勒索软件攻击者如今正在寻找新的方法,通过将老旧漏洞武器化以利用企业网络安全方面的弱点。
将长期存在的勒索软件攻击工具与最新的人工智能和机器学习技术相结合,一些有组织的犯罪团伙和先进的持续性威胁(APT) 团伙在创新方面继续领先于企业。
多家漏洞和网络安全分析机构CSW公司、Ivanti公司、Cyware公司和Securin公司联合发布的一份新报告揭示了勒索软件在2022年为全球企业带来的巨大损失。目前被勒索软件团伙利用的漏洞中,76%是在2010年至2019年期间首次发现的。
勒索软件成为首席信息安全官和世界各国领导人的首要议程
根据这份名为《从威胁和漏洞管理的角度看勒索软件报告》的2023年聚焦报告,2022年在全球发现了56个与勒索软件威胁相关的新漏洞,使漏洞总数达到344个,与2021年的288个漏洞相比增加了19%。研究还发现,在264个旧漏洞中,有208个漏洞被公开利用。
美国国家漏洞数据库(NVD)列出了160344个漏洞,其中3.3%(5330个)属于最危险的利用类型——远程代码执行(RCE)和特权升级(PE)。在5330个武器化漏洞中,344个与217个勒索病毒家族和50个高级持续性威胁(APT)团伙有关,因此非常危险。
智能IT管理和安全软件解决方案提供商Ivanti公司首席产品官Srinivas Mukkamala说:“勒索软件是每个企业最关心的问题,无论是私营部门还是公共部门。由于企业、社区和个人遭受的损失不断上升,打击勒索软件已被列为世界各国领导人议程中的首要任务。所有人都必须真正了解他们的攻击面,并为他们的企业提供分层的安全性,以便能够在面对越来越多的勒索软件攻击时具有弹性。”
勒索软件攻击者知道什么
资金充足的有组织犯罪和APT团伙让他们的成员专门研究攻击模式和可以不被发现的老旧漏洞。研究发现,勒索软件攻击者经常试图躲避流行的漏洞扫描器的检测,包括Nessus、Nexpose和Qualys。这些攻击者根据他们躲避检测的能力来选择要攻击的老旧漏洞。
该研究确定了20个与勒索软件相关的漏洞,这些漏洞的插件和检测签名尚不可用。该研究报告的作者指出,这些漏洞包括他们在上一个季度的分析中发现的与勒索软件相关的所有漏洞,还有两个新添加的漏洞——CVE-2021-33558(Boa)和CVE-2022-36537(Zkoss)。
勒索软件攻击者还会优先寻找企业的网络保险政策及其覆盖范围限制。他们要求按企业承保的最高金额支付赎金。这一发现与Gartner公司副总裁Paul Furtado最近接受行业媒体的采访时所述内容相吻合。企业的IT领导者需要知道如何应对勒索软件攻击,并展示这种做法是多么普遍,以及为什么老旧漏洞的武器化现在如此流行。
Furtado表示,“例如,勒索软件攻击者要求一个受害者支付200万美元的勒索赎金,受害者表示赎金太高,勒索软件攻击者给他们发送了一份保险单的副本文件,显示他们在网络保险方面的保单金额。关于勒索软件攻击,必须明白的一点是,与其他类型安全事件不同的是,它可能会让企业破产或倒闭。”
武器化漏洞迅速蔓延
中小规模的企业往往受到勒索软件攻击的打击最严重,因为他们的网络安全预算很少,无法仅为网络安全而增加更多的员工。
Sophos公司的最新研究发现,制造业公司支付的赎金最高,平均达到2036189美元,远高于812000美元的跨行业平均水平。在对中小制造商的首席执行官和首席运营官的调查时了解到,北美地区发生的勒索软件攻击事件快速增长,并且还在持续。
勒索软件攻击者通常选择软目标,并在中型或小型企业的IT人员最难反应的时候发起攻击。Furtado在接受行业媒体采访中表示:“76%的勒索软件攻击发生在非工作时间。大多数受到攻击的企业都会在随后的时间内成为目标;90%受到攻击的企业会在90天内再次成为目标。90%的勒索软件袭击都是针对年收入不到10亿美元的公司。”
网络攻击者知道要寻找什么
识别老旧的漏洞是网络攻击者实现武器化的第一步,研究发现,复杂的有组织的犯罪和APT团伙正在寻找最薄弱的漏洞并加以利用。以下是报告中的一些例子:
(1)杀伤链影响广泛采用的IT产品
研究团队研究了与勒索软件相关的所有344个漏洞,确定了57个最危险的可能被利用的漏洞,从最初的访问到泄露。
勒索软件团伙可以使用杀伤链来利用来自微软、甲骨文、F5、VMWare、Atlassian、Apache和SonicWall等供应商的81种产品的漏洞。
MITREA TT&CK杀伤链是一个模型,可以定义、描述和跟踪网络攻击的每个阶段,可视化攻击者所做的每个动作。杀伤链中描述的每种策略都有多种技术来帮助勒索软件攻击者实现特定的目标。该框架还为每种技术提供了详细的程序,并列出了现实世界攻击中使用的工具、协议和恶意软件种类。
安全研究人员可以使用这些框架来了解攻击模式、检测暴露、评估当前防御和跟踪攻击者。
(2)APT团伙更猛烈地发起勒索软件攻击
CSW公司观察到50多个APT团伙发起勒索软件攻击,与2020年的33个相比增加了51%。在2022年第四季度,四个与勒索软件关联的APT团伙(DEV-023、DEV-0504、DEV-0832和DEV-0950)发动了猛烈的攻击。
报告发现,最危险的趋势之一是部署恶意软件和勒索软件,作为战争的前兆。2022年初,研究团队看到在俄乌冲突升级之后,乌克兰受到APT团伙的攻击,包括Gamaredon(Primitive Bear)、Nobelium(APT29)、Wizard Spider(Grim Spider)和Ghostwriter(UNC1151),其攻击目标是乌克兰的关键基础设施。
研究还发现,勒索软件团伙Conti主要攻击美国和其他支持乌克兰的国家,相信这一趋势将继续持续。截至2022年12月,有50个APT团伙将勒索软件作为首选武器。
(3)许多企业的软件产品受到开源问题的影响
在软件产品中重用开源代码会复制漏洞,比如在Apache Log4j中发现的漏洞。例如,Apache Log4j漏洞CVE-2021-45046存在于16家供应商的93个产品中。AvosLocker勒索软件利用了这些产品,另一个Apache Log4j漏洞CVE-2021-45105存在于11家供应商的128个产品中,也被AvosLocker勒索软件利用。
研究团队对CVE漏洞的进一步分析突出了勒索软件攻击者成功大规模武器化勒索软件的原因。一些CVE漏洞存在许多领先的企业软件平台和应用程序中。
其中的一个漏洞是CVE-2018-363,该漏洞存在于26个供应商的345个产品中。值得关注的是,其中包括Red Hat、Oracle、亚马逊、微软、苹果和VMWare等知名厂商。
这一漏洞存在于许多产品中,包括Windows Server和Enterprise Linux Server,并与勒索软件相关。研究机构去年年底在互联网上发现了这一漏洞。
CVE-2021-44228是另一个Apache Log4j漏洞。它目前存在于21家供应商的176种产品中,特别是Oracle、Red Hat、Apache、Novell、Amazon、Cisco和SonicWall等公司。这个RCE漏洞被AvosLocker、Conti、Khonsari、Night Sky、Cheerscrypt和TellYouThePass这六个勒索软件团伙利用。
该漏洞也成为黑客关注的焦点,截至2022年12月10日,该漏洞已经成为了一种趋势,这也是美国网络安全和基础设施安全局(CISA)将其纳入CISA KEV目录的原因。
勒索软件吸引了经验丰富的攻击者
使用勒索软件的网络攻击正变得越来越致命,也越来越有利可图,吸引了全球最复杂、资金最雄厚的有组织犯罪和APT团伙。Ivanti公司的Mukkamala说:“威胁行为者越来越多地瞄准网络安全方面的缺陷,包括遗留的漏洞管理流程。如今,许多安全和IT团队难以识别漏洞构成的风险,因此,对漏洞采取了不恰当的措施。例如,许多企业只修补新的漏洞或在美国国家漏洞数据库(NVD)中披露的漏洞。其他人只使用通用漏洞评分系统(CVSS)来评分和优先考虑漏洞。”
勒索软件攻击者继续寻找新的方法来实现老旧漏洞的武器化。这份报告中分享的许多见解将帮助首席信息安全官及其安全团队做好准备,以应对攻击者寻求提供逃避检测的更致命的勒索软件有效载荷,并要求更高的勒索软件支付费用。