Sophos發布最新《Sophos 2023 年威脅報告》。該報告詳細介紹網路威脅形勢如何達到新的商業化程度並有利於潛在攻擊者,以及隨網路犯罪即服務的擴展,網路犯罪幾乎不再有門檻。該報告還探討因為有心人士不斷創新勒索手法,使得勒索軟體仍是組織的最大網路犯罪威脅之一,以及為什麼對被竊憑證的需求仍持續成長。
|
Sophos 2023 年威脅報告:犯罪分子透過網路犯罪商業化、發動更多新型勒索軟體攻擊和加倍竊取憑證來牟取暴利 |
長久以來,像 Genesis 這樣的地下犯罪市場都是購買惡意軟體和惡意軟體即服務,以及大量竊取憑證和其他資料的場所。在過去十年,隨著勒索軟體日益流行,「勒索軟體即服務」經濟如雨後春筍般湧現。在 2022 年的現在,這種「即服務」模式又擴大了,幾乎網路犯罪工具套件的每一項功能——從初始感染到躲避偵測的方法——都買得到。
Sophos 首席威脅研究員 Sean Gallagher 表示:「出售的不只是普通商品,例如惡意軟體、詐騙和網路釣魚工具套件。更高階的網路犯罪分子現在出售的是工具和功能。過去這些高階技術掌握在某些最有經驗的攻擊者手中,只以服務型式提供給其他人。例如,在過去的一年裡,我們看到 OPSEC 即服務的廣告,賣家會幫助攻擊者隱藏 Cobalt Strike 入侵的蹤跡。我們還看到掃描即服務,買家可以使用如 Metasploit 等合法商業工具來尋找並利用漏洞。幾乎網路犯罪的每個部分都在商品化,這一點影響了威脅形勢。如以一來,任何能力、任何類型的攻擊者都有機會發動攻擊。」
隨著「即服務」經濟的擴展,地下網路犯罪市場也變得越來越商業化,並像主流企業一樣運作。網路犯罪賣家不僅會宣傳他們的服務,而且還開出職缺招聘具有獨特技能的攻擊者。部分市場會提供專門的工作頁面和招募人員,而求職者同樣會四處張貼履歷宣傳他們的技能和資歷。
Gallagher 說:「早期的勒索軟體經營者能夠做的事情相當有限,因為營運是中心化的,由小組成員分別執行攻擊的各個層面。但隨著勒索軟體變得非常有利可圖,不法分子開始尋找擴大生產規模的方法。他們開始外包部分業務,建立出一個完整的基礎架構來支援勒索軟體。現在,其他網路犯罪分子已經看到這些成果並加以仿效了。」
事實上,隨著網路犯罪基礎架構不斷擴展,勒索軟體仍然非常流行且獲利豐厚。在過去一年中,勒索軟體經營者持續鎖定 Windows 以外的平台來擴展他們的攻擊服務,同時還使用 Rust 和 Go 等新語言來躲避偵測。一些團體,尤其是 Lockbit 3.0,仍持續開發新的業務項目並創造更多「新手法」來勒索受害者。
Gallagher 說:「當我們談論日益複雜的地下犯罪時,也必須將眼光延伸到勒索軟體的世界。例如,Lockbit 3.0 現在提供漏洞獎勵計畫來找出自身惡意軟體的問題,並從犯罪社群集結『眾包』的創意來改善自己的運作。此外,部分團體已改用『訂閱模式』來提供外洩資料,其他團體則是將資料拍賣。最重要的是,勒索軟體成了一門生意。」
不斷發展的地下經濟不僅刺激了勒索軟體和「即服務」的發展,而且導致竊取憑證的需求增加了。隨著 Web 服務持續擴展,各種類型的憑證 (尤其是 cookie) 可以多種方式進入網路並取得更深入的立足點,甚至可以繞過 MFA。竊取憑證仍然是犯罪分子新手進入地下市場並開始「職業生涯」的最簡單方法之一。
此外,Sophos 還分析了以下趨勢:
‧烏克蘭戰爭對網路威脅形勢產生了全球性的影響。當入侵行動開始之後,以牟利為動機的詐騙立即暴增,但民族主義導致烏克蘭人和俄羅斯人之間的犯罪聯盟發生變動,尤其是在勒索軟體附屬組織之間。
‧犯罪分子繼續利用合法的可執行檔並透過寄生攻擊 (LOLBins) 發起各種類型的攻擊,包括勒索軟體。在某些情況下,攻擊者會經由「自帶驅動程式」攻擊部署合法但有弱點的系統驅動程式,並試圖停用端點偵測和回應產品以躲避偵測。
‧行動裝置現在是新型網路犯罪的中心。不僅攻擊者仍會使用假 App 來傳遞惡意軟體插入程式、間諜軟體和金融惡意軟體,新型態的網路詐騙也越來越流行,例如「殺豬盤」加密詐騙。這種犯罪不只會影響 Android 使用者,也影響 iOS 用戶。
‧門羅幣是最受加密挖礦程式歡迎的加密貨幣之一,貶值後導致加密挖礦這個最古老和最受歡迎的加密犯罪類型之一活動驟減。但是挖礦惡意軟體仍透過 Windows 和 Linux 系統上的自動化「殭屍程式」繼續向外散播。