根据Secureworks的《2023年威胁状况报告》,在2023年3月至6月的四个月里,勒索软件泄露网站上公布的受害者人数达到了“前所未有的水平”。
按照目前的水平,2023年将是自2019年有记录以来在所谓的“点名羞辱”网站上点名受害者人数最多的一年。预计第10000名受害者的名字将于2023年夏末发布到网站中。该报告揭示了对特定漏洞的一次性大规模剥削是该时期后四个月被点名受害者人数创纪录的主要因素:
三月 – Fortra GoAnywhere,被Clop利用
五月 – Zimbra邮件服务器,被MalasLocker利用
六月 – MOVEit Transfer,被Clop利用
一家被称为GOLD MYSTIC的LockBit运营商是12个月内最活跃的勒索软件集团,公布的受害者人数几乎是第二活跃集团ALPPV(黑猫)的三倍,该集团由一个名为GOLD BLAZER的集团运营。除了已知的团体,2023年3月至6月,新的勒索软件计划发布了大量受害者。这包括8BASE在2023年6月期间在其泄漏现场列出了近40名受害者。Secureworks反威胁部门威胁情报副总裁Don Smith指出:“虽然我们仍然认为熟悉的名字是最活跃的威胁参与者,但几个新的、非常活跃的威胁团体的出现正在使受害者和数据泄露的显著增加。尽管他们受到了高调的打击和制裁,但网络犯罪分子是适应的大师,因此威胁继续加速。”
研究人员承认,仅靠泄漏网站并不能完全准确地描述勒索软件的状态,因为它们只列出了未支付赎金的受害者。
勒索软件驻留时间的戏剧性下降
2023年的报告发现,勒索软件的平均停留时间不到24小时,比前12个月的4.5天大幅下降。在10%的案例中,勒索软件是在最初访问后的五小时内部署的。史密斯认为,这一趋势是由于网络检测能力的提高,威胁行为者加快了行动速度,以减少在部署勒索软件之前被阻止的机会。因此,威胁行为者正专注于更简单、更快地实施操作,而不是更复杂的大型、多站点企业范围的加密事件。但这些攻击的风险仍然很高。
停留时间下降的另一个因素是,现在部署勒索软件的许多威胁行为者的技能低于以前的运营商,方法也不那么复杂。这是由于勒索软件即服务(RaaS)模式的兴起降低了进入门槛。
勒索软件的首选初始访问向量是什么
Secureworks观察到,两种最常见的初始访问向量是扫描和利用(32%)和被盗凭据(32%)。
与前12个月的52%相比,扫描和利用漏洞(即识别被特定漏洞攻击的易受攻击系统)在勒索软件事件中所占的比例大幅下降。从被盗凭据开始的事件比例也比前12个月有所下降,当时占勒索软件入侵的39%。
从2022年7月到2023年6月,通过钓鱼电子邮件发送的商品恶意软件是第三常见的初始访问媒介,占14%。
防止勒索软件的最有效方法
研究人员指出,通过以下措施的组合,可以在早期预防或检测出已识别的前三种初始接触媒介:
及时定期修补。CISA和合作机构列出了威胁行为者扫描的主要漏洞,其中许多包含较旧的缺陷。各组织应优先考虑修补这些漏洞。
多因素身份验证(MFA)。虽然该报告承认,威胁行为者正在采用各种策略绕过MFA,但当薄弱的凭据被利用时,这些控制措施通常会阻止对手前进。
全面实施监控解决方案。研究人员表示,勒索软件事件中数据被盗和使用之间的时间间隔意味着组织在监控网络犯罪论坛中被盗数据方面具有巨大价值。
来源:安全圈
声明:平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
领取优惠
提交成功!