【IT安全】90% 的勒索事件來(lái)源于RDP遠(yuǎn)程桌面協(xié)議?
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
Sophos在其2024年的活躍對(duì)手報(bào)告中表示,它在2023年調(diào)查的大多數(shù)網(wǎng)絡(luò)攻擊涉及勒索軟件,而90%的事件都包含了對(duì)遠(yuǎn)程桌面協(xié)議的濫用。
這家安全供應(yīng)商在周三發(fā)布了其2024年的活躍對(duì)手報(bào)告,該報(bào)告基于它在2023年進(jìn)行的150多起事件響應(yīng)(IR)調(diào)查的數(shù)據(jù)。數(shù)據(jù)集的分析顯示,88%的調(diào)查來(lái)自于員工數(shù)少于1000人的組織,而55%涉及的公司員工數(shù)不超過(guò)250人。代表了26個(gè)行業(yè),制造業(yè)連續(xù)第四年成為最多尋求Sophos IR團(tuán)隊(duì)幫助的行業(yè)。 報(bào)告追蹤了攻擊類型、初始訪問(wèn)向量和根本原因,并發(fā)現(xiàn)這些趨勢(shì)在過(guò)去兩年中保持一致。雖然攻擊者經(jīng)常濫用遠(yuǎn)程桌面協(xié)議(RDP)和憑證訪問(wèn)來(lái)滲透受害者的網(wǎng)絡(luò),但企業(yè)仍然讓RDP暴露在外,而且通常缺乏多因素認(rèn)證(MFA)協(xié)議。 Sophos補(bǔ)充說(shuō),企業(yè)在確保足夠的日志可見(jiàn)性方面也做得不夠,這可能會(huì)妨礙IR調(diào)查。 報(bào)告指出:“通常,被侵犯和未被侵犯的組織之間唯一的區(qū)別在于1) 選擇并部署合適工具的準(zhǔn)備工作,以及2) 在需要時(shí)具備的知識(shí)和準(zhǔn)備采取行動(dòng)的能力。報(bào)告中描述的大多數(shù)工具和技術(shù)都有解決方案,或至少有減輕其危害的緩解措施,但防御措施簡(jiǎn)直沒(méi)法跟上。” 就像許多其他供應(yīng)商一樣,Sophos發(fā)現(xiàn)在2023年,勒索軟件是最常見(jiàn)的攻擊類型;這種威脅占其調(diào)查的70%。供應(yīng)商響應(yīng)了108起勒索軟件攻擊。網(wǎng)絡(luò)入侵排在第二,但僅占調(diào)查的19%。然而,Sophos推測(cè)這兩種攻擊類型之間可能存在聯(lián)系。報(bào)告說(shuō):“雖然我們不能在所有情況下都肯定,但有越來(lái)越多的證據(jù)表明,許多網(wǎng)絡(luò)入侵實(shí)際上是失敗的勒索軟件攻擊。” Sophos確認(rèn)已知的勒索軟件團(tuán)伙進(jìn)行了它調(diào)查的五次網(wǎng)絡(luò)入侵。供應(yīng)商還將網(wǎng)絡(luò)入侵與勒索軟件攻擊按季度進(jìn)行了比較,發(fā)現(xiàn)當(dāng)勒索軟件活動(dòng)減少時(shí),入侵增加。盡管44%的勒索軟件攻擊案例涉及數(shù)據(jù)泄露,Sophos發(fā)現(xiàn)72%的網(wǎng)絡(luò)入侵調(diào)查“沒(méi)有數(shù)據(jù)泄露的證據(jù)”。 Sophos還追蹤了勒索軟件部署的時(shí)間線,并發(fā)現(xiàn)了一個(gè)一致的模式。去年,91%的勒索軟件有效載荷是在傳統(tǒng)工作時(shí)間之外部署的,與2022年相比僅下降了3%。Sophos將“傳統(tǒng)工作時(shí)間”定義為周一至周五的上午8點(diǎn)至下午6點(diǎn),但報(bào)告指出,這些數(shù)據(jù)也考慮了不遵循該時(shí)間表的國(guó)家。 Sophos追蹤了它在2023年事件響應(yīng)調(diào)查中看到的主要攻擊類型。Sophos的2024年活躍對(duì)手報(bào)告發(fā)現(xiàn),去年勒索軟件超過(guò)了所有其他攻擊類型。另一個(gè)一致的趨勢(shì)是勒索軟件家族的分布。報(bào)告發(fā)現(xiàn),LockBit勒索軟件組織去年仍是最活躍的團(tuán)伙。報(bào)告將24起勒索軟件攻擊,即22%的IR調(diào)查歸因于LockBit。很難說(shuō)LockBit是否會(huì)繼續(xù)在2024年主宰這一領(lǐng)域。這個(gè)臭名昭著的團(tuán)伙在2月份被國(guó)際執(zhí)法行動(dòng)暫時(shí)打亂。雖然LockBit操作者迅速恢復(fù)了他們的服務(wù)器,但該團(tuán)伙的復(fù)出嘗試遭遇了挫折。 Sophos的威脅情報(bào)領(lǐng)域首席技術(shù)官John Shier告訴TechTarget Editorial,這次稱為“克羅諾斯行動(dòng)”的執(zhí)法行動(dòng)成功地阻止了加盟LockBit的附屬成員。Shier說(shuō),在擾亂之后,經(jīng)紀(jì)人和附屬成員在地下論壇上表達(dá)了這種情緒。“LockBit部分因其規(guī)模而蓬勃發(fā)展。沒(méi)有了犯罪伙伴合作和信任的侵蝕,我們希望看到LockBit繼續(xù)其走向無(wú)關(guān)緊要的下滑。” LockBit是自Sophos在2021年發(fā)布第一份活躍對(duì)手報(bào)告以來(lái)調(diào)查的許多勒索軟件團(tuán)伙之一,包括Cuba和Snatch。
去年3月出現(xiàn)的勒索軟件團(tuán)伙Akira排在第二位,共發(fā)動(dòng)了12次攻擊。Sophos對(duì)Akira超過(guò)Alphv/BlackCat勒索軟件團(tuán)伙感到驚訝,后者排在第三位。 操作者以瞄準(zhǔn)醫(yī)療保健組織而聞名,并聲稱對(duì)去年的MGM度假村進(jìn)行了 一次顯著攻擊。12月,美國(guó)司法部宣布FBI暫時(shí)擾亂了Alphv/BlackCat,并開(kāi)發(fā)了一個(gè)解密工具來(lái)幫助受害組織,但該團(tuán)伙仍然活躍。Alphv/BlackCat行動(dòng)者在2月份對(duì)UnitedHealthcare的Change Healthcare發(fā)動(dòng)了一次大規(guī)模攻擊。 報(bào)告說(shuō):“關(guān)于勒索軟件攻擊的流行程度、工具和時(shí)間線已達(dá)到一個(gè)平衡點(diǎn)。不幸的是,我們每年仍然看到防御者犯著同樣的錯(cuò)誤。考慮到這一點(diǎn),我們認(rèn)為組織迫切需要參與自救。” Sophos列出了防御者繼紺犯的許多錯(cuò)誤,例如暴露VPN和RDP。Sophos警告說(shuō),攻擊者利用這些錯(cuò)誤獲得受害者環(huán)境的初始訪問(wèn)。例如,Cisco在8月詳細(xì)描述了一次攻擊活動(dòng),其中Akira和LockBit行動(dòng)者針對(duì)使用其VPN但未啟用MFA的組織。 報(bào)告強(qiáng)調(diào),外部遠(yuǎn)程服務(wù)一直是Sophos發(fā)布的每份活躍對(duì)手報(bào)告中的首要初始訪問(wèn)方法。 Sophos在其8月發(fā)布的年中活躍對(duì)手報(bào)告中敦促企業(yè)保護(hù)RDP。供應(yīng)商警告說(shuō),這個(gè)協(xié)議在2023年上半年涉及的攻擊中占了95%。然而,這個(gè)威脅向量在一年中的剩余時(shí)間里仍然給組織帶來(lái)了問(wèn)題。報(bào)告強(qiáng)調(diào),去年RDP仍然是“所有Microsoft LOLBins(借地生存的二進(jìn)制文件)中被濫用最多的”。 報(bào)告說(shuō):“RDP濫用已達(dá)到新高度,90%的攻擊利用它進(jìn)行內(nèi)部橫向移動(dòng),20%用于外部遠(yuǎn)程訪問(wèn)。對(duì)于仍然將RDP暴露在互聯(lián)網(wǎng)上的18%的組織,你應(yīng)該問(wèn)問(wèn)自己,‘我的天,我做了什么?’”
Shier詳細(xì)說(shuō)明了為什么企業(yè)繼續(xù)努力保護(hù)RDP。基于IR數(shù)據(jù),他說(shuō)組織分為兩類。“一類是組織不知道將RDP暴露在互聯(lián)網(wǎng)上可能帶來(lái)的危害,并且長(zhǎng)期保護(hù)不足,另一類是他們根本就不在乎。” 企業(yè)在確保憑證的安全方面也繼續(xù)面臨挑戰(zhàn)。Sophos將被盜憑證歸為攻擊的第一大根本原因,這一比例幾乎是2022年的兩倍。“更糟糕的是,憑證加固的狀態(tài)令人痛心。在43%的調(diào)查中,沒(méi)有配置多因素認(rèn)證(MFA)。”報(bào)告說(shuō)。 Sophos補(bǔ)充說(shuō),MFA技術(shù)現(xiàn)在已經(jīng)有三十年的歷史了。 報(bào)告敦促企業(yè)還要保護(hù)它們的Active Directory(AD),攻擊者越來(lái)越多地將目標(biāo)對(duì)準(zhǔn)了AD。Sophos在2023年開(kāi)始追蹤時(shí)間至Active Directory的指標(biāo),并發(fā)現(xiàn)所有攻擊的中位數(shù)時(shí)間至AD為0.64天。
關(guān)于AD威脅,報(bào)告建議企業(yè)運(yùn)行工具以檢測(cè)可疑活動(dòng),更重要的是,持續(xù)監(jiān)控并響應(yīng)可疑信號(hào)。在IR調(diào)查期間,Sophos還發(fā)現(xiàn)日志可見(jiàn)性是一個(gè)問(wèn)題。在供應(yīng)商調(diào)查的54%的攻擊中,遙測(cè)數(shù)據(jù)缺失。 “雖然日志不可用的原因有幾個(gè),但在大多數(shù)情況下,這是因?yàn)榻M織沒(méi)有采取必要措施確保在最需要時(shí)它們會(huì)在那里。”報(bào)告說(shuō)。 報(bào)告補(bǔ)充說(shuō):“在事件響應(yīng)上下文中最重要的是如何攻擊者侵入了組織以及為什么他們成功了。” 該文章在 2024/4/9 23:30:52 編輯過(guò) |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
