勒索軟件攻擊者正在尋找新的方法將老舊漏洞武器化

家修

勒索軟件攻擊者如今正在尋找新的方法，通過將老舊漏洞武器化以利用企業網絡安全方面的弱點。將長期存在的勒索軟件攻擊工具與最新的人工智能和機器學習技術相結合，一些有組織的犯罪團伙和先進的持續性威脅（APT）團伙在創新方面繼續領先于企業。

多家漏洞和網絡安全分析機構，包括CSW公司、Ivanti公司、Cyware公司和Securin公司聯合發布的一份新報告揭示了勒索軟件在2022年為全球企業帶來的巨大損失。目前被勒索軟件團伙利用的漏洞中，76 %是在2010-2019年期間首次發現的。

勒索軟件成為首席信息安全官的首要關注

根據一份名為《從威脅和漏洞管理的角度看勒索軟件報告》的2023年聚焦報告，2022年在全球發現了56個與勒索軟件威脅相關的新漏洞，使漏洞總數達到344個，與2021年的288個漏洞相比增加了19 %。研究還發現，在264個舊漏洞中，有208個漏洞被公開利用。

美國國家漏洞數據庫（NVD）列出了160 344個漏洞，其中3.3 %（5 330個）屬于最危險的利用類型———遠程代碼執行（RCE）和特權升級（PE）。在5 330個武器化漏洞中，344個與217個勒索病毒家族和50個高級持續性威脅（APT）團伙有關，因此非常危險。

智能IT管理和安全軟件解決方案提供商Ivanti公司首席產品官Srinivas Mukkamala說：“勒索軟件是每個企業最關心的問題，無論是私營部門還是公共部門。由于企業、社區和個人遭受的損失不斷上升，打擊勒索軟件已被列為世界各國領導人議程中的首要任務。所有人都必須真正了解他們的攻擊面，并為他們的企業提供分層的安全性，以便能夠在面對越來越多的勒索軟件攻擊時具有彈性。”

勒索軟件攻擊者知道什么

資金充足的有組織犯罪和APT團伙讓他們的成員專門研究攻擊模式和可以不被發現的老舊漏洞。研究發現，勒索軟件攻擊者經常試圖躲避流行的漏洞掃描器的檢測，包括Nessus、Nexpose和Qualys。這些攻擊者根據他們躲避檢測的能力來選擇要攻擊的老舊漏洞。

該研究確定了20個與勒索軟件相關的漏洞，這些漏洞的插件和檢測簽名尚不可用。該研究報告的作者指出，這些漏洞包括他們在上一個季度的分析中發現的與勒索軟件相關的所有漏洞，還有2個新添加的漏洞———CVE-2021-33558（Boa）和CVE-2022-36537（Zkoss）。

勒索軟件攻擊者還會優先尋找企業的網絡保險政策及其覆蓋范圍限制。他們要求按企業承保的最高金額支付贖金。這一發現與Gartner公司副總裁Paul Furtado最近接受行業媒體采訪時所述的內容相吻合。企業的IT領導者需要知道如何應對勒索軟件攻擊，并展示這種做法是多么普遍，以及為什么老舊漏洞的武器化現在如此流行。

Furtado表示：“例如，勒索軟件攻擊者要求一個受害者支付200萬美元的勒索贖金，受害者表示贖金太高，勒索軟件攻擊者給他們發送了一份保險單的副本文件，顯示他們在網絡保險方面的保單金額。關于勒索軟件攻擊必須明白的一點是，與其他類型安全事件不同的是，它可能會讓企業破產或倒閉。”

武器化漏洞迅速蔓延

中小規模的企業往往受到勒索軟件攻擊的打擊最嚴重，因為他們的網絡安全預算很少，無法僅為網絡安全而增加更多的員工。

Sophos公司的最新研究發現，制造業公司支付的贖金最高，平均達到2 036 189美元，遠高于812 000美元的跨行業平均水平。在對中小制造商的首席執行官和首席運營官的調查時了解到，北美地區發生的勒索軟件攻擊事件快速增長，并且還在持續。

勒索軟件攻擊者通常選擇軟目標，并在中型或小型企業的IT人員最難反應的時候發起攻擊。Furtado在接受采訪時表示：“76 %的勒索軟件攻擊發生在非工作時間。大多數受到攻擊的企業都會在隨后的時間內成為目標；90 %受到攻擊的企業會在90天內再次成為目標。90 %的勒索軟件襲擊都是針對年收入不到10億美元的公司。”

網絡攻擊者的目的

識別老舊的漏洞是網絡攻擊者實現武器化的第一步，研究發現，復雜的、有組織的犯罪和APT團伙正在尋找最薄弱的漏洞并加以利用。以下是報告中的一些例子。

殺傷鏈影響廣泛采用的IT產品

研究團隊研究了與勒索軟件相關的所有344個漏洞，確定了57個最危險可能被利用的漏洞，從最初的訪問到泄露。

勒索軟件團伙可以使用的殺傷鏈來利用來自微軟、甲骨文、F5、VMWare、Atlassian、Apache和SonicWall等供應商的81種產品的漏洞。

MITREA TT&CK殺傷鏈是一個模型，可以定義、描述和跟蹤網絡攻擊的每個階段，可視化攻擊者所做的每個動作。殺傷鏈中描述的每種策略都有多種技術來幫助勒索軟件攻擊者實現特定的目標。該框架還為每種技術提供了詳細的程序，并列出了現實世界攻擊中使用的工具、協議和惡意軟件種類。

安全研究人員可以使用這些框架來了解攻擊模式、檢測暴露、評估當前防御和跟蹤攻擊者。

APT團伙更猛烈地發起勒索軟件攻擊

CSW公司觀察到50多個APT團伙發起勒索軟件攻擊，與2020年的33個相比增加了51 %。在2022年第4季度，4個與勒索軟件關聯的APT團伙（DEV-023、DEV-0504、DEV-0832和DEV-0950）發動了猛烈的攻擊。

報告發現，最危險的趨勢之一是部署惡意軟件和勒索軟件，作為戰爭的前兆。2022年初，研究團隊看到在俄烏沖突升級之后，烏克蘭受到APT團伙的攻擊，包括Gamaredon（Primitive Bear）、Nobelium（APT29）、Wizard Spider（Grim Spider）和Ghostwriter（UNC1151），其攻擊目標是烏克蘭的關鍵基礎設施。

許多企業的軟件產品受到開源問題的影響

在軟件產品中重用開源代碼會復制漏洞，比如在Apache Log4j中發現的漏洞。例如，Apache Log4j漏洞CVE-2021- 45046存在于16家供應商的93個產品中。AvosLocker勒索軟件利用了這些產品，另一個Apache Log4j漏洞CVE-2021-45105存在于11家供應商的128個產品中，也被AvosLocker勒索軟件利用。

研究團隊對CVE漏洞的進一步分析出了勒索軟件攻擊者成功大規模武器化勒索軟件的原因。一些CVE漏洞存在許多領先的企業軟件平臺和應用程序中，其中的一個漏洞是CVE-2018-363，該漏洞存在于26個供應商的345個產品中，其中包括Red Hat、Oracle、亞馬遜、微軟、蘋果和VMWare等知名廠商。

這一漏洞存在于許多產品中，包括Windows Server和Enterprise Linux Server，并與勒索軟件相關，研究機構2022年年底在互聯網上發現了這一漏洞。

CVE-2021-44228是另一個Apache Log4j漏洞。它目前存在于21家供應商的176種產品中，特別是Oracle、Red Hat、Apache、Novell、Amazon、Cisco和SonicWall等公司。這個RCE漏洞被AvosLocker、Conti、Khonsari、NightSky、Cheerscrypt和TellYouThePass這6個勒索軟件團伙利用。

該漏洞也成為黑客關注的焦點，截至2022年12月10日，該漏洞已經成為了一種趨勢，這也是美國網絡安全和基礎設施安全局（CISA）將其納入CISA KEV目錄的原因。

勒索軟件吸引了經驗豐富的攻擊者

使用勒索軟件的網絡攻擊正變得越來越致命，也越來越有利可圖，因此吸引了全球最復雜、資金最雄厚的有組織犯罪和APT團伙。Ivanti公司的Mukkamala說：“威脅行為者越來越多地瞄準網絡安全方面的缺陷，包括遺留的漏洞管理流程。如今，許多安全和IT團隊難以識別漏洞構成的風險，因此，對漏洞采取了不恰當的措施。例如，許多企業只修補新的漏洞或在美國國家漏洞數據庫（NVD）中披露的漏洞。其他人只使用通用漏洞評分系統（CVSS）來評分和優先考慮漏洞。”

勒索軟件攻擊者繼續尋找新的方法來實現老舊漏洞的武器化。這份報告中分享的許多見解將幫助首席信息安全官及其安全團隊做好準備，以應對攻擊者的更致命的勒索軟件和更高的勒索費用。