IBM X-Force：2019年被盜憑證和安全漏洞成為犯罪分子攻擊企業(yè)的武器

2019數(shù)據(jù)泄露量同比增長200%，消費(fèi)科技品牌陷入網(wǎng)絡(luò)釣魚攻擊旋渦；配置錯誤是 85% 以上攻擊的主因；銀行木馬程序和勒索軟件沆瀣一氣

近日，IBM Security發(fā)布了 2020 年 IBM X-Force 威脅情報指數(shù)報告。報告重點(diǎn)闡述了數(shù)十年來犯罪技術(shù)經(jīng)歷了怎樣的演變，在此期間網(wǎng)絡(luò)犯罪技術(shù)非法訪問了數(shù)百億條企業(yè)記錄和個人記錄，并利用了數(shù)十萬個軟件缺陷。報告顯示，在首次遭受攻擊的受害者中，有 60% 是源于過往被盜憑證或已知軟件漏洞，攻擊者無需大費(fèi)周章實(shí)施詐騙就能獲得訪問權(quán)限。

IBM X-Force 威脅情報指數(shù)報告重點(diǎn)介紹了促成這一演變的因素，包括最主要的三大初始攻擊媒介：

– 網(wǎng)絡(luò)釣魚是一種成功概率較高的初始入侵媒介，占被監(jiān)測事件的近 1/3，而 2018 年，這一比例更是高達(dá)一半。

– 漏洞的掃描和利用占被監(jiān)測事件的 30%，而2018 年的占比僅為 8%。事實(shí)上在2019 年，年代久遠(yuǎn)的已知 Microsoft Office 和 Windows Server Message Block 的漏洞被利用率依然很高。

– 過往被盜憑證也逐漸成為首選“突破口”，占全年被監(jiān)測事件的 29%。報告指出，僅 2019 年泄露的記錄就超過 85 億條 — 報告的數(shù)據(jù)泄露量同比增長 200%，被盜憑證數(shù)量隨之增加，這為網(wǎng)絡(luò)犯罪分子帶來了可乘之機(jī)。

“我們發(fā)現(xiàn)，被泄露的記錄數(shù)量眾多，這意味著網(wǎng)絡(luò)犯罪分子掌握的信息量越來越大，如同手握進(jìn)入我們住宅和企業(yè)的鑰匙一般。攻擊者不用花時間設(shè)計復(fù)雜方案來入侵企業(yè)，只需利用已知實(shí)體即可發(fā)起攻擊，比如使用被盜憑證登錄。”IBM X-Force 威脅情報部門副總裁 Wendi Whitmore 表示。“要保障企業(yè)網(wǎng)絡(luò)永續(xù)安全和確保用戶數(shù)據(jù)的安全和隱私性，采用多因子認(rèn)證、單點(diǎn)登錄等保護(hù)措施至關(guān)重要。”

IBM X-Force 在 130 多個國家或地區(qū)每天監(jiān)測到了 700 億起安全事件，并根據(jù)對這些事件的洞察和觀察開展了分析。此外，還從多個來源收集數(shù)據(jù)并開展分析，包括 X-Force IRIS、X-Force Red、IBM Managed Security Services 及公開披露的數(shù)據(jù)泄露信息。同時，IBM X-Force 每天在全世界運(yùn)行數(shù)千個垃圾郵件陷阱，監(jiān)控數(shù)千萬個垃圾郵件和釣魚攻擊，同時分析數(shù)十億個網(wǎng)頁和圖像，以檢測欺詐活動和品牌濫用情況。

報告揭示的部分要點(diǎn)如下：

– 配置十分關(guān)鍵 — IBM 分析發(fā)現(xiàn)，在 2019 年報告的超過 85 億條泄露記錄中，有 70 億條記錄(占總數(shù)的 85% 以上)源于云服務(wù)器配置錯誤及其他系統(tǒng)配置不當(dāng)。這與 2018 年的情況截然不同，當(dāng)時此類記錄所占的比例還不及總數(shù)的一半。

– 銀行業(yè)備受勒索軟件困擾 — 今年的報告顯示，一些極為活躍的銀行木馬程序(如 TrickBot)為全面勒索軟件攻擊搭建了舞臺。事實(shí)上，與報告中討論的其他惡意軟件變體相比，銀行木馬程序和惡意軟件使用的新奇代碼位居榜首。

– 網(wǎng)絡(luò)釣魚濫用科技信任 — IBM X-Force 的報告發(fā)現(xiàn)，技術(shù)、社交網(wǎng)絡(luò)和內(nèi)容流媒體家喻戶曉的品牌進(jìn)入了網(wǎng)絡(luò)攻擊者在實(shí)施網(wǎng)絡(luò)釣魚時爭相模仿的“十大”被仿冒品牌行列。這一轉(zhuǎn)變似乎表明，人們對于技術(shù)提供商的信任度越來越高，超越過去信賴的零售和金融品牌。攻擊中冒用的主要品牌包括 Google、YouTube和Apple。

勒索軟件攻擊不斷演變

報告揭示了全球公私領(lǐng)域的勒索軟件攻擊趨勢。據(jù)報告顯示，2019年勒索軟件活動呈上升趨勢。IBM X-Force面向全球13個不同行業(yè)部署惡意軟件事件響應(yīng)團(tuán)隊，用實(shí)際行動再次印證此類攻擊與行業(yè)并不存在關(guān)聯(lián)。

IBM X-Force 發(fā)現(xiàn)，去年，有100家美國政府實(shí)體遭受勒索軟件攻擊，零售業(yè)、制造業(yè)和運(yùn)輸業(yè)同樣遭到巨大沖擊 — 這些行業(yè)要么持有大量具有盈利價值的數(shù)據(jù)，要么依賴過時技術(shù)運(yùn)轉(zhuǎn)，因而導(dǎo)致安全漏洞肆意蔓延。實(shí)際上，在監(jiān)測到的勒索軟件攻擊中，80%的攻擊者利用Windows Server Message Block漏洞，即WannaCry傳播戰(zhàn)術(shù)。2017年，WannaCry攻擊曾使150個國家或地區(qū)的企業(yè)遭受重創(chuàng)。

2019 年，勒索軟件攻擊造成的經(jīng)濟(jì)損失超過75億美元，犯罪分子斂取了巨額財富，他們在2020年絕不會就此偃旗息鼓。通過與Intezer的合作，IBM 報告稱，45% 的銀行木馬程序和 36% 的勒索軟件中發(fā)現(xiàn)了新的惡意軟件代碼。這表明，攻擊者正在積極開發(fā)新的代碼，繼續(xù)大力規(guī)避監(jiān)測。

IBM X-Force還發(fā)現(xiàn)，勒索軟件與銀行木馬程序存在著緊密的聯(lián)系，銀行木馬程序常被用來為有針對性、高風(fēng)險的勒索軟件攻擊開路，從而豐富了勒索軟件的部署模式。例如，報告稱TrickBot是目前最活躍的金融惡意軟件，涉嫌在企業(yè)網(wǎng)絡(luò)中部署了Ryuk，同時很多銀行木馬程序(如QakBot、GootKit和Dridex)衍生出了大量不同的勒索軟件變體。

在網(wǎng)絡(luò)釣魚攻擊中，犯罪分子冒充科技企業(yè)和社交媒體企業(yè)

隨著消費(fèi)者對網(wǎng)絡(luò)釣魚電子郵件的了解日漸深入，網(wǎng)絡(luò)釣魚攻擊手段的針對性越來越強(qiáng)。通過 與 Quad9 的合作，IBM 發(fā)現(xiàn)網(wǎng)絡(luò)釣魚活動出現(xiàn)了冒用趨勢：攻擊者利用誘人的鏈接冒充消費(fèi)技術(shù)品牌 — 通過科技、社交媒體和內(nèi)容流媒體企業(yè)，誘導(dǎo)用戶點(diǎn)擊網(wǎng)絡(luò)釣魚攻擊活動提供的惡意鏈接。

在公認(rèn)的十大被仿冒品牌中，Google和YouTube域名的被仿冒比例占近 60%，同時Apple(15%)和 Amazon(12%)域名也常被攻擊者用于竊取具有盈利價值的用戶數(shù)據(jù)。IBM X-Force 評論稱，這些品牌之所以成為被仿冒目標(biāo)，是因為它們掌握著大量具有盈利價值的數(shù)據(jù)。

Facebook、Instagram 和 Netflix 同樣躋身十大被仿冒品牌行列，只不過被仿冒比例低得多。原因可能在于，這些服務(wù)通常并不直接掌握具有盈利價值的數(shù)據(jù)。由于攻擊者常常重用憑證來訪問帳戶，力求攫取更多的利益，IBM X-Force表示頻繁重用密碼可能是導(dǎo)致這些品牌成為攻擊目標(biāo)的潛在原因。事實(shí)上，IBM 未來身份研究發(fā)現(xiàn)，41% 的千禧一代多次重復(fù)使用同一密碼，而 Z 世代平均僅使用五個密碼，種種跡象表明重用率較高。

識別欺騙性域名可能極為困難，攻擊者篤定用戶無法正確識別。報告中列出的十大被仿冒品牌總計擁有近百億個帳戶，這對攻擊者來說意味著巨大的目標(biāo)池，而毫無戒備的用戶點(diǎn)擊看似無害的被仿冒品牌鏈接的概率也會隨之增加。

報告還有另外一些主要發(fā)現(xiàn)，包括：

– 零售業(yè)在攻擊目標(biāo)行業(yè)中的排名回升：在今年的報告中，零售業(yè)在攻擊最嚴(yán)重的行業(yè)排名中躍升至第二位，與排名首位的金融業(yè)十分接近。金融業(yè)已連續(xù)四年蟬聯(lián)榜首。Magecart攻擊是零售業(yè)面臨的最嚴(yán)重的攻擊之一，2019年夏季有80個電子商務(wù)網(wǎng)站報告因此受到影響。網(wǎng)絡(luò)犯罪分子似乎將目光轉(zhuǎn)向消費(fèi)者 PII、支付卡數(shù)據(jù)乃至高價值的會員計劃信息。據(jù)IBM事件響應(yīng)計劃洞察顯示，廣大零售商還遭受了大規(guī)模勒索軟件攻擊。

– 工業(yè)控制系統(tǒng) (ICS) 和運(yùn)營技術(shù) (OT) 攻擊激增：2019年，ICS和OT基礎(chǔ)架構(gòu)攻擊較前三年有所增加，與上一年同期相比增長2000%。監(jiān)測結(jié)果顯示，大多數(shù)攻擊既利用已知SCADA和ICS硬件漏洞，又實(shí)施密碼噴灑技術(shù)。

– 北美和亞洲是遭受攻擊最嚴(yán)重的區(qū)域：在過去的一年中，這些地區(qū)監(jiān)測到的攻擊次數(shù)最多，報告的數(shù)據(jù)丟失量最大，泄露的記錄分別高達(dá)50億條和20億條。

該報告使用了IBM在2019年期間收集的數(shù)據(jù)，發(fā)布關(guān)于全球威脅領(lǐng)域的深層洞察，告知安全專家與他們的企業(yè)最相關(guān)的威脅。要下載 2020年IBM X-Force威脅情報指數(shù)報告的副本，請訪問：https://ibm.biz/downloadxforcethreatindex

注冊參加 2020 年 IBM X-Force 威脅情報指數(shù)網(wǎng)絡(luò)研討會(北美東部時間 2020 年 2 月 18 日，星期二，上午 11:00)：https://ibm.biz/BdqExS

關(guān)于 IBM Security

IBM Security 打造世界領(lǐng)先的集成式企業(yè)安全系列產(chǎn)品和服務(wù)。系列產(chǎn)品由享譽(yù)世界的 IBM X-Force® 研究團(tuán)隊支持，幫助企業(yè)高效管理風(fēng)險，無懼突發(fā)威脅。IBM 運(yùn)營著全球最廣泛的安全研究、部署和交付機(jī)構(gòu)之一，客戶遍布全球，每天為全球超過130個國家或地區(qū)監(jiān)控700億個安全事件，在全球范圍已獲得超過 10,000 項安全專利。要了解更多信息，請訪問：www.ibm.com/security，或者訪問：IBM Security Intelligence博客。