天地和兴：2021年上半年网络威胁态势分析

作者 | 天地和兴工业网络安全研究院

根据SonicWall Capture Labs的记录，在2021年前6个月，全球勒索软件的攻击次数达到了前所未有的3.047亿次，已经超过了2020年全年的3.046亿次。总体而言，今年上半年的勒索软件比2020年同期增长了惊人的151%。

勒索软件在4月份达到新高后，在5月份再次上升，然后在6月份再次上升。6月份，SonicWall记录了7840万次勒索软件尝试，超过了2020年整个第二季度，几乎是2019年全年攻击总数的一半。

1、勒索软件为何上升

最近勒索软件的增长背后有几个因素，但事实仍然是被迫支付赎金的组织越多，勒索软件组织发动攻击的动机就越强。

一些组织选择购买网络保险，目的是保护购买者免受网络攻击的影响。但由于这些保单通常涵盖了赎金支付，因此，面对勒索软件攻击的投保人能够支付赎金并获得解密，同时仍能避免向犯罪分子支付巨额意外款项所带来的风险和困难。

虽然从短期来看，这似乎对保险公司、受害者和勒索软件运营商有利，但这种策略是不可持续的。对于被迫支付赎金的受害者来说，网络犯罪分子提出的要求会越来越高，如果这种趋势持续下去，保险公司最终将无法承受损失。

勒索软件运营商可能会发起更多攻击还有另一个原因，不断变化的技术使得这样做更有可能获得回报。与过去相比，现在网络犯罪分子通过两种方式在勒索软件上赚得更多：双重勒索和重复攻击。

过去，支付赎金主要是为了确保能够恢复或解密数据。受害者向攻击者支付商定的金额，攻击者通常提供一个解密工具，该工具允许他们恢复其文件。但在像WannaCry这样的攻击中，各组织开始加强其网络安全态势，以防范勒索软件。这些组织只要维护当前备份，无需购买解密工具，就能够轻松地重建其系统。

虽然勒索软件运营商在查找和加密备份方面越来越在行，但他们也找到了另一种方法来确保受害者在存在当前备份的情况下支付费用：勒索。

比如最近对Colonial Pipeline和俄克拉荷马州Tulsa市的攻击事件，攻击者会在加密文件之前窃取和泄露数据。这意味着，即使受害者有可靠的备份，可以轻松地重建网络，受害者仍然可能为了维护自己的声誉、避免罚款、保密个人身份信息、及监管合规等而支付费用。

不幸的是，表现出支付意愿的组织可能很快就会再次受到攻击，要么是同一组网络罪犯，要么是另一组听说该组织支付了赎金的威胁行为者。选择支付赎金的组织中大约有八成再次遭到攻击，在这些受害者中，近一半的组织认为第二次攻击是由与第一次相同的网络罪犯实施的。

虽然目前尚不清楚有多少组织成为重复攻击的目标，但近年来至少有三家公司成为重点针对目标：巴尔的摩市、澳大利亚物流公司Toll Group和美国科技公司Pitney Bowes。

2、最新发展动态

最近，无论是网络犯罪还是总体而言，比特币记录受到了越来越严格的审查，这提醒人们加密货币的可追踪性到底有多强，同时也促使一些攻击者改变策略，更好地隐藏其踪迹。

REvil是7月份消失之前最著名、最多产的勒索软件组织之一，因要求用门罗币(Monero)支付赎金而出名。据报道，Babuk和Darkside等其他勒索软件组织更喜欢门罗币，但也会接受那些愿意支付溢价以弥补增加风险的人的比特币。

据Monero开发者社区的成员Justin Ehrenhofer称，目前约有10%到20%的赎金要求是用Monero支付的。然而，到2021年底，预计将有多达一半的需求通过隐私货币来满足。

在2021年上半年成功攻击JBS和Kaseya之后，勒索软件巨头Revil本应高歌猛进。但在7月初，这个总部位于俄罗斯的组织突然消失，关闭了暗网和明网上的网站，让许多受害者陷入困境。

没有人知道具体什么原因，但有三种猜测：在俄罗斯总统普京的压力下，REvil被关闭；REvil被美国网络司令部悄悄地消灭了，就像它在2020年对付Trickbot一样；或者是由于对其最近两次大规模攻击的调查，REvil自己决定解散，或者低调一段时间。

3、勒索软件的兴起

勒索软件攻击事件变得越来越糟。欧洲的勒索软件数量激增了234%，而北美的勒索软件数量激增了180%。

在亚洲，勒索软件攻击在3月份达到最高点，然后开始稳步下降。到了6月份，攻击事件的数量只有三个月前的五分之一左右。

在勒索数量排名前十的国家中，美国的勒索数量几乎与其他九个国家加起来的数量相同。针对美国的攻击量仍增长了185%，而排名第二的国家英国的勒索软件增长了144%。

2021年最常被攻击的行业是政府部门。到目前为止，攻击次数已经是去年高点的三倍。政府客户受到的攻击都远远超过其他行业。到今年6月，政府客户受到勒索软件攻击的次数大约是平均水平的10倍。

勒索软件将一直是整个2021年的主导趋势，其中主要威胁行为者是STOP(Djvu)、Ryuk和Sodinokibi(REvil)等。银行木马活动的主要威胁为Emotet的继任者，例如Ramnit、Qbot和IcedID。此外，例如针对Colonial Pipeline的攻击事件，也只是攻击关键基础设施的众多攻击尝试之一，预计这种攻击策略近期内将不会发生改变。

今年上半年有25亿次恶意软件尝试，比去年同期的320万次下降了22%。恶意软件的减少并不等同于网络犯罪的减少。相反，传统恶意软件正在被抛弃，转而倾向于更专业、更复杂、更具破坏性和更有针对性的攻击。

1、区域性恶意软件趋势

虽然恶意软件的总体趋势是略有下降，但不同地区之间存在很大差异。北美和欧洲的恶意软件量分别下降了25%和13%。相比之下，亚洲的恶意软件增长了23%。美国和英国分别下降了23%和17%。

但今年上半年，印度和德国恶意软件攻击数量直线上升。2021年上半年，印度出现了1.472亿次恶意软件尝试，同比增长83%。在德国有1.504亿次恶意软件尝试，增加了惊人的465%。

2、恶意软件传播

在恶意软件传播方面，恶意软件数量最多的国家甚至没有进入前十名。

恶意软件传播百分比越大，特定区域内的恶意软件就越普遍。此计算考虑了许多其他因素，以提供更有意义的风险评估。

2021年到目前为止，随着限制的放松和重返办公室办公，恶意Office文件减少了54%，恶意PDF减少了13%。这两种文件类型加起来占捕获ATP检测到的所有恶意文件的23%。可执行的恶意Office文件从15.5%上升到26%。

2021年前六个月的物联网攻击数量比2020年前六个月增长了59%。今年到目前为止，总共记录了3220万次物联网攻击，其中针对美国目标的攻击现在占全球所有攻击的近三分之一。

首先，虽然物联网攻击在大多数地方都有所上升，包括北美，上升了21%；欧洲，增长113%；而亚洲，攻击率飙升了190%。但是南美、非洲和澳大利亚的物联网攻击减少了9%。

其次，第一季度的攻击率高于第二季度，这意味着攻击率呈下降趋势。

到2027年，预计将有410亿物联网设备上线，近四分之三的企业报告已全面或试用物联网设备，网络犯罪分子显然将对物联网设备的攻击视为一个成熟的增长型产业。

其中一些犯罪行为产生了深远的影响。今年2月，一名攻击者控制了佛罗里达州奥德斯玛供水系统，将水中的氢氧化钠或碱液的含量增加到正常水平的110倍。

仅仅两个月后，就发现了影响1亿多家企业、消费者和工业物联网设备的漏洞，攻击者可以远程控制这些设备，并获得更广泛的互联网络访问权限。

7月初，研究人员在数以百万计的施耐德电气(Schneider Electric)可编程逻辑控制器中发现了一个漏洞，这些控制器用于自动化、制造、公用事业等领域，可以让远程攻击者控制和部署恶意软件，执行远程代码执行攻击等。

这类设备连接到系统，一旦被破坏，可能会导致大规模破坏。此类设备的漏洞揭示了为什么行业需要立即采取行动，以确保物联网设备不仅更安全，而且易于修补。

随着加密货币价格的上涨，加密货币劫持量也在上涨。随着加密软件的价格在2021年上半年达到最高水平，SonicWall在第一季度记录的加密软件劫持量超过了自2018年开始报告这些攻击以来的任何一个季度。

年初，这些异常高水平的加密劫持将2021年上半年的加密劫持攻击总数推高至5110万，比2020年上半年增加了23%。

虽然加密劫持在全球范围内呈上升趋势，但存在很多地区差异。在北美，攻击数量增加了22%，但比该地区在2020年上半年记录的252%的增长幅度要低一个数量级。

在亚洲，攻击事件增加了118%，在欧洲，加密劫持增加了248%，5月和6月的攻击量分别是去年同期的50和23倍。

如果说第一季度是关于加密货币的崛起，那么第二季度就是关于加密货币的下跌。

今年5月，Elon Musk宣布，特斯拉将不再接受比特币支付。不到一周后，中国也在一些省份全面禁止采矿。

就在几天后，美国国税局警告称，将加大对加密货币交易员的税收执法力度。而此前，美国的联邦法官要求交出加密货币购买记录的法庭传票，也起到了警示作用。

随着人们越来越怀疑加密货币可能是一项糟糕的投资，也可能是一种糟糕的避税手段，加密货币开始大幅崩盘。

随着全球范围内的大规模采矿活动在政府的打击下继续下滑，看看加密劫持是否会再次飙升来填补这一空白将是很有趣的事情。

未来，网络钓鱼攻击将仍然是企业面临的最大威胁之一。这是威胁行动者用来窃取凭证、劫持账户和危害组织的主要方法。

在网络钓鱼继续蓬勃发展的同时，社交媒体会越来越多地被用于模仿、欺诈和其他网络威胁。在2021年上半年，通过社交媒体针对企业的威胁增长了47%，这表明社交媒体已成为头号威胁载体。

证书盗窃网络钓鱼和基于响应的攻击（如BEC）对企业电子邮件用户构成最大风险，占企业收件箱中发现的威胁的96%。

勒索软件攻击的变化正在推动企业用户收件箱中恶意软件有效载荷的变化。这些有效负载通常用于为勒索软件操作员提供初始访问权限。Qbot占所有报告的一半以上，这表明它目前是最活跃的勒索软件运营商的首选工具。

Office 365账户继续受到严重攻击，在公司收件箱中发现的凭证盗窃网络钓鱼攻击中，超过一半针对的是Office 365登录账户，这也使其成为针对企业用户最常见的威胁。

随着威胁形势的发展，企业安全团队面临来自外部威胁的压力越来越大。企业应期望有针对性，并且需要相应地规划。

从战略上讲，安全团队需要更主动的情报，包括明网及暗网、社交媒体、电子邮件和其他数字渠道，以便在早期发现这些威胁。实施此类情报并具有威胁消除和缓解能力的团队将能够使这些对其品牌、客户和员工的威胁影响降到最低。

参考资料：

1.SonicWall，2021 Mid-Year Update SonicWall Cyber Threat Report，July 2021

2.PhishLabs，Quarterly Threat Trends & Intelligence Report，August 2021

原文来源：关键基础设施安全应急响应中心

本文始发于微信公众号（网络安全应急技术国家工程实验室）：天地和兴：2021年上半年网络威胁态势分析