近日，IBM Security發(fā)布了2021年IBM X-Force威脅情報(bào)指數(shù)報(bào)告，重點(diǎn)闡述了網(wǎng)絡(luò)攻擊在2020年經(jīng)歷的演變。這一年，新冠肺炎疫情帶來(lái)了前所未有的社會(huì)經(jīng)濟(jì)、商業(yè)和政治挑戰(zhàn)，而眾多威脅源都試圖從中獲利，IBM Security X-Force觀察到：攻擊者在世界各地助力抗擊新冠肺炎疫情的關(guān)鍵企業(yè)作為攻擊對(duì)象，包括醫(yī)院、醫(yī)藥產(chǎn)品生產(chǎn)商、以及為抗擊新冠肺炎疫情供應(yīng)鏈提供電力的能源公司。

[[385387]]

根據(jù)這份最新報(bào)告，2020年針對(duì)醫(yī)療、制造業(yè)和能源行業(yè)發(fā)起的網(wǎng)絡(luò)攻擊與2019年相比翻了一番，威脅源選擇的目標(biāo)都是一旦停工就有可能導(dǎo)致醫(yī)療服務(wù)或關(guān)鍵供應(yīng)鏈中斷的關(guān)鍵組織。在2020年，制造業(yè)和能源行業(yè)成為了重點(diǎn)攻擊對(duì)象，僅次于金融和保險(xiǎn)業(yè)。由于工業(yè)控制系統(tǒng) (ICS) 中的漏洞增加了近50%，而制造業(yè)和能源行業(yè)都十分依賴ICS，所以，攻擊者就利用這些漏洞發(fā)起攻擊。

IBM Security X-Force全球威脅情報(bào)負(fù)責(zé)人Nick Rossmann表示：“從本質(zhì)來(lái)看，此次疫情重塑了當(dāng)下的關(guān)鍵基礎(chǔ)設(shè)施，而攻擊者注意到了這一點(diǎn)。為了抗擊疫情，許多企業(yè)首次走上前線，支持新冠肺炎疫情相關(guān)研究、維護(hù)疫苗和食物供應(yīng)鏈、生產(chǎn)個(gè)人防護(hù)裝備等。隨著新冠肺炎疫情的不斷發(fā)展，攻擊者也在不斷進(jìn)行受害者研究并隨之改變攻擊策略，這也再次反映了網(wǎng)絡(luò)攻擊者的適應(yīng)性、機(jī)智性和持久性。”

IBM對(duì)130多個(gè)國(guó)家/地區(qū)每天發(fā)生的超過(guò)1500億起安全事件進(jìn)行了監(jiān)控，并根據(jù)通過(guò)監(jiān)控獲得的洞察和觀察結(jié)果發(fā)布了X-Force威脅情報(bào)指數(shù)報(bào)告。此外，IBM從內(nèi)部的多個(gè)來(lái)源收集了相關(guān)數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行了分析。相關(guān)數(shù)據(jù)來(lái)源包括IBM Security X-Force威脅情報(bào)與應(yīng)急事件響應(yīng)、X-Force Red、IBM Managed Security Services，以及Quad9和Intezer提供的數(shù)據(jù)——在此次發(fā)布的報(bào)告中，后兩個(gè)來(lái)源的數(shù)據(jù)已經(jīng)體現(xiàn)。

2021年IBM X-Force威脅情報(bào)指數(shù)報(bào)告的重點(diǎn)包括：

• 網(wǎng)絡(luò)罪犯分子加速使用Linux惡意軟件——根據(jù)Intezer提供的數(shù)據(jù)，在過(guò)去一年中，Linux相關(guān)惡意軟件系列產(chǎn)品增加了40%;2020年的前六個(gè)月，Go編寫的惡意軟件增加了500%，攻擊者正在加快利用Linux惡意軟件，這種惡意軟件可以更輕易地在各種平臺(tái)上(包括云環(huán)境)運(yùn)行。
• 疫情導(dǎo)致知名品牌遭仿冒——在過(guò)去一年中，多地提倡保持社交距離和遠(yuǎn)程工作，因此，提供谷歌、Dropbox和微軟等協(xié)作工具的品牌，或亞馬遜和PayPal等在線購(gòu)物品牌都成為在2020年最常被仿冒的品牌。YouTube和Facebook成為去年消費(fèi)者獲取新聞的主要途徑，所以，二者也成為了最常被仿冒的品牌。令人意外的是，2020年第七大最常被仿冒的品牌竟然是阿迪達(dá)斯，這是阿迪達(dá)斯首次進(jìn)入最常被仿冒的品牌之列，主要原因可能是人們對(duì)Yeezy和Superstar運(yùn)動(dòng)鞋系列的需求大增。
• 勒索軟件集團(tuán)從盈利的商業(yè)模式中獲利——2020年，在X-Force應(yīng)對(duì)的各種攻擊中，近四分之一的攻擊來(lái)自勒索軟件，該種攻擊可演變?yōu)榘p重勒索戰(zhàn)術(shù)的攻擊。X-Force利用該模型進(jìn)行了評(píng)估，發(fā)現(xiàn)在2020年最受關(guān)注的勒索軟件集團(tuán)Sodinokibi在當(dāng)年獲利頗豐。X-Force在該報(bào)告中估計(jì)，該企業(yè)在過(guò)去一年里的保守收益估值超過(guò)1.23億美元，大約三分之二的受害者支付了贖金。

對(duì)開(kāi)源惡意軟件的投資使云環(huán)境慘遭威脅

在新冠肺炎疫情期間，許多企業(yè)都試圖加快采用云技術(shù)。“事實(shí)上，Gartner近期進(jìn)行的一項(xiàng)調(diào)查顯示，新冠肺炎疫情造成業(yè)務(wù)中斷之后，如今采用云服務(wù)的企業(yè)之中的近70%計(jì)劃增加在云技術(shù)方面的支出。”但是，由于目前90%的云工作負(fù)載均由Linux支持，而X-Frand報(bào)告表明，過(guò)去十年中與Linux相關(guān)的惡意軟件系列增加了500%，因此，云環(huán)境可能成為威脅源的主要攻擊媒介。

隨著開(kāi)源惡意軟件的增加，IBM通過(guò)評(píng)估發(fā)現(xiàn)，攻擊者可能正在尋找提高利潤(rùn)率的方法，即他們可能會(huì)通過(guò)降低成本、提高效率、創(chuàng)造機(jī)會(huì)來(lái)發(fā)起收益更高的攻擊。該報(bào)告強(qiáng)調(diào)，多家威脅組織(如APT28、APT29和Carbanak)均轉(zhuǎn)向開(kāi)源惡意軟件，這表明該趨勢(shì)會(huì)導(dǎo)致新一年出現(xiàn)更多云環(huán)境攻擊。

報(bào)告還指出，攻擊者正在利用云環(huán)境提供的可擴(kuò)展處理能力，將大量云使用費(fèi)用轉(zhuǎn)嫁給受害企業(yè)。Intezer在2020年觀察到，超過(guò)13%的Linux加密挖掘惡意軟件中出現(xiàn)了從未被發(fā)現(xiàn)過(guò)的新代碼。

由于攻擊者的目標(biāo)鎖定在云上，所以，X-Force建議企業(yè)應(yīng)該考慮針對(duì)其安全策略采用零信任方法。企業(yè)還應(yīng)將保密計(jì)算作為其安全基礎(chǔ)設(shè)施的核心組件，以幫助保護(hù)最敏感的數(shù)據(jù)。通過(guò)對(duì)使用中的數(shù)據(jù)進(jìn)行加密，企業(yè)可以減少惡意攻擊者可利用的漏洞，確保即使他們能夠訪問(wèn)企業(yè)的敏感環(huán)境，也會(huì)一無(wú)所獲。

偽裝成知名品牌的網(wǎng)絡(luò)罪犯

2021年IBM X-Force威脅情報(bào)指數(shù)報(bào)告強(qiáng)調(diào)，網(wǎng)絡(luò)犯罪分子大多選擇將自己偽裝成消費(fèi)者信任的品牌。作為世界上最具影響力的品牌之一，阿迪達(dá)斯似乎對(duì)于網(wǎng)絡(luò)犯罪分子具有很強(qiáng)的吸引力。這些網(wǎng)絡(luò)犯罪分子試圖利用消費(fèi)者的需求心理，引誘那些尋找心儀運(yùn)動(dòng)鞋的人進(jìn)入貌似合法網(wǎng)站的惡意網(wǎng)站。一旦用戶訪問(wèn)了貌似合法的域名，網(wǎng)絡(luò)犯罪分子就會(huì)試圖開(kāi)展在線支付詐騙、竊取用戶的財(cái)務(wù)信息、獲取用戶憑據(jù)或通過(guò)惡意軟件使受害者的設(shè)備中毒。

報(bào)告指出，假冒阿迪達(dá)斯的大部分欺騙行為都與Yeezy和Superstar運(yùn)動(dòng)鞋系列相關(guān)。據(jù)報(bào)道，僅Yeezy系列運(yùn)動(dòng)鞋在2019年就為阿迪達(dá)斯實(shí)現(xiàn)了13億美元的收入，該系列是運(yùn)動(dòng)服飾生產(chǎn)商阿迪達(dá)斯最暢銷的運(yùn)動(dòng)鞋系列之一。阿迪達(dá)斯將在年初推出新款運(yùn)動(dòng)鞋，而攻擊者很有可能會(huì)利用暢銷品牌的購(gòu)買需求謀得私利。

勒索軟件是2020年最常見(jiàn)的攻擊形式

根據(jù)2021年IBM X-Force威脅情報(bào)指數(shù)報(bào)告，與2019年相比，2020年全球遭遇的勒索軟件攻擊數(shù)量有所增長(zhǎng)。在X-Force應(yīng)對(duì)的勒索軟件攻擊中，近60%采用了雙重勒索策略，即攻擊者加密并竊取數(shù)據(jù)。如果受害者不支付勒索金，攻擊者就會(huì)發(fā)出泄露數(shù)據(jù)等威脅。事實(shí)上，2020年，在X-Force追蹤的數(shù)據(jù)泄露案例中，36%源于勒索軟件攻擊，這些攻擊同時(shí)還涉嫌數(shù)據(jù)盜竊，表明數(shù)據(jù)泄露和勒索軟件攻擊開(kāi)始發(fā)生沖撞。

據(jù)報(bào)道，2020年最活躍的勒索軟件集團(tuán)是Sodinokibi(也稱為 REvil)，該企業(yè)主導(dǎo)的勒索軟件攻擊占X-Force觀察到的所有勒索軟件事件的 22%。X-Force估計(jì)，Sodinokibi從受害者那里竊取了大約21.6TB的數(shù)據(jù)，將近三分之二的Sodinokibi受害者支付了贖金，大約43%受害者的數(shù)據(jù)被泄露——X-Force估計(jì)，該公司在過(guò)去一年通過(guò)勒索攻擊獲利1.23億美元。

該報(bào)告發(fā)現(xiàn)，2020年那些最成功的勒索軟件集團(tuán)也和Sodinokibi一樣專注于竊取和泄露數(shù)據(jù)、成立勒索軟件即服務(wù)團(tuán)伙，并將其業(yè)務(wù)的關(guān)鍵部分外包給專注于攻擊不同方面的網(wǎng)絡(luò)犯罪分子。針對(duì)這些更具攻擊性的勒索軟件攻擊，X-Force建議企業(yè)限制對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限，使用特權(quán)訪問(wèn)管理 (PAM) 和身份與訪問(wèn)管理 (IAM) 保護(hù)高級(jí)特權(quán)帳戶。

該報(bào)告中的其他關(guān)鍵發(fā)現(xiàn)包括：

• 漏洞超過(guò)網(wǎng)絡(luò)釣魚，成為最常見(jiàn)的感染媒介——2021年的報(bào)告顯示，去年，掃描和漏洞利用 (35%) 是訪問(wèn)受害者環(huán)境最常見(jiàn)的方式，多年來(lái)首次超過(guò)網(wǎng)絡(luò)釣魚 (31%)。
• 2020年的網(wǎng)絡(luò)攻擊使歐洲遍體鱗傷——根據(jù)該報(bào)告，在X-Force在2020年應(yīng)對(duì)的攻擊中，歐洲遭受的攻擊占31%，高于其他任何地區(qū)，其中，勒索軟件是罪魁禍?zhǔn)?。此外，歐洲遭受的內(nèi)部威脅攻擊也多于其他任何地區(qū)，其數(shù)量是北美和亞洲總和的兩倍。

2021年IBM X-Force威脅情報(bào)指數(shù)報(bào)告使用了IBM在2020年收集的數(shù)據(jù)，提供了關(guān)于全球威脅領(lǐng)域的深層洞察，告知了安全專家與他們的企業(yè)最相關(guān)的威脅。