大多數勒索軟件活動源自三條常見的初始攻擊途徑 天天觀察

大多數勒索軟件攻擊者使用三種主要的攻擊途徑之一來攻陷網絡，并獲得訪問組織關鍵系統和數據的權限。

據卡巴斯基最近發布的報告《網絡事件的性質》顯示，比如說，2022 年成功的勒索軟件攻擊的最重要途徑就是利用面向公眾的應用程序，這占了所有攻擊事件的 43%，其次是使用被攻擊的帳戶（24%）和惡意電子郵件（12%）。

與上一年相比，利用應用程序和惡意電子郵件在所有攻擊中所占的比例有所下降，而利用被攻擊帳戶所占的比例較 2021 年的 18% 有所上升。

(資料圖片)

結論就是，加大關注最常見攻擊途徑的力度對于防止勒索軟件攻擊大有助益。卡巴斯基全球應急響應團隊負責人 Konstantin Sapronov 表示，許多公司并不是攻擊者最初的目標，但由于薄弱的 IT 安全機制，它們很容易被黑客攻擊，因此網絡犯罪分子趁機而入。如果我們看看三大攻擊途徑，它們共占幾乎所有事件的 80%，就可以實施一些防御措施來應對攻擊，并大大降低淪為受害者的可能性。

卡巴斯基提到的三大攻擊途徑與事件響應公司谷歌 Mandiant 早前的一份報告相符，Mandiant 發現同樣的常見攻擊途徑構成了前三種技術：利用漏洞（32%）、網絡釣魚（22%）和竊取憑據（14%），但勒索軟件攻擊者往往將重點放在利用漏洞和竊取憑據上，這兩種攻擊技術共占所有勒索軟件事件的近一半（48%）。

勒索軟件在 2020 年和 2021 年大行其道，但在去年趨于平穩，甚至略有下降。Mandiant 的金融犯罪分析部門首席分析師 Jeremy Kennelly 表示，但今年，勒索軟件及相關攻擊（以索要贖金為目標的數據泄露）似乎在增加，2023 年上半年被發布到數據泄露網站的組織數量有所增加。

這可能是一個早期警告，表明我們在 2022 年看到的偃旗息鼓將是短暫的，能夠繼續使用同樣的初始訪問途徑助長了攻擊。

Kennelly 表示，近年來，參與勒索軟件活動的攻擊者不需要顯著完善其戰術、技術和程序 （TTP），因為眾所周知的攻擊策略繼續被證明很有效。

不足為奇的三大途徑：漏洞利用、憑據和網絡釣魚

2022 年 12 月，美國網絡安全和基礎設施安全局（CISA）警告，攻擊者通常使用五條初始訪問途徑，包括卡巴斯基和 Mandiant 提到的三大途徑，外加外部遠程服務（比如 VPN 和遠程管理軟件）以及第三方供應鏈攻擊（又叫可信任關系）。

據卡巴斯基的報告顯示，大多數攻擊要么很快要么很慢：快速攻擊會在短短幾天內破壞系統并加密數據。而在慢速攻擊中，威脅分子通常在幾個月內更縱深地滲入到網絡中，可能進行網絡間諜活動，然后部署勒索軟件或發送勒索信。

卡巴斯基的 Sapronov 表示，如果沒有某種應用程序或行為監控機制，利用面向公眾的應用程序和濫用合法憑據這兩種現象也往往更難檢測出來，導致攻擊者在受害者的網絡中停留的時間更長。

組織對應用程序監控沒有給予足夠的關注。此外，當攻擊者利用應用程序時，他們需要采取更多的步驟才能企及目標。

圖 1. 利用應用程序是首要的初始訪問途徑，往往導致勒索軟件快速攻擊或持續更久的間諜活動（圖片來源：卡巴斯基）

貼士：跟蹤漏洞利用方面的趨勢

了解攻擊者可能會采取的最常見方法有助于為防御者提供信息。比如說，公司應該繼續優先考慮那些在野外被大肆利用的漏洞。Mandiant 的 Kennelly 表示，只有密切關注威脅生態系統方面的變化，公司才能確保自己為可能出現的攻擊做好準備。

由于威脅分子可以迅速將漏洞利用代碼變成武器以支持入侵活動，了解哪些漏洞正在被肆意利用、漏洞利用代碼是否公開可用以及特定的補丁或補救策略是否有效，這很可能讓組織無須處理一起或多起主動入侵事件。

不過由于攻擊者不斷適應防御機制，應避免過分強調防范特定的初始訪問途徑。

在某個時間最常見的特定感染途徑應該不會廣泛地改變組織的防御態勢，因為威脅分子不斷改變其活動，將重點放在最成功的攻擊途徑上。任何某條途徑的流行程度下降并不意味著它構成的威脅明顯降低——比如說，通過網絡釣魚獲得訪問權限的入侵比例在緩慢下降，但電子郵件仍然被許多頗具影響力的威脅組織所使用。