他們需要採取流行病學的方法來來量化未曾見過、未偵測到及未知的網路風險,以便更有效地填補偵測缺口、評估風險和確定優先順序。
Ryuk
RagnarLocker
可租用勒索軟體
harma
Emotet
Buer Loader
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
中國駭客組織鎖定 Linux 系統,部署新型後門程式
美國CISA 示警 Array Networks 閘道器嚴重漏洞遭積極利用
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
QNAP 修補多項重大漏洞,NAS與路由器軟體皆受影響
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
資安人科技網
文章推薦
2024台灣資安通報應變年會:資安長高峰論壇 聚焦威脅應變與跨域協作
用戶盡速更新!研華工業級 Wi-Fi 基地台爆出逾二十個資安漏洞
玉山安永科技論壇 AI智慧變革 引領企業轉型、留意治理風險