一、勒索工具
1. 事件回顧
2019年上半年,網(wǎng)絡(luò)犯罪分子對他們的勒索目標(biāo)更具選擇性,主要集中在跨國公司、企業(yè)甚至政府組織。他們的做法包括向員工發(fā)送量身定制的網(wǎng)絡(luò)釣魚電子郵件,利用安全漏洞進入網(wǎng)絡(luò),然后在網(wǎng)絡(luò)中橫向拓展。
例如,Lockeroga勒索軟件在三月份襲擊了一家挪威制造公司,并停止了幾家工廠的生產(chǎn),最終導(dǎo)致超過5500萬美元的財務(wù)損失;馬里蘭州巴爾的摩市在其系統(tǒng)5月份被Robbinhod勒索軟件感染后,已經(jīng)花費了530萬美元的恢復(fù)成本。
一些市政組織受到壓力,希望支付贖金能迅速恢復(fù)受影響系統(tǒng)。佛羅里達(dá)州的三個市在數(shù)周內(nèi)受到了不同的勒索軟件攻擊:Riviera Beach,受到一個身份不明的勒索軟件變種攻擊,以及Lake City和Key Biscayne,這兩個城市都受到了Ryuk勒索軟件的攻擊。
勒索軟件的<span><span><span><i text-align: center;
2. 復(fù)雜的程序
我們還觀察到文件加密之外的破壞程序。一些勒索軟件變種,設(shè)計了更多的功能以減少受害者恢復(fù)文件和系統(tǒng)的機會。
我們的數(shù)據(jù)顯示,上半年各種勒索軟件家族都很活躍。但Wannacry仍然是最容易被發(fā)現(xiàn)的勒索軟件家族,其數(shù)量遠(yuǎn)遠(yuǎn)超過其他勒索軟件家族的總和。
二、威脅趨勢
1. 無文件攻擊
正如我們所預(yù)測的,攻擊者越來越趨向于無文件攻擊手段,或者濫用合法的系統(tǒng)管理和滲透測試工具來隱藏他們的惡意活動。
所謂的無文件攻擊不像傳統(tǒng)惡意軟件那么明顯,因為通常不會寫入磁盤,而在系統(tǒng)內(nèi)存中執(zhí)行,或位于注冊表中,或者使用通常列為白名單的工具,如powershell、psexec或windows管理工具。
以下是檢測到的使用無文件技術(shù)的攻擊行為:
Cryptocurrency-mining malware Ransomware Banking trojan
這些攻擊有一個共同點:使用工具PowerShell。對于系統(tǒng)管理員來說,PowerShell是一個方便的工具,但攻擊者可以使用它來啟動有效payload,無需在受影響的系統(tǒng)本地內(nèi)存中寫入或運行文件。
2. 惡意宏軟件
惡意宏軟件較2018年下半年略有下降。我們對基于宏的威脅的檢測大多是在垃圾郵件中的Powload。
Powload經(jīng)過多年的發(fā)展,其有效負(fù)載更加多樣化,使用隱寫術(shù),甚至使用特定地區(qū)的標(biāo)簽或詞匯。我們還看到其他的惡意宏軟件被用于垃圾郵件中。
三、郵件威脅
1. 網(wǎng)絡(luò)釣魚欺詐
網(wǎng)絡(luò)釣魚活動在2019年上半年有所下降。數(shù)據(jù)顯示,阻止釣魚網(wǎng)站訪問的次數(shù)減少了18%。造成這種下降的原因可能有幾個,包括用戶對網(wǎng)絡(luò)釣魚欺詐的意識提高。在同一時間段內(nèi),我們注意到被屏蔽的網(wǎng)絡(luò)釣魚URL數(shù)量增加了76%。
網(wǎng)絡(luò)犯罪分子進一步利用人們對知名品牌和工具的信任和多平臺的社會工程學(xué)進行網(wǎng)絡(luò)釣魚。
安卓照片app釣魚 水坑攻擊 瀏覽器
2. 商業(yè)網(wǎng)絡(luò)詐騙
商業(yè)電子郵件詐騙(BEC)是一個簡單但成本越來越高的騙局,企業(yè)必須警惕。BEC詐騙者使用各種社會工程技術(shù),通常是模仿CEO和其他高管,欺騙不知情的員工將資金轉(zhuǎn)移到他們的賬戶上。
BEC多年來一直是網(wǎng)絡(luò)詐騙威脅的一部分,騙子們一直在開發(fā)利用受害者的新方法。也有一些實例支持我們的預(yù)測,BEC詐騙者將針對公司層次結(jié)構(gòu)較低的員工。
我們的數(shù)據(jù)顯示,從2018年下半年到2019年上半年,通過垃圾郵件進行的性騷擾增加了兩倍多,這與我們?nèi)ツ觐A(yù)測的軌跡相符。在聯(lián)邦調(diào)查局2018年收到的與敲詐勒索有關(guān)的投訴中,性侵犯占了大多數(shù)。
由于性侵犯騙局的敏感性質(zhì),受害者很可能會被迫默許性侵犯者的要求。具體例子是,共接著試圖通過發(fā)布威脅視頻來向用戶勒索錢財。
四、漏洞
1. 硬件缺陷
2018年初,熔毀和幽靈的披露為修補漏洞帶來了新的挑戰(zhàn)。在2019年上半年,發(fā)現(xiàn)了更多的硬件級漏洞。
今年2月,研究人員展示了一個概念證明,顯示黑客如何利用enclaves,enclaves旨在保護和訪問英特爾Software Guard Extensions(SGX)中的數(shù)據(jù) ,這是一套英特爾核心和Xeon處理器中的指令。
2. 高影響漏洞
在2019年上半年的威脅形勢中,漏洞占主導(dǎo)地位。通過我們的零日計劃(ZDI)報告的大多數(shù)漏洞的嚴(yán)重性都很高。
以下是2019年上半年出現(xiàn)的一些明顯的漏洞及其對企業(yè)造成的危險:
五、IOT和IIOT攻擊
1. 僵尸網(wǎng)絡(luò)和蠕蟲
正如我們預(yù)測的那樣,僵尸網(wǎng)絡(luò)和蠕蟲一直在爭奪對連接到物聯(lián)網(wǎng)(IoT)設(shè)備的控制權(quán)。包括Bashlite以及Omni,Hakai和Yowai等Mirai變種。在受感染的物聯(lián)網(wǎng)設(shè)備上掃描競爭對手,刪除其他惡意軟件,并嵌入自己的有效載荷。
2. 重要基礎(chǔ)設(shè)施
工業(yè)物聯(lián)網(wǎng)(IIoT)改變了工業(yè)設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施的運行方式,提升了效率和為企業(yè)提供了運營可視性。 然而,運營技術(shù)(OT)和信息技術(shù)(IT)的融合也帶來了新的安全風(fēng)險,并導(dǎo)致更廣泛的攻擊面。
根據(jù)3月份發(fā)布的一項調(diào)查顯示,在過去兩年中,50%的被調(diào)查組織已經(jīng)發(fā)現(xiàn)其關(guān)鍵基礎(chǔ)設(shè)施遭到了攻擊。 在2019年,攻擊者正在評估IIoT目標(biāo)。 Xenotime黑客組織正在探索美國和亞太地區(qū)電網(wǎng)的工業(yè)控制系統(tǒng)(ICS)。 其組織的惡意軟件掃描并列出了目標(biāo)的遠(yuǎn)程登錄門戶和網(wǎng)絡(luò)中的漏洞。
至2019年中期,已經(jīng)出現(xiàn)了許多持續(xù)和隱蔽的威脅。對于全面防御來說,沒有一個簡單的答案——企業(yè)和用戶必須找到一種多層的方法來解決他們的具體安全漏洞。網(wǎng)關(guān)、網(wǎng)絡(luò)、服務(wù)器和端點需要保護。對于面對使用復(fù)雜技術(shù)惡意軟件的企業(yè),需要結(jié)合專業(yè)知識和安全技術(shù)的解決方案來更好地檢測、關(guān)聯(lián)、響應(yīng)和補救威脅。
