Sophos在其2024年的活躍對手報告中表示,它在2023年調查的大多數網絡攻擊涉及勒索軟件�,而90%的事件都包含了對遠程桌面協議的濫用����。
這家安全供應商在周三發布了其2024年的活躍對手報告,該報告基于它在2023年進行的150多起事件響應(IR)調查的數據����。數據集的分析顯示��,88%的調查來自于員工數少于1000人的組織,而55%涉及的公司員工數不超過250人���。代表了26個行業,制造業連續第四年成為最多尋求Sophos IR團隊幫助的行業�。
報告追蹤了攻擊類型���、初始訪問向量和根本原因��,并發現這些趨勢在過去兩年中保持一致�。雖然攻擊者經常濫用遠程桌面協議(RDP)和憑證訪問來滲透受害者的網絡,但企業仍然讓RDP暴露在外����,而且通常缺乏多因素認證(MFA)協議���。
Sophos補充說����,企業在確保足夠的日志可見性方面也做得不夠,這可能會妨礙IR調查���。
報告指出:“通常,被侵犯和未被侵犯的組織之間唯一的區別在于1) 選擇并部署合適工具的準備工作�,以及2) 在需要時具備的知識和準備采取行動的能力�����。報告中描述的大多數工具和技術都有解決方案,或至少有減輕其危害的緩解措施����,但防御措施簡直沒法跟上�����。”
就像許多其他供應商一樣,Sophos發現在2023年����,勒索軟件是最常見的攻擊類型���;這種威脅占其調查的70%����。供應商響應了108起勒索軟件攻擊���。網絡入侵排在第二����,但僅占調查的19%�����。然而�����,Sophos推測這兩種攻擊類型之間可能存在聯系。報告說:“雖然我們不能在所有情況下都肯定��,但有越來越多的證據表明����,許多網絡入侵實際上是失敗的勒索軟件攻擊?�!?/span>
Sophos確認已知的勒索軟件團伙進行了它調查的五次網絡入侵���。供應商還將網絡入侵與勒索軟件攻擊按季度進行了比較���,發現當勒索軟件活動減少時����,入侵增加。盡管44%的勒索軟件攻擊案例涉及數據泄露���,Sophos發現72%的網絡入侵調查“沒有數據泄露的證據”�。
Sophos還追蹤了勒索軟件部署的時間線,并發現了一個一致的模式。去年�����,91%的勒索軟件有效載荷是在傳統工作時間之外部署的�,與2022年相比僅下降了3%。Sophos將“傳統工作時間”定義為周一至周五的上午8點至下午6點,但報告指出�,這些數據也考慮了不遵循該時間表的國家����。
Sophos追蹤了它在2023年事件響應調查中看到的主要攻擊類型����。Sophos的2024年活躍對手報告發現,去年勒索軟件超過了所有其他攻擊類型���。另一個一致的趨勢是勒索軟件家族的分布����。報告發現��,LockBit勒索軟件組織去年仍是最活躍的團伙�。報告將24起勒索軟件攻擊���,即22%的IR調查歸因于LockBit����。很難說LockBit是否會繼續在2024年主宰這一領域。這個臭名昭著的團伙在2月份被國際執法行動暫時打亂���。雖然LockBit操作者迅速恢復了他們的服務器,但該團伙的復出嘗試遭遇了挫折����。
Sophos的威脅情報領域首席技術官John Shier告訴TechTarget Editorial,這次稱為“克羅諾斯行動”的執法行動成功地阻止了加盟LockBit的附屬成員。Shier說�,在擾亂之后���,經紀人和附屬成員在地下論壇上表達了這種情緒����?��!癓ockBit部分因其規模而蓬勃發展��。沒有了犯罪伙伴合作和信任的侵蝕����,我們希望看到LockBit繼續其走向無關緊要的下滑��?!?/span>
LockBit是自Sophos在2021年發布第一份活躍對手報告以來調查的許多勒索軟件團伙之一�����,包括Cuba和Snatch��。
去年3月出現的勒索軟件團伙Akira排在第二位,共發動了12次攻擊。Sophos對Akira超過Alphv/BlackCat勒索軟件團伙感到驚訝����,后者排在第三位�。
操作者以瞄準醫療保健組織而聞名���,并聲稱對去年的MGM度假村進行了
一次顯著攻擊����。12月���,美國司法部宣布FBI暫時擾亂了Alphv/BlackCat���,并開發了一個解密工具來幫助受害組織����,但該團伙仍然活躍。Alphv/BlackCat行動者在2月份對UnitedHealthcare的Change Healthcare發動了一次大規模攻擊�����。
報告說:“關于勒索軟件攻擊的流行程度���、工具和時間線已達到一個平衡點��。不幸的是����,我們每年仍然看到防御者犯著同樣的錯誤?���?紤]到這一點�,我們認為組織迫切需要參與自救�。”
Sophos列出了防御者繼紺犯的許多錯誤���,例如暴露VPN和RDP。Sophos警告說���,攻擊者利用這些錯誤獲得受害者環境的初始訪問。例如����,Cisco在8月詳細描述了一次攻擊活動,其中Akira和LockBit行動者針對使用其VPN但未啟用MFA的組織��。
報告強調��,外部遠程服務一直是Sophos發布的每份活躍對手報告中的首要初始訪問方法���。
Sophos在其8月發布的年中活躍對手報告中敦促企業保護RDP���。供應商警告說��,這個協議在2023年上半年涉及的攻擊中占了95%。然而��,這個威脅向量在一年中的剩余時間里仍然給組織帶來了問題�。報告強調,去年RDP仍然是“所有Microsoft LOLBins(借地生存的二進制文件)中被濫用最多的”����。
報告說:“RDP濫用已達到新高度�����,90%的攻擊利用它進行內部橫向移動,20%用于外部遠程訪問�。對于仍然將RDP暴露在互聯網上的18%的組織����,你應該問問自己�����,‘我的天�����,我做了什么�?’”
Shier詳細說明了為什么企業繼續努力保護RDP?�;贗R數據����,他說組織分為兩類。“一類是組織不知道將RDP暴露在互聯網上可能帶來的危害,并且長期保護不足�,另一類是他們根本就不在乎�����。”
企業在確保憑證的安全方面也繼續面臨挑戰。Sophos將被盜憑證歸為攻擊的第一大根本原因�,這一比例幾乎是2022年的兩倍�?�!案愀獾氖?��,憑證加固的狀態令人痛心�����。在43%的調查中,沒有配置多因素認證(MFA)?!眻蟾嬲f���。
Sophos補充說����,MFA技術現在已經有三十年的歷史了。
報告敦促企業還要保護它們的Active Directory(AD),攻擊者越來越多地將目標對準了AD。Sophos在2023年開始追蹤時間至Active Directory的指標,并發現所有攻擊的中位數時間至AD為0.64天���。
關于AD威脅,報告建議企業運行工具以檢測可疑活動,更重要的是��,持續監控并響應可疑信號���。在IR調查期間�����,Sophos還發現日志可見性是一個問題。在供應商調查的54%的攻擊中,遙測數據缺失��。
“雖然日志不可用的原因有幾個�����,但在大多數情況下��,這是因為組織沒有采取必要措施確保在最需要時它們會在那里。”報告說�����。
報告補充說:“在事件響應上下文中最重要的是如何攻擊者侵入了組織以及為什么他們成功了���?!?/span>
該文章在 2024/4/9 23:30:52 編輯過
400 186 1886
