安全漏洞在网络攻击中影响多大?勒索组织趁漏洞修补时机发起攻击

中科天齐软件源代码安全检测中心

共 2211字,需浏览 5分钟

 ·

2021-11-11 10:40

软件中的安全漏洞对网络攻击有多大影响?数据显示90%的网络攻击事件与漏洞利用有关,漏洞数量的增加为犯罪分子增加更多机会。修补漏洞的间隙,让犯罪分子引发了一场影响广泛的供应链攻击。因此在软件开发期间及时发现软件安全漏洞并修正,是降低漏洞利用的有效方式。

由Ivanti、Cyber Security Works和Cyware发布的2021年第三季度勒索软件指数聚焦报告发现,2021年第三季度与2021年第二季度相比,与勒索软件相关的CVE增加了4.5%,勒索软件家族增加3.4%。

报告显示,自2021年第二季度以来,勒索软件集团在数量、复杂性和大胆程度上都在不断增加。相比之下,本季度勒索软件攻击中使用了12个新漏洞,使与勒索软件相关的漏洞总数达到278个,使第三季度勒索软件相关的通用漏洞披露增加了4.5%,被广泛利用的热门漏洞增加了4.5%,勒索软件种类增加了3.4%,旧漏洞增加了1.2%。

在新发现的12个漏洞中,5个可以用来实现远程代码执行(RCE),而2个可以用来利用web应用程序和启动拒绝服务(DoS)攻击。这绝对不是什么好消息,但另一项研究显示,本季度分布式DoS (DDoS)攻击也打破了记录。

早起的鸟儿有虫吃

第三季度勒索软件分析还发现,勒索软件组织仍旧在持续行动,他们赶在修补CVE之前寻找和利用零日漏洞。例如:饱受诟病的REvil勒索软件团伙发现并利用了Kaseya VSA软件中的漏洞,当时该公司的安全团队仍在开发三个补丁。

7月2日,REvil团伙在超过5,000次攻击中破坏了Kaseya的虚拟系统/服务器管理员 (VSA) 平台中的3个零日漏洞。

截至7月5日,全球范围内的攻击已在22个国家/地区发动,不仅影响了Kaseya的托管服务提供商(MSP)客户群,而且鉴于其中许多使用VSA来管理其他企业的网络,还触及了这些MSP自己的客户。

勒索软件数量在各个方面都在增加

第三季度还发现了与勒索软件相关的九个严重等级较低的新漏洞。此外,通过此次勒索软件指数的更新发现,勒索组织在第三季度通过12个新漏洞扩大了其攻击库。

利用全新的勒索软件,掌握升级的攻击技术

第三季度的分析还发现了五个新的勒索软件家族,使总数达到151个。在PrintNightmare、PetitPotam和ProxyShell等最危险的漏洞开始流行几周后,新的勒索软件组织就迅速开始攻击这些漏洞。

勒索软件攻击中使用的技术也变得越来越复杂。

报告中分析的一个例子:dropper as-a-service——一种允许技术不熟练/有犯罪倾向的行动者通过dropper程序传播恶意软件的服务,这些程序可以在受害者的电脑上执行恶意负载。

另一种是“木马即服务”(trojan as-a-service),也被称为“恶意软件即服务”(malware as-a-service):这种服务可以让任何有互联网连接的人租用定制的恶意软件服务,允许他们在云上获得、实施和兑现服务,所有这些都无需安装。

所有这些勒索软件似乎都可以出租,例如,勒索软件即服务(RaaS)助长了勒索软件的传播,让那些想要诈骗的人不必因为代码而感到头大。

新瓶装旧酒

在2021年第三季度,有3个可追溯到2020年或更早的漏洞新与勒索软件关联,使与勒索软件相关的旧漏洞总数达到258个,占所有与勒索软件相关漏洞的92.4%。

由此可见,旧的漏洞即便早已发布补丁,但并不是所有用户能及时跟上脚步。前几天Rapid7披露,GitLab半年多以前披露的一个高危漏洞,直到现在竟还有一多半服务器仍没有进行修复。因此,减少网络攻击仅靠防御和打补丁仍旧存在安全漏洞,而在软件开发时利用静态代码分析技术来从源头减少代码缺陷或漏洞,能有效降低软件中的安全漏洞,降低遭到勒索软件攻击的风险。

该分析指出,Cring勒索软件组织是一个显著的例子:该组织针对ColdFusion的两个老漏洞——CVE-2009-3960和CVE-2010-2861,而这两个漏洞早在十多年前就已经有了补丁。

Ivanti的安全产品高级副总裁Srinivas Mukkamala提出:“勒索软件集团一直在完善战术,增加攻击方法,并针对企业未修补的漏洞进行攻击。这份报告旨在帮助企业认识到其环境和端点所面临的安全风险和漏洞暴露,为企业提供可操作的情报,以尽早进行补救。企业必须采取积极主动、基于风险的补丁管理策略,利用自动化安全测试技术来减少勒索软件攻击和其他网络威胁的平均检测、发现、补救和响应时间。”

Cyware首席执行官Anuj Goel表示:“这项报告明确指出,勒索软件正在不断发展,并正变得越来越危险,可能会对目标企业造成灾难性的破坏。对许多企业来说更棘手的是,无论什么垂直行业都无法以筹划、执行和传播的方式,迅速分享具体的失陷标示(IOC),以便在攻击发生前采取行动。管理企业风险意味着企业应该寻求一种集体防御策略,从提高软件自身安全开始,持续掌握攻击和风险面,以减少巨大的声誉、客户和财务损失。网络团队把IT自动化和流程整合的越好,抵御勒索软件的效率也就越高”。


参读链接:

https://threatpost.com/12-new-flaws-used-in-ransomware-attacks-in-q3/176137/

浏览 33
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报