【編者按】過(guò)去的一年網(wǎng)絡(luò)犯罪達(dá)到頂峰，典型標(biāo)志為出售企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)限的地下黑市的興起。各種支持政府的黑客組織之間的對(duì)峙導(dǎo)致了新玩家的出現(xiàn)，同時(shí)一些先前已知的組織恢復(fù)了他們的活動(dòng)。全球威脅情報(bào)公司Group-IB近日發(fā)布了2020/2021年度高科技犯罪網(wǎng)絡(luò)威脅趨勢(shì)報(bào)告，該報(bào)告研究了網(wǎng)絡(luò)犯罪行業(yè)運(yùn)營(yíng)的各個(gè)方面，分析了針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊行動(dòng)，并預(yù)測(cè)了金融、電信、制造業(yè)和能源等不同行業(yè)威脅格局的變化。報(bào)告提出針對(duì)性建議，以幫助企業(yè)采取預(yù)防措施，對(duì)抗有針對(duì)性的攻擊、網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)恐怖行動(dòng)，從而防止制造業(yè)停工及經(jīng)濟(jì)損失。

　　一、主要調(diào)查結(jié)果

　　一勒索軟件攻擊

　　在過(guò)去的一年里，出現(xiàn)了7個(gè)新型勒索軟件即服務(wù)（RaaS），總數(shù)共計(jì)達(dá)到15個(gè)。2019年下半年至2020年上半年，勒索軟件即服務(wù)活動(dòng)同期增長(zhǎng)了2.6倍，從138個(gè)增加到362個(gè)?！纠账鬈浖捶?wù)（RaaS）：開(kāi)發(fā)人員負(fù)責(zé)開(kāi)發(fā)勒索軟件，然后雇傭/建立專門(mén)的勒索支付網(wǎng)站，通過(guò)聯(lián)盟計(jì)劃（Affiliate Program）招募合作伙伴進(jìn)行攻擊和勒索加密，最后各方進(jìn)行分成?！?/p>

　　 積極出售企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)限的用戶越來(lái)越多。2019年，活躍賣(mài)家有50家；2020年上半年，Group-IB確定了63家。

　　 銀行僵尸網(wǎng)絡(luò)TrickBot、Qbot、SilentNight和RTM的所有者已經(jīng)開(kāi)始使用僵尸網(wǎng)絡(luò)部署勒索軟件。網(wǎng)絡(luò)犯罪集團(tuán)Cobalt和Silence此前專注于針對(duì)銀行的定向攻擊，據(jù)推測(cè)他們已加入了勒索軟件的聯(lián)盟計(jì)劃。

　　 原始錯(cuò)誤（如公共服務(wù)中易受攻擊的軟件版本或弱口令）是企業(yè)面臨的最嚴(yán)重風(fēng)險(xiǎn)之一。如果一個(gè)脆弱的系統(tǒng)被破壞，對(duì)手通常會(huì)試圖對(duì)業(yè)務(wù)造成盡可能多的破壞，然后是敲詐勒索。

　　 10個(gè)勒索軟件聯(lián)盟計(jì)劃涉及對(duì)通過(guò)遠(yuǎn)程桌面服務(wù)從外部訪問(wèn)的服務(wù)器進(jìn)行暴力攻擊。有三個(gè)聯(lián)盟計(jì)劃利用了VPN服務(wù)中的漏洞。

　　 發(fā)現(xiàn)了對(duì)遠(yuǎn)程訪問(wèn)接口（RDP、SSH、VPN）和其他服務(wù)執(zhí)行分布式暴力攻擊的新僵尸網(wǎng)絡(luò)。受害者被誘騙支付贖金的最常見(jiàn)方式之一是從網(wǎng)絡(luò)上竊取數(shù)據(jù)，并威脅在網(wǎng)上泄露信息。此外，為了增加利潤(rùn)，一些組織通過(guò)拍賣(mài)來(lái)出售被盜數(shù)據(jù)，而不是在網(wǎng)上發(fā)布。

　　 勒索軟件如此流行，以至于犯罪分子開(kāi)始在GitHub等網(wǎng)站上發(fā)布針對(duì)Linux、MacOS和Windows（如RAASNet項(xiàng)目）的現(xiàn)成勒索軟件即服務(wù)（RaaS）項(xiàng)目。

　　二軍事行動(dòng)

　　 各種情報(bào)機(jī)構(gòu)進(jìn)行的軍事行動(dòng)正變得越來(lái)越普遍。

　　 對(duì)基礎(chǔ)設(shè)施的物理破壞正在取代間諜活動(dòng)。

　　 攻擊者工具箱正在更新，使用的工具旨在攻擊物理隔離網(wǎng)絡(luò)。

　　 核工業(yè)正在成為國(guó)家支持的威脅行為者的頭號(hào)目標(biāo)。與之前沒(méi)有觀察到攻擊事件不同，當(dāng)前此次攻擊的特點(diǎn)是伊朗和印度的核能設(shè)施遭到襲擊。

　　 以色列發(fā)生了公然的攻擊，威脅分子進(jìn)入了以色列的一些水處理系統(tǒng)，并試圖改變水中的氯含量。如果攻擊成功，可能會(huì)導(dǎo)致水資源短缺，甚至造成平民傷亡。

　　 政府支持的APT組織并未對(duì)電信行業(yè)失去興趣。在報(bào)告期間，它成為至少11個(gè)與情報(bào)機(jī)構(gòu)有關(guān)聯(lián)的組織的目標(biāo)。威脅分子的主要目標(biāo)仍然是監(jiān)視電信運(yùn)營(yíng)商或試圖破壞基礎(chǔ)設(shè)施。

　　 根據(jù)Group-IB分析的數(shù)據(jù)，亞太地區(qū)成為受到國(guó)家支持的威脅分子攻擊最頻繁的地區(qū)。在這一地區(qū)共開(kāi)展了34次行動(dòng)，來(lái)自中國(guó)、朝鮮、伊朗和巴基斯坦的APT組織最為活躍。在歐洲大陸，至少有22次行動(dòng)被記錄下來(lái)，攻擊由來(lái)自中國(guó)、巴基斯坦、俄羅斯和伊朗的APT組織實(shí)施。中東和非洲是來(lái)自伊朗、巴基斯坦、土耳其、中國(guó)和加沙的親政府攻擊者發(fā)動(dòng)的18次行動(dòng)的現(xiàn)場(chǎng)。

　　 網(wǎng)絡(luò)安全研究人員還發(fā)現(xiàn)了7個(gè)以前未知的APT組織，分別是：Tortoiseshell（伊朗）、Poison Carp （中國(guó)）、Higaisa（韓國(guó)）、AVIVORE（中國(guó)）、Nuo Chong Lions（沙特阿拉伯），以及Chimera和WildPressure。此外，最近幾年仍未被注意的6個(gè)已知組織恢復(fù)了運(yùn)營(yíng)，分別為Golden Falcon、Naikon、APT20、APT5、APT30、Cycldek。

　　三電信部門(mén)

　　 國(guó)家支持的組織對(duì)電信行業(yè)表現(xiàn)出興趣，并對(duì)其進(jìn)行復(fù)雜的攻擊。

　　 在本報(bào)告所述期間，與特別服務(wù)有關(guān)聯(lián)的6個(gè)組織積極攻擊電信部門(mén)。威脅行為者還刷新了DDoS攻擊能力的新紀(jì)錄：2.3TB/秒，8.09億包/秒。

　　 BGP劫持和路由泄露仍然是一個(gè)嚴(yán)重的問(wèn)題。在過(guò)去的一年里，已經(jīng)公布了9起重大案件。

　　四能源部門(mén)

　    威脅行為者的武器庫(kù)積極補(bǔ)充了專為攻擊隔離網(wǎng)絡(luò)而設(shè)計(jì)的工具。在過(guò)去的一年里，已經(jīng)確定了4種使用USB閃存驅(qū)動(dòng)器來(lái)突破隔離網(wǎng)絡(luò)的工具。

　　 核能已成為攻擊者的明顯目標(biāo)，在本報(bào)告所述期間，伊朗的核能設(shè)施遭到破壞，而印度的設(shè)施則受到間諜攻擊。威脅者對(duì)印度特別感興趣，因?yàn)樵搰?guó)正在開(kāi)發(fā)核技術(shù)和基于釷的反應(yīng)堆。

　　 在報(bào)告所述期間，沒(méi)有發(fā)現(xiàn)能夠影響技術(shù)進(jìn)程的新框架，這表明威脅行為者在隱瞞其使用這類工具時(shí)變得更加謹(jǐn)慎。

　　 有犯罪組織已經(jīng)開(kāi)始對(duì)能源公司表現(xiàn)出積極的興趣。實(shí)施有針對(duì)性的攻擊是為了奪取對(duì)整個(gè)網(wǎng)絡(luò)的控制權(quán)，并用勒索軟件感染基礎(chǔ)設(shè)施。

　　 在報(bào)告所述期間，與情報(bào)機(jī)構(gòu)有關(guān)聯(lián)的9個(gè)組織攻擊了能源部門(mén)。據(jù)報(bào)道，7名黑客出售了能源網(wǎng)絡(luò)的訪問(wèn)權(quán)限。此外，該部門(mén)還成功實(shí)施了11次涉及勒索軟件的攻擊。

　　 許多類型的勒索軟件配備了新的能力來(lái)檢測(cè)與工業(yè)控制系統(tǒng)相關(guān)的進(jìn)程，這導(dǎo)致關(guān)鍵數(shù)據(jù)大量丟失，并增加了恢復(fù)訪問(wèn)這些數(shù)據(jù)的贖金金額。對(duì)于存儲(chǔ)在歷史記錄服務(wù)器上的數(shù)據(jù)尤其如此。

　　五銀行業(yè)

　　 黑客獲取訪問(wèn)和加密數(shù)據(jù)以獲得巨額贖金是攻擊銀行業(yè)的一種趨勢(shì)。

　　 到目前為止，還沒(méi)有關(guān)于通過(guò)SWIFT、ATM交換機(jī)、支付網(wǎng)關(guān)或ATM機(jī)通過(guò)銀行網(wǎng)絡(luò)訪問(wèn)的盜竊事件的公開(kāi)報(bào)告。盡管如此，據(jù)報(bào)道，黑客組織Lazarus繼續(xù)通過(guò)SWIFT進(jìn)行盜竊企圖。為了獲得最初的訪問(wèn)權(quán)限，黑客使用了一個(gè)名為T(mén)rickbot的銀行僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)由俄羅斯黑客控制。

　　 此外，Group-IB研究人員檢測(cè)到另一個(gè)威脅組織使用公開(kāi)可用的特洛伊木馬程序、鍵盤(pán)記錄程序和未經(jīng)修改的漏洞進(jìn)行活動(dòng)。此類工具集僅對(duì)安全性最低的銀行有效。

　　 菲律賓政府控制的聯(lián)合椰農(nóng)銀行（UCPB）于2020年9月遭到搶劫。威脅分子進(jìn)入了信用卡處理系統(tǒng)，并改變了取款限額。他們還獲得了銀行間轉(zhuǎn)賬系統(tǒng)InstaPay的使用權(quán)。結(jié)果，他們從銀行盜走了1.67億比索（344萬(wàn)美元）。

　　 用于攻擊自動(dòng)取款機(jī)的工具也略有發(fā)展。在本報(bào)告所述期間，發(fā)現(xiàn)了由Lazarus開(kāi)發(fā)的ATMDtrack和由Silence開(kāi)發(fā)的新版ATM特洛伊木馬。目前還沒(méi)有證實(shí)這兩種實(shí)用工具是否成功地用于盜竊。

　　六網(wǎng)絡(luò)釣魚(yú)與社會(huì)工程

　　 從2019年下半年到2020年上半年，Group-IB發(fā)現(xiàn)并攔截的網(wǎng)絡(luò)資源釣魚(yú)數(shù)量與去年同期相比增長(zhǎng)了118%。新冠疫情流行致使更多的網(wǎng)絡(luò)犯罪分子參與網(wǎng)絡(luò)釣魚(yú)攻擊，是該數(shù)據(jù)上升的主要原因。網(wǎng)絡(luò)釣魚(yú)是網(wǎng)絡(luò)犯罪行業(yè)最簡(jiǎn)單的賺錢(qián)方式之一，吸引了那些失去收入的人。

　　 網(wǎng)購(gòu)需求的增加為釣魚(yú)者創(chuàng)造了有利的環(huán)境。他們很快適應(yīng)了這一趨勢(shì)，開(kāi)始對(duì)以前對(duì)他們沒(méi)有太大經(jīng)濟(jì)吸引力的服務(wù)和個(gè)別品牌進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊。

　　 詐騙者也改變了他們的策略。在前幾年，攻擊者在欺詐網(wǎng)站被關(guān)閉并迅速轉(zhuǎn)向其他品牌后，停止了他們的行動(dòng)。如今，他們將攻擊自動(dòng)化，用新的頁(yè)面替換被屏蔽的頁(yè)面。

　　 自今年年初以來(lái)，高級(jí)社會(huì)工程興起，即在釣魚(yú)攻擊中使用多階段場(chǎng)景。作為這種越來(lái)越流行的網(wǎng)絡(luò)釣魚(yú)計(jì)劃的一部分，威脅行為者首先監(jiān)視受害者。他們與目標(biāo)個(gè)人建立聯(lián)系，創(chuàng)造信任的氛圍，然后才會(huì)將受害者引導(dǎo)到釣魚(yú)頁(yè)面。

　　 一次性鏈接是去年的一種釣魚(yú)趨勢(shì)。用戶收到鏈接并至少點(diǎn)擊一次后，將不可能再次獲取相同內(nèi)容以收集證據(jù)。這大大增加了獲取釣魚(yú)資源的復(fù)雜性。

　　 大多數(shù)網(wǎng)絡(luò)釣魚(yú)網(wǎng)頁(yè)模仿在線服務(wù)（39.6%）。尤其是網(wǎng)絡(luò)釣魚(yú)者從微軟、Netflix、亞馬遜、eBay、Valve Steam等網(wǎng)站的用戶賬戶收集登錄憑證。其次是電子郵件服務(wù)提供商（15.6%）、金融機(jī)構(gòu)（15%）、云存儲(chǔ)系統(tǒng)（14.5%）、支付服務(wù)（6.6%）和博彩公司（2.2%）。

　　二、主要預(yù)測(cè)

　　一勒索軟件攻擊

　　 Group-IB預(yù)計(jì)，未來(lái)將出現(xiàn)專門(mén)的交易平臺(tái)?？山尤肫髽I(yè)網(wǎng)絡(luò)進(jìn)行展銷(xiāo)，這可能會(huì)導(dǎo)致發(fā)生更多相關(guān)事件。同時(shí)，對(duì)旨在實(shí)現(xiàn)網(wǎng)絡(luò)持久性和提升權(quán)限的Linux惡意軟件的需求將會(huì)更大。

　　 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所有者可能會(huì)開(kāi)始出售安裝在公司網(wǎng)絡(luò)上的設(shè)備的訪問(wèn)權(quán)限。將出現(xiàn)新的僵尸網(wǎng)絡(luò)和相關(guān)的犯罪服務(wù)，用于對(duì)遠(yuǎn)程控制接口進(jìn)行分布式暴力攻擊。

　　 勒索軟件即服務(wù)的數(shù)量只會(huì)在短時(shí)間內(nèi)增長(zhǎng)。到2020年底，數(shù)量將停止增長(zhǎng)，市場(chǎng)將趨于穩(wěn)定。

　　 可能有針對(duì)公司郵件系統(tǒng)的勒索軟件攻擊案例?？紤]到穩(wěn)定的電子郵件通信對(duì)企業(yè)至關(guān)重要，黑客很可能從本地郵件服務(wù)器竊取數(shù)據(jù)并關(guān)閉郵件系統(tǒng)。這可能會(huì)導(dǎo)致云郵件服務(wù)變得更加流行，并放棄on-prem郵件存儲(chǔ)模式。

　　 為了操縱生產(chǎn)過(guò)程，專門(mén)針對(duì)工業(yè)企業(yè)的SCADA系統(tǒng)進(jìn)行攻擊的組織可能會(huì)出現(xiàn)。情報(bào)機(jī)構(gòu)可能對(duì)勒索軟件即服務(wù)所有者感興趣，并使用他們?cè)L問(wèn)感興趣的網(wǎng)絡(luò)。

　　 為了對(duì)實(shí)體造成最大的破壞，轉(zhuǎn)移人們對(duì)其攻擊的注意力，特殊服務(wù)機(jī)構(gòu)可能開(kāi)始模仿犯罪分子，傳播破壞被攻擊組織商業(yè)運(yùn)作的文件，或出售受影響的公司網(wǎng)絡(luò)的訪問(wèn)權(quán)。

　　二軍事行動(dòng)

　　 在中東緊張局勢(shì)加劇的背景下，波斯灣的運(yùn)輸船控制系統(tǒng)可能遭到襲擊。

　　 Group-IB預(yù)計(jì)會(huì)有更多針對(duì)伊朗關(guān)鍵基礎(chǔ)設(shè)施的破壞行動(dòng)，特別是與核能相關(guān)的設(shè)施。

　　 安全供應(yīng)商已開(kāi)始開(kāi)發(fā)更積極地檢測(cè)UEFI級(jí)別后門(mén)的功能。這類工具將有助于檢測(cè)軍事行動(dòng)中利用的新UEFI惡意軟件。

　　 Elon Musk的公司在太空行業(yè)取得的新成就可能會(huì)吸引特別服務(wù)部門(mén)的注意，這既有間諜目的，也有利于控制其衛(wèi)星互聯(lián)網(wǎng)星座的控制系統(tǒng)。

　　三電信部門(mén)

　　 隨著國(guó)際沖突不斷升級(jí)，預(yù)計(jì)威脅行為體將首次攻擊電信運(yùn)營(yíng)商，以造成邏輯網(wǎng)絡(luò)擁塞，從而產(chǎn)生連鎖效應(yīng)，影響多個(gè)行業(yè)。

　　 COVID-19流感大流行迫使相當(dāng)多的人在家工作，因此，針對(duì)家庭路由器和存儲(chǔ)系統(tǒng)的攻擊數(shù)量將繼續(xù)增加，因?yàn)樗鼈冇兄诟呒?jí)犯罪組織和國(guó)家資助的參與者在不滲透組織外圍的情況下訪問(wèn)公司數(shù)據(jù)。

　　四能源部門(mén)

　　 間諜活動(dòng)仍將是國(guó)家支持的威脅行為者的主要目標(biāo)。

　　 對(duì)能源部門(mén)的破壞攻擊將在中東或新出現(xiàn)軍事沖突的國(guó)家進(jìn)行。為了更有效地發(fā)動(dòng)攻擊，威脅行為者不僅將攻擊大型能源公司，還將攻擊為能源公司提供額外服務(wù)的能源分銷(xiāo)商和小型供應(yīng)商。

　　 5G網(wǎng)絡(luò)將把大量設(shè)備連接到全球網(wǎng)絡(luò)，包括那些屬于能源和工業(yè)企業(yè)的設(shè)備。因此，攻擊面將大幅增加。

　    經(jīng)驗(yàn)豐富的黑客將更頻繁地通過(guò)易受攻擊的網(wǎng)絡(luò)設(shè)備利用初始感染媒介。技能較低的黑客將使用常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)技術(shù)。

　　五銀行業(yè)

　　 明年，可能不會(huì)有以盜竊為目的的針對(duì)銀行的傳統(tǒng)攻擊。

　　 與其他行業(yè)一樣，勒索軟件運(yùn)營(yíng)商將對(duì)金融垂直行業(yè)構(gòu)成最大威脅。

　　 越來(lái)越多的出售金融機(jī)構(gòu)所屬公司網(wǎng)絡(luò)的使用權(quán)，然而，竊取VIP客戶的金融交易信息并在網(wǎng)上發(fā)布可能會(huì)成為比數(shù)據(jù)加密更嚴(yán)重的威脅。此類攻擊可能造成重大財(cái)務(wù)損失，并使銀行更容易向威脅行為者支付贖金。

　　 另一個(gè)趨勢(shì)可能是攻擊者威脅向金融監(jiān)管機(jī)構(gòu)發(fā)送（虛假）警報(bào)，通知銀行存在安全問(wèn)題。威脅發(fā)出此類通知，可能會(huì)促使銀行向勒索者支付更高的金額。

　　六網(wǎng)絡(luò)釣魚(yú)與社會(huì)工程

　　 網(wǎng)絡(luò)釣魚(yú)攻擊已經(jīng)變得自動(dòng)化，而且持續(xù)時(shí)間更長(zhǎng)，這要?dú)w功于通過(guò)網(wǎng)絡(luò)釣魚(yú)即服務(wù)模式傳播的騙局的出現(xiàn)。

　　 網(wǎng)絡(luò)安全行業(yè)面臨的最大挑戰(zhàn)之一將是黑客使用一次性網(wǎng)絡(luò)釣魚(yú)鏈接。

　　 此外，在俄羅斯越來(lái)越流行的網(wǎng)絡(luò)釣魚(yú)即服務(wù)將在其他地區(qū)更積極地使用。

　　三、主要趨勢(shì)

　　一出于勒索目的訪問(wèn)公司網(wǎng)絡(luò)

　　2019年底和2020年全年，勒索軟件攻擊出現(xiàn)了前所未有的激增。事實(shí)證明，無(wú)論是私營(yíng)企業(yè)還是政府機(jī)構(gòu)，都無(wú)法幸免于勒索病毒的肆虐。在報(bào)告所述期間，有超過(guò)45個(gè)國(guó)家報(bào)告了500多起勒索軟件成功攻擊事件。由于攻擊者的動(dòng)機(jī)僅僅是經(jīng)濟(jì)利益，任何公司，無(wú)論大小和行業(yè)，都可能成為勒索軟件攻擊的受害者。與此同時(shí)，如果沒(méi)有必要的技術(shù)工具集和數(shù)據(jù)恢復(fù)能力，勒索軟件攻擊不僅會(huì)導(dǎo)致生產(chǎn)停工，還會(huì)導(dǎo)致運(yùn)營(yíng)陷入停頓。根據(jù)Group-IB的保守估計(jì)，勒索軟件操作造成的經(jīng)濟(jì)損失總計(jì)超過(guò)10億美元（1,005,186,000美元），但實(shí)際損失可能要高得多。受害者往往對(duì)事件保持沉默，并悄悄地支付贖金，而攻擊者并不總是公布來(lái)自受攻擊網(wǎng)絡(luò)的數(shù)據(jù)。

　　在美國(guó)發(fā)現(xiàn)的大型勒索軟件攻擊事件約占所有已知事件的60%。緊隨美國(guó)之后的是歐洲國(guó)家（主要是英國(guó)、法國(guó)和德國(guó)），這些國(guó)家總共約占所有勒索軟件攻擊的20%。北美和南美國(guó)家（不包括美國(guó)）為10%，亞洲國(guó)家為7%。最常受到攻擊的五大行業(yè)包括制造業(yè)（94名受害者）、零售業(yè)（51名受害者）、國(guó)家機(jī)構(gòu)（39名受害者）、醫(yī)療保?。?8名受害者）和建筑業(yè)（30名受害者）。

　　Maze和REvil是最活躍的勒索軟件，占成功攻擊的50%以上。Ryuk、NetWalker、DoppelPaymer排在第二梯隊(duì)。最常受到攻擊的行業(yè)是制造業(yè)。一半的攻擊目標(biāo)是制造業(yè)、貿(mào)易、政府、醫(yī)療保健、建筑業(yè)和學(xué)術(shù)部門(mén)組織。盡管攻擊者目前專注于上述行業(yè)，但聯(lián)盟機(jī)構(gòu)通常會(huì)尋找更容易攻擊的目標(biāo)，這就解釋了攻擊在不同垂直領(lǐng)域的廣泛分布。

　　勒索軟件的流行是由私人和公共聯(lián)盟計(jì)劃的積極發(fā)展引發(fā)的，這些計(jì)劃將勒索軟件運(yùn)營(yíng)商和參與破壞公司網(wǎng)絡(luò)的網(wǎng)絡(luò)犯罪分子聚集在一起。勒索軟件攻擊增加的另一個(gè)原因是，市場(chǎng)上許多公司仍然廣泛使用的傳統(tǒng)安全解決方案，經(jīng)常無(wú)法在早期階段檢測(cè)和阻止勒索軟件活動(dòng)。

　　勒索軟件運(yùn)營(yíng)商購(gòu)買(mǎi)訪問(wèn)權(quán)，然后加密網(wǎng)絡(luò)上的設(shè)備。在收到受害者的贖金后，他們根據(jù)聯(lián)盟計(jì)劃向其合作伙伴支付固定的費(fèi)率。獲取對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)的主要方式包括對(duì)遠(yuǎn)程訪問(wèn)接口（RDP、SSH、VPN）、惡意軟件（例如下載程序）和新型僵尸網(wǎng)絡(luò)（暴力僵尸網(wǎng)絡(luò)）的暴力攻擊。后者用于來(lái)自大量受感染設(shè)備（包括服務(wù)器）的分布式暴力攻擊。

　　2019年末，勒索軟件運(yùn)營(yíng)商采用了一項(xiàng)新技術(shù)。他們開(kāi)始從受害者組織下載所有信息，然后勒索他們，以增加支付贖金的機(jī)會(huì)。Maze首創(chuàng)了發(fā)布敏感數(shù)據(jù)作為敲詐錢(qián)財(cái)?shù)幕I碼的策略。如果受害者拒絕支付贖金，他們不僅面臨丟失所有數(shù)據(jù)的風(fēng)險(xiǎn)，還會(huì)面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。2020年6月，Revil開(kāi)始拍賣(mài)被盜數(shù)據(jù)。

　　同時(shí)該Group-IB報(bào)告提出了防范勒索軟件攻擊的建議，既包括為企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)提供的技術(shù)措施，也包括提升網(wǎng)絡(luò)安全團(tuán)隊(duì)的專業(yè)知識(shí)。

　　二企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)限的買(mǎi)賣(mài)市場(chǎng)越來(lái)越大

　　出售被攻陷公司網(wǎng)絡(luò)的訪問(wèn)權(quán)限的業(yè)務(wù)逐年增長(zhǎng)，并在2020年達(dá)到頂峰。然而，由于地下論壇上公布的信息往往不包括價(jià)格，而一些交易是私下達(dá)成的，因此很難評(píng)估出售通道的市場(chǎng)規(guī)模。盡管如此，Group-IB監(jiān)控地下論壇的技術(shù)，包括可以看到被刪除和隱藏的帖子，幫助專家評(píng)估了在2019年下半年至2020年上半年內(nèi)出售的訪問(wèn)權(quán)的總市場(chǎng)規(guī)模：約為620萬(wàn)美元。與上一個(gè)審查周期（2018年下半年至2019年上半年）相比，這一數(shù)字增長(zhǎng)了四倍，當(dāng)時(shí)總額為160萬(wàn)美元。

　　令人驚訝的是，國(guó)家支持的攻擊者加入了這一網(wǎng)絡(luò)犯罪市場(chǎng)，尋求額外收入。因此，在2020年夏天，在一個(gè)地下論壇上，一個(gè)賣(mài)家提供了幾個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，包括一些屬于美國(guó)政府部門(mén)、國(guó)防承包商（空中客車(chē)、波音等）、IT巨頭和媒體公司的網(wǎng)絡(luò)。進(jìn)入這些上市公司的成本接近500萬(wàn)美元。

　　僅在2020年上半年，就有277個(gè)企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)限在地下論壇上出售。賣(mài)家的數(shù)量也在增長(zhǎng)。在此期間，有63家賣(mài)家活躍，其中52家于2020年開(kāi)始銷(xiāo)售Access。相比之下，2018年全年只有37家網(wǎng)絡(luò)權(quán)限賣(mài)家活躍，而2019年有50家賣(mài)家提供130個(gè)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限?？傮w而言，公司網(wǎng)絡(luò)訪問(wèn)權(quán)限的銷(xiāo)售額與上一季度相比增長(zhǎng)了162%。在分析了訪問(wèn)企業(yè)網(wǎng)絡(luò)的提議后，Group-IB專家發(fā)現(xiàn)了與勒索軟件攻擊的相關(guān)性：大多數(shù)威脅參與者提供對(duì)美國(guó)公司的訪問(wèn)權(quán)限（27%），而制造業(yè)是2019年受到攻擊最頻繁的行業(yè)（10.5%）。2020年，訪問(wèn)國(guó)家機(jī)構(gòu)網(wǎng)絡(luò)（10.5%）、教育機(jī)構(gòu)（10.5%）和IT公司（9%）的需求很高。值得注意的是，公司網(wǎng)絡(luò)訪問(wèn)權(quán)限的賣(mài)家越來(lái)越少提及公司名稱、地理位置和行業(yè)，這使得在不聯(lián)系攻擊者的情況下幾乎不可能確認(rèn)受害者的身份。

　　出售對(duì)公司網(wǎng)絡(luò)的訪問(wèn)權(quán)通常只是攻擊的一個(gè)階段：獲得的特權(quán)可能被用來(lái)發(fā)布勒索軟件和竊取數(shù)據(jù)，目的是以后在地下論壇上出售或進(jìn)行間諜活動(dòng)。

　　三民族國(guó)家行為者出售網(wǎng)絡(luò)訪問(wèn)權(quán)限并使用勒索軟件

　　為了增加利潤(rùn)，一些國(guó)家支持的團(tuán)體開(kāi)始出售進(jìn)入企業(yè)網(wǎng)絡(luò)的權(quán)限，甚至像普通的網(wǎng)絡(luò)罪犯那樣使用勒索軟件。一個(gè)典型的例子是一個(gè)昵稱為Nanash的用戶在2020年6月發(fā)布的一則廣告。賣(mài)家提供了對(duì)許多網(wǎng)絡(luò)的訪問(wèn)，包括一些屬于美國(guó)政府部門(mén)、國(guó)防承包商（空中客車(chē)、波音等）、IT巨頭和媒體公司的網(wǎng)絡(luò)。在廣告中，賣(mài)家指定每家公司的訪問(wèn)價(jià)格為11 BTC（12.5萬(wàn)美元）。Access是以部分預(yù)付款的方式直接出售的：在客戶轉(zhuǎn)賬5BTC后，賣(mài)家提供額外的證據(jù)，進(jìn)行第二次交易。

　　國(guó)家支持的團(tuán)體的另一種賺錢(qián)方式是使用勒索軟件：2020年5月臺(tái)灣能源和科技公司遭到勒索軟件攻擊。影響了包括向臺(tái)灣各地運(yùn)送石油產(chǎn)品的臺(tái)灣中油公司（CPC Corp.）。雖然這次攻擊沒(méi)有影響中油公司的生產(chǎn)流程，但阻止了客戶使用中油公司的支付卡購(gòu)買(mǎi)汽油。在針對(duì)臺(tái)灣目標(biāo)的攻擊浪潮中，威脅者使用了一種名為ColdLock的新型勒索軟件。惡意軟件分析顯示，該程序與兩個(gè)已知的勒索軟件家族存在相似之處：frozen和EDA2。EDA2是一款最初用于教學(xué)目的的開(kāi)源勒索軟件。

　　另外，黑客組織Lazarus也已經(jīng)恢復(fù)開(kāi)發(fā)勒索軟件。這一事實(shí)是在針對(duì)歐洲公司的攻擊中被曝光的，攻擊涉及一種名為VHDRansomware的勒索軟件。黑客通過(guò)一個(gè)脆弱的VPN網(wǎng)關(guān)獲得訪問(wèn)權(quán)限，獲得管理員權(quán)限，并安裝了Dacls后門(mén)。他們穿過(guò)受害者的網(wǎng)絡(luò)，用AES-256的ECB模式和RSA-2048的組合對(duì)文件進(jìn)行加密。

　　四大公司遭到大規(guī)模黑客攻擊的威脅越來(lái)越大

　　過(guò)去，大規(guī)模的攻擊并沒(méi)有對(duì)大公司造成嚴(yán)重的破壞。這是因?yàn)楸┝艋蚶密浖械穆┒?，只是?dǎo)致他們的基礎(chǔ)設(shè)施被用來(lái)分發(fā)或管理惡意代碼、挖掘加密貨幣、進(jìn)行DDoS攻擊或代理通信。然而，由于出售公司網(wǎng)絡(luò)訪問(wèn)權(quán)限的市場(chǎng)、勒索軟件攻擊的數(shù)量以及APT組織活動(dòng)都在增加，因此企業(yè)外部發(fā)生錯(cuò)誤的成本也大幅上升。15個(gè)勒索軟件聯(lián)盟計(jì)劃中的10個(gè)專注于暴力攻擊RDP。三個(gè)程序積極利用VPN服務(wù)中的漏洞。APT組織也在執(zhí)行類似的操作。

　　另一個(gè)關(guān)鍵變化是新型僵尸網(wǎng)絡(luò)的出現(xiàn)。它們的主要目的是幫助執(zhí)行來(lái)自大量受感染設(shè)備（包括服務(wù)器）的分布式暴力攻擊。

　　五不斷增長(zhǎng)的DDoS攻擊能力

　　物聯(lián)網(wǎng)（IoT）設(shè)備數(shù)量的增加導(dǎo)致越來(lái)越多的主機(jī)被添加到Mirai等僵尸網(wǎng)絡(luò)中。此外，新的僵尸網(wǎng)絡(luò)不斷涌現(xiàn)，在DDoS攻擊技術(shù)方面，SYN洪水仍然是最常見(jiàn)的攻擊類型。

　　根據(jù)亞馬遜2020年第一季度的威脅報(bào)告，其AWS Shield服務(wù)緩解了有史以來(lái)最大的DDoS攻擊，阻止了今年2月中旬發(fā)生的2.3Tbps攻擊。該公司沒(méi)有透露攻擊的目標(biāo)和來(lái)源。這次攻擊是利用被劫持的CLDAP網(wǎng)絡(luò)服務(wù)器進(jìn)行的，持續(xù)了三天。CLDAP（無(wú)連接輕型目錄訪問(wèn)協(xié)議）是舊LDAP協(xié)議的替代方案，該協(xié)議自2016年以來(lái)一直被濫用用于DDoS攻擊。眾所周知，CLDAP服務(wù)器可以將DDoS流量放大56到70倍，這使得它成為一種非常受歡迎的協(xié)議，也是DDoS提供的租用服務(wù)的常見(jiàn)選項(xiàng)。

　　2020年2月初，伊朗的基礎(chǔ)設(shè)施遭到大規(guī)模DDoS攻擊，導(dǎo)致25%的伊朗用戶無(wú)法上網(wǎng)。經(jīng)“網(wǎng)絡(luò)封鎖網(wǎng)絡(luò)觀測(cè)站”證實(shí)，從2月8日上午當(dāng)?shù)貢r(shí)間11:45開(kāi)始，伊朗電信網(wǎng)絡(luò)出現(xiàn)了大規(guī)模中斷。大規(guī)模襲擊造成的后果是該國(guó)主要的網(wǎng)絡(luò)運(yùn)營(yíng)商無(wú)法運(yùn)營(yíng)最長(zhǎng)達(dá)7個(gè)小時(shí)。

　　2020年，拒絕服務(wù)攻擊變得更加有效，攻擊者也創(chuàng)造了DDoS攻擊的新紀(jì)錄。