安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊

軟體中的安全漏洞對網路攻擊有多大影響?資料顯示90%的網路攻擊事件與漏洞利用有關，漏洞數量的增加為犯罪分子增加更多機會。 修補漏洞的間隙，讓犯罪分子引發了一場影響廣泛的供應鏈攻擊。 因此在軟體開發期間及時發現軟體安全漏洞並修正，是降低漏洞利用的有效方式。

由Ivanti、Cyber Security Works和Cyware釋出的2021年第三季度勒索軟體指數聚焦報告發現，2021年第三季度與2021年第二季度相比，與勒索軟體相關的CVE增加了4.5%，勒索軟體家族增加3.4%。

報告顯示，自2021年第二季度以來，勒索軟體集團在數量、複雜性和大膽程度上都在不斷增加。相比之下，本季度勒索軟體攻擊中使用了12個新漏洞，使與勒索軟體相關的漏洞總數達到278個，使第三季度勒索軟體相關的通用漏洞披露增加了4.5%，被廣泛利用的熱門漏洞增加了4.5%，勒索軟體種類增加了3.4%，舊漏洞增加了1.2%。

在新發現的12個漏洞中，5個可以用來實現遠端程式碼執行(RCE)，而2個可以用來利用web應用程式和啟動拒絕服務(DoS)攻擊。這絕對不是什麼好訊息，但另一項研究顯示，本季度分散式DoS (DDoS)攻擊也打破了記錄。

早起的鳥兒有蟲吃

第三季度勒索軟體分析還發現，勒索軟體組織仍舊在持續行動，他們趕在修補CVE之前尋找和利用零日漏洞。例如：飽受詬病的REvil勒索軟體團伙發現並利用了Kaseya VSA軟體中的漏洞，當時該公司的安全團隊仍在開發三個補丁。

7月2日，REvil團伙在超過5,000次攻擊中破壞了Kaseya的虛擬系統/伺服器管理員 (VSA) 平臺中的3個零日漏洞。

截至7月5日，全球範圍內的攻擊已在22個國家/地區發動，不僅影響了Kaseya的託管服務提供商(MSP)客戶群，而且鑑於其中許多使用VSA來管理其他企業的網路，還觸及了這些MSP自己的客戶。

勒索軟體數量在各個方面都在增加

第三季度還發現了與勒索軟體相關的九個嚴重等級較低的新漏洞。此外，透過此次勒索軟體指數的更新發現，勒索組織在第三季度透過12個新漏洞擴大了其攻擊庫。

利用全新的勒索軟體，掌握升級的攻擊技術

第三季度的分析還發現了五個新的勒索軟體家族，使總數達到151個。在PrintNightmare、PetitPotam和ProxyShell等最危險的漏洞開始流行幾周後，新的勒索軟體組織就迅速開始攻擊這些漏洞。

勒索軟體攻擊中使用的技術也變得越來越複雜。

報告中分析的一個例子：dropper as-a-service——一種允許技術不熟練/有犯罪傾向的行動者透過dropper程式傳播惡意軟體的服務，這些程式可以在受害者的電腦上執行惡意負載。

另一種是“木馬即服務”(trojan as-a-service)，也被稱為“惡意軟體即服務”(malware as-a-service):這種服務可以讓任何有網際網路連線的人租用定製的惡意軟體服務，允許他們在雲上獲得、實施和兌現服務，所有這些都無需安裝。

所有這些勒索軟體似乎都可以出租，例如，勒索軟體即服務(RaaS)助長了勒索軟體的傳播，讓那些想要詐騙的人不必因為程式碼而感到頭大。

新瓶裝舊酒

在2021年第三季度，有3個可追溯到2020年或更早的漏洞新與勒索軟體關聯，使與勒索軟體相關的舊漏洞總數達到258個，佔所有與勒索軟體相關漏洞的92.4%。

由此可見，舊的漏洞即便早已釋出補丁，但並不是所有使用者能及時跟上腳步。前幾天Rapid7披露，GitLab半年多以前披露的一個高危漏洞，直到現在竟還有一多半伺服器仍沒有進行修復。因此，減少網路攻擊僅靠防禦和打補丁仍舊存在安全漏洞，而 在軟體開發時利用靜態程式碼分析技術來從源頭減少程式碼缺陷或漏洞，能有效降低軟體中的安全漏洞，降低遭到勒索軟體攻擊的風險。

該分析指出，Cring勒索軟體組織是一個顯著的例子：該組織針對ColdFusion的兩個老漏洞——CVE-2009-3960和CVE-2010-2861，而這兩個漏洞早在十多年前就已經有了補丁。

Ivanti的安全產品高階副總裁Srinivas Mukkamala提出：“勒索軟體集團一直在完善攻擊策略，增加攻擊方法，並針對企業未修補的漏洞進行攻擊。這份報告旨在幫助企業認識到其環境和端點所面臨的安全風險和漏洞暴露，為企業提供可操作的情報，以儘早進行補救。企業必須採取積極主動、基於風險的補丁管理策略，利用自動化安全測試技術來減少勒索軟體攻擊和其他網路威脅的平均檢測、發現、補救和響應時間。”

Cyware執行長Anuj Goel表示：“這項報告明確指出，勒索軟體正在不斷髮展，並正變得越來越危險，可能會對目標企業造成災難性的破壞。對許多企業來說更棘手的是，無論什麼垂直行業都無法以籌劃、執行和傳播的方式，迅速分享具體的失陷標示(IOC)，以便在攻擊發生前採取行動。管理企業風險意味著企業應該尋求一種集體防禦策略，從提高軟體自身安全開始，持續掌握攻擊和風險面，以減少巨大的聲譽、客戶和財務損失。網路團隊把IT自動化和流程整合的越好，抵禦勒索軟體的效率也就越高”。

參讀連結：