Sophos在其2024年的活躍對手報告中表示，它在2023年調(diào)查的大多數(shù)網(wǎng)絡(luò)攻擊涉及勒索軟件，而90%的事件都包含了對遠(yuǎn)程桌面協(xié)議的濫用。

這家安全供應(yīng)商在周三發(fā)布了其2024年的活躍對手報告，該報告基于它在2023年進(jìn)行的150多起事件響應(yīng)（IR）調(diào)查的數(shù)據(jù)。數(shù)據(jù)集的分析顯示，88%的調(diào)查來自于員工數(shù)少于1000人的組織，而55%涉及的公司員工數(shù)不超過250人。代表了26個行業(yè)，制造業(yè)連續(xù)第四年成為最多尋求Sophos IR團(tuán)隊(duì)幫助的行業(yè)。

報告追蹤了攻擊類型、初始訪問向量和根本原因，并發(fā)現(xiàn)這些趨勢在過去兩年中保持一致。雖然攻擊者經(jīng)常濫用遠(yuǎn)程桌面協(xié)議（RDP）和憑證訪問來滲透受害者的網(wǎng)絡(luò)，但企業(yè)仍然讓RDP暴露在外，而且通常缺乏多因素認(rèn)證（MFA）協(xié)議。

Sophos補(bǔ)充說，企業(yè)在確保足夠的日志可見性方面也做得不夠，這可能會妨礙IR調(diào)查。

報告指出：“通常，被侵犯和未被侵犯的組織之間唯一的區(qū)別在于1) 選擇并部署合適工具的準(zhǔn)備工作，以及2) 在需要時具備的知識和準(zhǔn)備采取行動的能力。報告中描述的大多數(shù)工具和技術(shù)都有解決方案，或至少有減輕其危害的緩解措施，但防御措施簡直沒法跟上。”

就像許多其他供應(yīng)商一樣，Sophos發(fā)現(xiàn)在2023年，勒索軟件是最常見的攻擊類型；這種威脅占其調(diào)查的70%。供應(yīng)商響應(yīng)了108起勒索軟件攻擊。網(wǎng)絡(luò)入侵排在第二，但僅占調(diào)查的19%。然而，Sophos推測這兩種攻擊類型之間可能存在聯(lián)系。報告說：“雖然我們不能在所有情況下都肯定，但有越來越多的證據(jù)表明，許多網(wǎng)絡(luò)入侵實(shí)際上是失敗的勒索軟件攻擊。”

Sophos確認(rèn)已知的勒索軟件團(tuán)伙進(jìn)行了它調(diào)查的五次網(wǎng)絡(luò)入侵。供應(yīng)商還將網(wǎng)絡(luò)入侵與勒索軟件攻擊按季度進(jìn)行了比較，發(fā)現(xiàn)當(dāng)勒索軟件活動減少時，入侵增加。盡管44%的勒索軟件攻擊案例涉及數(shù)據(jù)泄露，Sophos發(fā)現(xiàn)72%的網(wǎng)絡(luò)入侵調(diào)查“沒有數(shù)據(jù)泄露的證據(jù)”。

Sophos還追蹤了勒索軟件部署的時間線，并發(fā)現(xiàn)了一個一致的模式。去年，91%的勒索軟件有效載荷是在傳統(tǒng)工作時間之外部署的，與2022年相比僅下降了3%。Sophos將“傳統(tǒng)工作時間”定義為周一至周五的上午8點(diǎn)至下午6點(diǎn)，但報告指出，這些數(shù)據(jù)也考慮了不遵循該時間表的國家。

Sophos追蹤了它在2023年事件響應(yīng)調(diào)查中看到的主要攻擊類型。Sophos的2024年活躍對手報告發(fā)現(xiàn)，去年勒索軟件超過了所有其他攻擊類型。另一個一致的趨勢是勒索軟件家族的分布。報告發(fā)現(xiàn)，LockBit勒索軟件組織去年仍是最活躍的團(tuán)伙。報告將24起勒索軟件攻擊，即22%的IR調(diào)查歸因于LockBit。很難說LockBit是否會繼續(xù)在2024年主宰這一領(lǐng)域。這個臭名昭著的團(tuán)伙在2月份被國際執(zhí)法行動暫時打亂。雖然LockBit操作者迅速恢復(fù)了他們的服務(wù)器，但該團(tuán)伙的復(fù)出嘗試遭遇了挫折。

Sophos的威脅情報領(lǐng)域首席技術(shù)官John Shier告訴TechTarget Editorial，這次稱為“克羅諾斯行動”的執(zhí)法行動成功地阻止了加盟LockBit的附屬成員。Shier說，在擾亂之后，經(jīng)紀(jì)人和附屬成員在地下論壇上表達(dá)了這種情緒?！癓ockBit部分因其規(guī)模而蓬勃發(fā)展。沒有了犯罪伙伴合作和信任的侵蝕，我們希望看到LockBit繼續(xù)其走向無關(guān)緊要的下滑?！?/span>

LockBit是自Sophos在2021年發(fā)布第一份活躍對手報告以來調(diào)查的許多勒索軟件團(tuán)伙之一，包括Cuba和Snatch。

去年3月出現(xiàn)的勒索軟件團(tuán)伙Akira排在第二位，共發(fā)動了12次攻擊。Sophos對Akira超過Alphv/BlackCat勒索軟件團(tuán)伙感到驚訝，后者排在第三位。

操作者以瞄準(zhǔn)醫(yī)療保健組織而聞名，并聲稱對去年的MGM度假村進(jìn)行了

一次顯著攻擊。12月，美國司法部宣布FBI暫時擾亂了Alphv/BlackCat，并開發(fā)了一個解密工具來幫助受害組織，但該團(tuán)伙仍然活躍。Alphv/BlackCat行動者在2月份對UnitedHealthcare的Change Healthcare發(fā)動了一次大規(guī)模攻擊。

報告說：“關(guān)于勒索軟件攻擊的流行程度、工具和時間線已達(dá)到一個平衡點(diǎn)。不幸的是，我們每年仍然看到防御者犯著同樣的錯誤?？紤]到這一點(diǎn)，我們認(rèn)為組織迫切需要參與自救?！?/span>

Sophos列出了防御者繼紺犯的許多錯誤，例如暴露VPN和RDP。Sophos警告說，攻擊者利用這些錯誤獲得受害者環(huán)境的初始訪問。例如，Cisco在8月詳細(xì)描述了一次攻擊活動，其中Akira和LockBit行動者針對使用其VPN但未啟用MFA的組織。

報告強(qiáng)調(diào)，外部遠(yuǎn)程服務(wù)一直是Sophos發(fā)布的每份活躍對手報告中的首要初始訪問方法。

Sophos在其8月發(fā)布的年中活躍對手報告中敦促企業(yè)保護(hù)RDP。供應(yīng)商警告說，這個協(xié)議在2023年上半年涉及的攻擊中占了95%。然而，這個威脅向量在一年中的剩余時間里仍然給組織帶來了問題。報告強(qiáng)調(diào)，去年RDP仍然是“所有Microsoft LOLBins（借地生存的二進(jìn)制文件）中被濫用最多的”。

報告說：“RDP濫用已達(dá)到新高度，90%的攻擊利用它進(jìn)行內(nèi)部橫向移動，20%用于外部遠(yuǎn)程訪問。對于仍然將RDP暴露在互聯(lián)網(wǎng)上的18%的組織，你應(yīng)該問問自己，‘我的天，我做了什么？’”

Shier詳細(xì)說明了為什么企業(yè)繼續(xù)努力保護(hù)RDP?；贗R數(shù)據(jù)，他說組織分為兩類?！耙活愂墙M織不知道將RDP暴露在互聯(lián)網(wǎng)上可能帶來的危害，并且長期保護(hù)不足，另一類是他們根本就不在乎。”

企業(yè)在確保憑證的安全方面也繼續(xù)面臨挑戰(zhàn)。Sophos將被盜憑證歸為攻擊的第一大根本原因，這一比例幾乎是2022年的兩倍?！案愀獾氖?，憑證加固的狀態(tài)令人痛心。在43%的調(diào)查中，沒有配置多因素認(rèn)證（MFA）。”報告說。

Sophos補(bǔ)充說，MFA技術(shù)現(xiàn)在已經(jīng)有三十年的歷史了。

報告敦促企業(yè)還要保護(hù)它們的Active Directory（AD），攻擊者越來越多地將目標(biāo)對準(zhǔn)了AD。Sophos在2023年開始追蹤時間至Active Directory的指標(biāo)，并發(fā)現(xiàn)所有攻擊的中位數(shù)時間至AD為0.64天。

關(guān)于AD威脅，報告建議企業(yè)運(yùn)行工具以檢測可疑活動，更重要的是，持續(xù)監(jiān)控并響應(yīng)可疑信號。在IR調(diào)查期間，Sophos還發(fā)現(xiàn)日志可見性是一個問題。在供應(yīng)商調(diào)查的54%的攻擊中，遙測數(shù)據(jù)缺失。

“雖然日志不可用的原因有幾個，但在大多數(shù)情況下，這是因?yàn)榻M織沒有采取必要措施確保在最需要時它們會在那里?！眻蟾嬲f。

報告補(bǔ)充說：“在事件響應(yīng)上下文中最重要的是如何攻擊者侵入了組織以及為什么他們成功了?！?/span>