日前,软件商Ivanti的《勒索软件对焦年终报告》说明,勒索软件变成2021年提高最迅速的互联网攻击专用工具,这股趋势会维持到2022年;勒索软件漏洞在短短的一年内激增29%,通用性漏洞公布(CVE)从223个提升到了288个;勒索软件攻击策划人不断紧抓零日漏洞,实行供应链管理攻击,调整漏洞链,检索废弃商品中的漏洞,以提升勒索软件攻击成功概率,她们已经竭尽全力地使勒索软件武器化,与此同时应用漏洞链催毁成条供应链管理。
勒索软件武器化日益不容乐观
2022年有7个新的APT团伙应用勒索软件漏洞启动攻击,如今全世界一共有40个APT团伙在应用勒索软件。上年新增加的勒索软件大家族致力于拓展勒索软件即服务项目、漏洞利用即服务、Dropper即服务项目和木马病毒即综合服务平台,根据服务平台给予勒索软件即服务项目的办法是勒索软件团伙的最新动态之一。Ivanti在2018年至2020年间发觉了125个勒索软件大家族,再加上2021年的32个新家族,总体总数提升了25.6%,这157个勒索软件大家族利用288个漏洞执行攻击主题活动。
研究发现,在这里288个漏洞中,57%(164个)的勒索软件漏洞有相对的公共性漏洞利用编码。在其中,109个漏洞可以被远程控制利用(远程执行命令)。可利用的漏洞还包含23个可以提高管理权限的漏洞、13个很有可能造成拒绝服务攻击攻击的漏洞及其40个利用Web程序的漏洞。勒索软件攻击者正优先选择考虑到将漏洞利用武器化。
图1 根据远程控制执行命令(RCE)的勒索软件是提高迅速的一类武器化勒索软件
远程控制漏洞在软总体目标中尤其广泛,软总体目标是互联网犯罪嫌疑人,尤其是勒索软件和APT团伙的最喜欢。上年对保健医疗领域、石油供应链管理、食品类代销商以及供应链管理、药店和校园的攻击突显了这类方式的时髦水平。大家都知道,这好多个重要领域单位缺乏网络信息安全资产或具备专业技能的职工以开展危害检验和震慑,还经常应用最少一年未修复漏洞的系统软件,这就给互联网犯罪嫌疑人以机会。
勒索软件太空竞赛
网络诈骗团伙在勒索软件行业的太空竞赛,正更新为武器化的有效载荷、更奸诈的漏洞链方式,及其出其不意把握机会建立X即服务项目手机软件。网络信息安全经销商以及服务项目机构必须使用一种更合理的补丁管理方式,应对武器化的勒索软件,随后明确每一个节点的情况。缺憾的是,勒索软件团伙在这方面屡试不爽,她们科学研究长时间存在的CVE并寻找可利用的未修复漏洞。
例如,Cring勒索软件悄悄的利用了Adobe ColdFusion 9中的2个漏洞:CVE-2009-3960和CVE-2010-2861,该商品自2016年被标识为“损毁”至今一直末见修改。该团伙利用CVE-2010-2861潜进了一家根据业务的企业网络服务器,并应用CVE-2009-3960提交web shell、Cobalt Strike的Beacon有效载荷,最终提交了该勒索软件的有效载荷。
Ivanti的研究发现,未修复漏洞的漏洞是2021年勒索软件团伙最常利用的攻击方式。2020年有223个与勒索软件有关的漏洞,2021年激增29%,漏洞数量做到了288个CVE。这65个新增加漏洞中超出30%被人们在在网上积极主动检索,这说明高度重视和塞住这种漏洞的必要性。但很多机构在补丁管理上慢一拍,任凭节点向日益奸诈的勒索软件攻击敞开大门。
在现阶段的288个勒索软件CVE中,英国网络信息安全和基础设施建设安全局(CISA)、国土安全局(DHS)、中情局(FBI)、国家安全局(NSA)以及他安全性组织已对在其中66个传出了多次警示。这种警示传递了为漏洞修复漏洞的迫切性。CISA还公布了一项有约束的命令,强制性公共行政为一系列特殊的漏洞修复漏洞,附带严苛的截至日期。
图2 根据安全风险的漏洞对策
Ivanti网络安全产品高级副总裁Srinivas Mukkamala表明:“机构必须特别当心,在为武器化漏洞修复漏洞层面不可推迟。这必须融合根据安全风险的漏洞优先明确和全自动补丁包情报信息,以鉴别漏洞缺点,并明确优先,随后加速解决。” 根据安全风险的漏洞对策不仅必须关心NVD CVSS得分剖析,还需要全方位、系统化地掌握机构现阶段遭遇的勒索软件漏洞。
参照连接:
https://venturebeat.com/2022/01/26/cybersecuritys-challenge-for-2022-is-defeating-weaponized-ransomware/