2021年,网络犯罪进入了新的深度,给企业造成的损失比2020年增加了数百万美元。已知的威胁不断增加,新的、更复杂的混合攻击形式浮出水面。远程办公至少在一定程度上促成了网络攻击的演变。
企业迅速采用了新技术,选择跳过严格的审查程序。员工从家庭网络中混合使用个人和企业的设备,大大增加了连接到企业内部资源的设备数量。许多企业考虑到了风险,但并没有完全预料到结果。
Apache Log4j缺陷
威胁参与者积极针对个人和企业设备和系统中存在的Log4j缺陷。针对Apache Log4j日志记录实用程序的广泛使用意味着在应用紧急安全补丁之前,数亿台的设备面临着完全系统接管的风险。
对远程桌面凭据的暴力攻击
一个勒索软件团伙对Microsoft Windows远程桌面协议(RDP)凭据发起了暴力攻击,以获取对受害者网络的访问权限并部署Ranzy Locker勒索软件。在某些情况下,已知的Microsoft Exchange Server漏洞是网络钓鱼活动的目标,犯罪分子在加密之前发现并复制包含个人和财务信息的文件。
Ranzy Locker勒索软件的双重勒索策略,一旦为解密密钥支付了赎金,犯罪分子就会威胁要在线泄露被盗数据,除非他们获得第二笔款项。Ranzy Locker尤其麻烦,因为它是一种勒索软件即服务(RaaS)工具,任何愿意付费的犯罪集团都可以租用它。
勒索软件无处不在并提高了赌注
勒索软件是有利可图的,预计仍将是一种流行的攻击方法。随着犯罪集团利用软件漏洞对各种规模的企业获取重要系统的访问权限,现实世界的运营将停止,迫使受害者付费,就像对托管服务提供商Kaseya的勒索软件攻击一样。
医疗保健行业特别容易受到勒索软件攻击,因为大量个人数据经常被使用和存储。提供商还倾向于使用较旧的设备,并且缺乏专门的IT/安全人员进行网络管理。例如,Hive勒索软件团伙从加利福尼亚州的Partnership HealthPlan文件服务器中窃取了个人身份信息(PII)和400GB数据。类似的攻击将在这个目标丰富的环境中继续进行。
为了迫使更多受害者支付赎金,Ragnar Locker勒索软件团伙采用了一种新策略。该团伙宣布,如果有执法部门参与,或受害者得到了专业帮助来缓解这种情况,将立即公布受害者的被盗数据。该勒索软件团伙因手动部署勒索软件以在加密或删除数据之前在受害者网络中查找高价值文件和存储设备而臭名昭著。
通过视频会议和深度伪造实现多级商业电子邮件诈骗
犯罪分子已将虚拟会议纳入其攻击范围。他们使用虚拟会议平台监听企业会议,收集日常业务活动信息,并诱骗员工完成向欺诈账户的电汇。FBI互联网犯罪投诉中心(IC3)报告了三种常见的策略:
- 劫持账户进行侦察:攻击者入侵员工电子邮件账户以加入虚拟会议并收集有关企业业务运营的信息。
- 欺诈性电汇的电子邮件:网络犯罪分子冒充高管和董事级别的帐户,发送虚假电子邮件以请求电汇。冒名顶替者向员工发送电子邮件,声称忙于虚拟会议,因此无法自行处理转账。
- 使用深度伪造音频冒充C级:在入侵高管或董事(CEO或CFO)的电子邮件帐户后,犯罪分子邀请员工参加虚拟会议。冒名顶替者使用没有音频的 CEO的静止图像或使用深度伪造的音频,声称视频或音频无法正常工作。然后,攻击者使用虚拟会议平台的实时聊天功能请求电汇。一些犯罪分子在视频会议后使用被盗的高级电子邮件帐户发送后续消息。
网络钓鱼
网络钓鱼将继续作为跨行业的主要攻击媒介,这些策略被调整以避免被发现,从而涉及到更多的受害者。一种新的攻击方法是使用恶意二维码来逃避安全工具。
多级网络钓鱼攻击也会增加,短信、社交媒体直接消息传递和团队协作工具(如Microsoft Teams、Slack或Discord)将继续流行用于诱骗受害者共享登录凭据和双因素身份验证(2FA)验证码的网络钓鱼攻击。
瞄准了Linux和MacOS
基于Linux的恶意软件呈上升趋势,Linux仍然是勒索软件、木马、rootkit和cryptominer(加密挖矿)的热门目标。恶意软件的作者还通过将Windows恶意软件移植到Linux系统上来影响更多的机器。
此外,苹果MacOS也已成为恶意软件的攻击目标,其中一些已从Windows移植到MacOS上运行。特定于MacOS的恶意软件也针对操作系统漏洞。由于MacOS恶意软件在恶意软件开发人员中越来越受欢迎,因此预计其数量将会增加。
木马和蠕虫
木马和蠕虫将继续以Linux和Windows为目标。2021年,HolesWarm恶意软件利用了两个操作系统中的安全漏洞,导致超过1,000台服务器受到影响,尤其是云环境中的服务器。
模块化的Trickbot特洛伊木马仍然非常活跃。微软研究人员最近发现了Trickbot木马如何在其命令和控制基础设施中使用物联网(IoT)设备来攻击MikroTik路由器。Trickbot攻击者使用已知的默认密码破坏设备,采用暴力攻击方式发现其他设备,并利用路由器操作系统中的漏洞。
API攻击
应用程序编程接口(API)越来越容易受到攻击。攻击者以意想不到的方式使用API来查找数据存储和检索过程中的漏洞(业务逻辑攻击)。
特斯拉自动驾驶模块是通过其监控能源消耗和位置历史的日志工具中的一个漏洞被渗透的。黑客利用该模块的API来锁定和解锁汽车门窗以及实现无钥匙驾驶。威胁执行者将继续攻击API以收集个人数据、窃取资金并造成严重破坏。
数据泄露比比皆是
与前一年相比,2021年的数据泄露报告增加了68%,预计这一趋势还将持续下去。充满未跟踪资产的复杂IT环境对企业的数据安全构成重大威胁,因为这为攻击者提供了多个入口点。
规划不确定的未来
2021年的一项研究发现,大多数网络攻击都是出于经济动机。数据是一种高价值的商品,不是因为它在暗网上出售时的价格,而是因为它对企业来说是非常重要的。
保护数据免受损害需要一种主动预防性的方法来减轻攻击对系统的影响,并尽可能不让企业的业务受到重创。可靠的数据备份和恢复计划将确保备份存储在远离网络的单独位置。部署来自多个供应商的一系列专用工具可能会满足企业业务对每个工具的需求,但与多个供应商合作可能会给企业环境带来不必要的IT复杂性。且仅靠外围防御不足以抵御许多现代网络攻击。
- Acronis Cyber Protect使用机器学习算法来主动阻止勒索软件攻击。
- Acronis基于行为的检测引擎检查当前行为并阻止威胁在整个企业网络中传播,无论恶意软件是什么类型的。
- Acronis Cyber Protect漏洞评估和补丁管理提供针对零日攻击的多层新一代保护,最大限度地减少整体攻击面。通过一个控制台,无需使用多种工具来维护和保护数据,降低复杂性。
- Acronis Cyber Protect适用于各种规模的企业,是一款集防病毒、反恶意软件和备份软件于一体的网络保护解决方案,提供确保网络、设备和数据安全所需的集成网络保护。