【編者按】過去的一年網(wǎng)絡(luò)犯罪達(dá)到頂峰，典型標(biāo)志為出售企業(yè)網(wǎng)絡(luò)訪問權(quán)限的地下黑市的興起。各種支持政府的黑客組織之間的對峙導(dǎo)致了新玩家的出現(xiàn)，同時一些先前已知的組織恢復(fù)了他們的活動。全球威脅情報公司Group-IB近日發(fā)布了2020/2021年度高科技犯罪網(wǎng)絡(luò)威脅趨勢報告，該報告研究了網(wǎng)絡(luò)犯罪行業(yè)運營的各個方面，分析了針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊行動，并預(yù)測了金融、電信、制造業(yè)和能源等不同行業(yè)威脅格局的變化。報告提出針對性建議，以幫助企業(yè)采取預(yù)防措施，對抗有針對性的攻擊、網(wǎng)絡(luò)間諜活動和網(wǎng)絡(luò)恐怖行動，從而防止制造業(yè)停工及經(jīng)濟(jì)損失。

　　一、主要調(diào)查結(jié)果

　　一勒索軟件攻擊

　　在過去的一年里，出現(xiàn)了7個新型勒索軟件即服務(wù)（RaaS），總數(shù)共計達(dá)到15個。2019年下半年至2020年上半年，勒索軟件即服務(wù)活動同期增長了2.6倍，從138個增加到362個?！纠账鬈浖捶?wù)（RaaS）：開發(fā)人員負(fù)責(zé)開發(fā)勒索軟件，然后雇傭/建立專門的勒索支付網(wǎng)站，通過聯(lián)盟計劃（Affiliate Program）招募合作伙伴進(jìn)行攻擊和勒索加密，最后各方進(jìn)行分成?！?/p>

　　 積極出售企業(yè)網(wǎng)絡(luò)訪問權(quán)限的用戶越來越多。2019年，活躍賣家有50家；2020年上半年，Group-IB確定了63家。

　　 銀行僵尸網(wǎng)絡(luò)TrickBot、Qbot、SilentNight和RTM的所有者已經(jīng)開始使用僵尸網(wǎng)絡(luò)部署勒索軟件。網(wǎng)絡(luò)犯罪集團(tuán)Cobalt和Silence此前專注于針對銀行的定向攻擊，據(jù)推測他們已加入了勒索軟件的聯(lián)盟計劃。

　　 原始錯誤（如公共服務(wù)中易受攻擊的軟件版本或弱口令）是企業(yè)面臨的最嚴(yán)重風(fēng)險之一。如果一個脆弱的系統(tǒng)被破壞，對手通常會試圖對業(yè)務(wù)造成盡可能多的破壞，然后是敲詐勒索。

　　 10個勒索軟件聯(lián)盟計劃涉及對通過遠(yuǎn)程桌面服務(wù)從外部訪問的服務(wù)器進(jìn)行暴力攻擊。有三個聯(lián)盟計劃利用了VPN服務(wù)中的漏洞。

　　 發(fā)現(xiàn)了對遠(yuǎn)程訪問接口（RDP、SSH、VPN）和其他服務(wù)執(zhí)行分布式暴力攻擊的新僵尸網(wǎng)絡(luò)。受害者被誘騙支付贖金的最常見方式之一是從網(wǎng)絡(luò)上竊取數(shù)據(jù)，并威脅在網(wǎng)上泄露信息。此外，為了增加利潤，一些組織通過拍賣來出售被盜數(shù)據(jù)，而不是在網(wǎng)上發(fā)布。

　　 勒索軟件如此流行，以至于犯罪分子開始在GitHub等網(wǎng)站上發(fā)布針對Linux、MacOS和Windows（如RAASNet項目）的現(xiàn)成勒索軟件即服務(wù)（RaaS）項目。

　　二軍事行動

　　 各種情報機(jī)構(gòu)進(jìn)行的軍事行動正變得越來越普遍。

　　 對基礎(chǔ)設(shè)施的物理破壞正在取代間諜活動。

　　 攻擊者工具箱正在更新，使用的工具旨在攻擊物理隔離網(wǎng)絡(luò)。

　　 核工業(yè)正在成為國家支持的威脅行為者的頭號目標(biāo)。與之前沒有觀察到攻擊事件不同，當(dāng)前此次攻擊的特點是伊朗和印度的核能設(shè)施遭到襲擊。

　　 以色列發(fā)生了公然的攻擊，威脅分子進(jìn)入了以色列的一些水處理系統(tǒng)，并試圖改變水中的氯含量。如果攻擊成功，可能會導(dǎo)致水資源短缺，甚至造成平民傷亡。

　　 政府支持的APT組織并未對電信行業(yè)失去興趣。在報告期間，它成為至少11個與情報機(jī)構(gòu)有關(guān)聯(lián)的組織的目標(biāo)。威脅分子的主要目標(biāo)仍然是監(jiān)視電信運營商或試圖破壞基礎(chǔ)設(shè)施。

　　 根據(jù)Group-IB分析的數(shù)據(jù)，亞太地區(qū)成為受到國家支持的威脅分子攻擊最頻繁的地區(qū)。在這一地區(qū)共開展了34次行動，來自中國、朝鮮、伊朗和巴基斯坦的APT組織最為活躍。在歐洲大陸，至少有22次行動被記錄下來，攻擊由來自中國、巴基斯坦、俄羅斯和伊朗的APT組織實施。中東和非洲是來自伊朗、巴基斯坦、土耳其、中國和加沙的親政府攻擊者發(fā)動的18次行動的現(xiàn)場。

　　 網(wǎng)絡(luò)安全研究人員還發(fā)現(xiàn)了7個以前未知的APT組織，分別是：Tortoiseshell（伊朗）、Poison Carp （中國）、Higaisa（韓國）、AVIVORE（中國）、Nuo Chong Lions（沙特阿拉伯），以及Chimera和WildPressure。此外，最近幾年仍未被注意的6個已知組織恢復(fù)了運營，分別為Golden Falcon、Naikon、APT20、APT5、APT30、Cycldek。

　　三電信部門

　　 國家支持的組織對電信行業(yè)表現(xiàn)出興趣，并對其進(jìn)行復(fù)雜的攻擊。

　　 在本報告所述期間，與特別服務(wù)有關(guān)聯(lián)的6個組織積極攻擊電信部門。威脅行為者還刷新了DDoS攻擊能力的新紀(jì)錄：2.3TB/秒，8.09億包/秒。

　　 BGP劫持和路由泄露仍然是一個嚴(yán)重的問題。在過去的一年里，已經(jīng)公布了9起重大案件。

　　四能源部門

　    威脅行為者的武器庫積極補(bǔ)充了專為攻擊隔離網(wǎng)絡(luò)而設(shè)計的工具。在過去的一年里，已經(jīng)確定了4種使用USB閃存驅(qū)動器來突破隔離網(wǎng)絡(luò)的工具。

　　 核能已成為攻擊者的明顯目標(biāo)，在本報告所述期間，伊朗的核能設(shè)施遭到破壞，而印度的設(shè)施則受到間諜攻擊。威脅者對印度特別感興趣，因為該國正在開發(fā)核技術(shù)和基于釷的反應(yīng)堆。

　　 在報告所述期間，沒有發(fā)現(xiàn)能夠影響技術(shù)進(jìn)程的新框架，這表明威脅行為者在隱瞞其使用這類工具時變得更加謹(jǐn)慎。

　　 有犯罪組織已經(jīng)開始對能源公司表現(xiàn)出積極的興趣。實施有針對性的攻擊是為了奪取對整個網(wǎng)絡(luò)的控制權(quán)，并用勒索軟件感染基礎(chǔ)設(shè)施。

　　 在報告所述期間，與情報機(jī)構(gòu)有關(guān)聯(lián)的9個組織攻擊了能源部門。據(jù)報道，7名黑客出售了能源網(wǎng)絡(luò)的訪問權(quán)限。此外，該部門還成功實施了11次涉及勒索軟件的攻擊。

　　 許多類型的勒索軟件配備了新的能力來檢測與工業(yè)控制系統(tǒng)相關(guān)的進(jìn)程，這導(dǎo)致關(guān)鍵數(shù)據(jù)大量丟失，并增加了恢復(fù)訪問這些數(shù)據(jù)的贖金金額。對于存儲在歷史記錄服務(wù)器上的數(shù)據(jù)尤其如此。

　　五銀行業(yè)

　　 黑客獲取訪問和加密數(shù)據(jù)以獲得巨額贖金是攻擊銀行業(yè)的一種趨勢。

　　 到目前為止，還沒有關(guān)于通過SWIFT、ATM交換機(jī)、支付網(wǎng)關(guān)或ATM機(jī)通過銀行網(wǎng)絡(luò)訪問的盜竊事件的公開報告。盡管如此，據(jù)報道，黑客組織Lazarus繼續(xù)通過SWIFT進(jìn)行盜竊企圖。為了獲得最初的訪問權(quán)限，黑客使用了一個名為Trickbot的銀行僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)由俄羅斯黑客控制。

　　 此外，Group-IB研究人員檢測到另一個威脅組織使用公開可用的特洛伊木馬程序、鍵盤記錄程序和未經(jīng)修改的漏洞進(jìn)行活動。此類工具集僅對安全性最低的銀行有效。

　　 菲律賓政府控制的聯(lián)合椰農(nóng)銀行（UCPB）于2020年9月遭到搶劫。威脅分子進(jìn)入了信用卡處理系統(tǒng)，并改變了取款限額。他們還獲得了銀行間轉(zhuǎn)賬系統(tǒng)InstaPay的使用權(quán)。結(jié)果，他們從銀行盜走了1.67億比索（344萬美元）。

　　 用于攻擊自動取款機(jī)的工具也略有發(fā)展。在本報告所述期間，發(fā)現(xiàn)了由Lazarus開發(fā)的ATMDtrack和由Silence開發(fā)的新版ATM特洛伊木馬。目前還沒有證實這兩種實用工具是否成功地用于盜竊。

　　六網(wǎng)絡(luò)釣魚與社會工程

　　 從2019年下半年到2020年上半年，Group-IB發(fā)現(xiàn)并攔截的網(wǎng)絡(luò)資源釣魚數(shù)量與去年同期相比增長了118%。新冠疫情流行致使更多的網(wǎng)絡(luò)犯罪分子參與網(wǎng)絡(luò)釣魚攻擊，是該數(shù)據(jù)上升的主要原因。網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)犯罪行業(yè)最簡單的賺錢方式之一，吸引了那些失去收入的人。

　　 網(wǎng)購需求的增加為釣魚者創(chuàng)造了有利的環(huán)境。他們很快適應(yīng)了這一趨勢，開始對以前對他們沒有太大經(jīng)濟(jì)吸引力的服務(wù)和個別品牌進(jìn)行網(wǎng)絡(luò)釣魚攻擊。

　　 詐騙者也改變了他們的策略。在前幾年，攻擊者在欺詐網(wǎng)站被關(guān)閉并迅速轉(zhuǎn)向其他品牌后，停止了他們的行動。如今，他們將攻擊自動化，用新的頁面替換被屏蔽的頁面。

　　 自今年年初以來，高級社會工程興起，即在釣魚攻擊中使用多階段場景。作為這種越來越流行的網(wǎng)絡(luò)釣魚計劃的一部分，威脅行為者首先監(jiān)視受害者。他們與目標(biāo)個人建立聯(lián)系，創(chuàng)造信任的氛圍，然后才會將受害者引導(dǎo)到釣魚頁面。

　　 一次性鏈接是去年的一種釣魚趨勢。用戶收到鏈接并至少點擊一次后，將不可能再次獲取相同內(nèi)容以收集證據(jù)。這大大增加了獲取釣魚資源的復(fù)雜性。

　　 大多數(shù)網(wǎng)絡(luò)釣魚網(wǎng)頁模仿在線服務(wù)（39.6%）。尤其是網(wǎng)絡(luò)釣魚者從微軟、Netflix、亞馬遜、eBay、Valve Steam等網(wǎng)站的用戶賬戶收集登錄憑證。其次是電子郵件服務(wù)提供商（15.6%）、金融機(jī)構(gòu)（15%）、云存儲系統(tǒng)（14.5%）、支付服務(wù)（6.6%）和博彩公司（2.2%）。

　　二、主要預(yù)測

　　一勒索軟件攻擊

　　 Group-IB預(yù)計，未來將出現(xiàn)專門的交易平臺。可接入企業(yè)網(wǎng)絡(luò)進(jìn)行展銷，這可能會導(dǎo)致發(fā)生更多相關(guān)事件。同時，對旨在實現(xiàn)網(wǎng)絡(luò)持久性和提升權(quán)限的Linux惡意軟件的需求將會更大。

　　 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所有者可能會開始出售安裝在公司網(wǎng)絡(luò)上的設(shè)備的訪問權(quán)限。將出現(xiàn)新的僵尸網(wǎng)絡(luò)和相關(guān)的犯罪服務(wù)，用于對遠(yuǎn)程控制接口進(jìn)行分布式暴力攻擊。

　　 勒索軟件即服務(wù)的數(shù)量只會在短時間內(nèi)增長。到2020年底，數(shù)量將停止增長，市場將趨于穩(wěn)定。

　　 可能有針對公司郵件系統(tǒng)的勒索軟件攻擊案例?？紤]到穩(wěn)定的電子郵件通信對企業(yè)至關(guān)重要，黑客很可能從本地郵件服務(wù)器竊取數(shù)據(jù)并關(guān)閉郵件系統(tǒng)。這可能會導(dǎo)致云郵件服務(wù)變得更加流行，并放棄on-prem郵件存儲模式。

　　 為了操縱生產(chǎn)過程，專門針對工業(yè)企業(yè)的SCADA系統(tǒng)進(jìn)行攻擊的組織可能會出現(xiàn)。情報機(jī)構(gòu)可能對勒索軟件即服務(wù)所有者感興趣，并使用他們訪問感興趣的網(wǎng)絡(luò)。

　　 為了對實體造成最大的破壞，轉(zhuǎn)移人們對其攻擊的注意力，特殊服務(wù)機(jī)構(gòu)可能開始模仿犯罪分子，傳播破壞被攻擊組織商業(yè)運作的文件，或出售受影響的公司網(wǎng)絡(luò)的訪問權(quán)。

　　二軍事行動

　　 在中東緊張局勢加劇的背景下，波斯灣的運輸船控制系統(tǒng)可能遭到襲擊。

　　 Group-IB預(yù)計會有更多針對伊朗關(guān)鍵基礎(chǔ)設(shè)施的破壞行動，特別是與核能相關(guān)的設(shè)施。

　　 安全供應(yīng)商已開始開發(fā)更積極地檢測UEFI級別后門的功能。這類工具將有助于檢測軍事行動中利用的新UEFI惡意軟件。

　　 Elon Musk的公司在太空行業(yè)取得的新成就可能會吸引特別服務(wù)部門的注意，這既有間諜目的，也有利于控制其衛(wèi)星互聯(lián)網(wǎng)星座的控制系統(tǒng)。

　　三電信部門

　　 隨著國際沖突不斷升級，預(yù)計威脅行為體將首次攻擊電信運營商，以造成邏輯網(wǎng)絡(luò)擁塞，從而產(chǎn)生連鎖效應(yīng)，影響多個行業(yè)。

　　 COVID-19流感大流行迫使相當(dāng)多的人在家工作，因此，針對家庭路由器和存儲系統(tǒng)的攻擊數(shù)量將繼續(xù)增加，因為它們有助于高級犯罪組織和國家資助的參與者在不滲透組織外圍的情況下訪問公司數(shù)據(jù)。

　　四能源部門

　　 間諜活動仍將是國家支持的威脅行為者的主要目標(biāo)。

　　 對能源部門的破壞攻擊將在中東或新出現(xiàn)軍事沖突的國家進(jìn)行。為了更有效地發(fā)動攻擊，威脅行為者不僅將攻擊大型能源公司，還將攻擊為能源公司提供額外服務(wù)的能源分銷商和小型供應(yīng)商。

　　 5G網(wǎng)絡(luò)將把大量設(shè)備連接到全球網(wǎng)絡(luò)，包括那些屬于能源和工業(yè)企業(yè)的設(shè)備。因此，攻擊面將大幅增加。

　    經(jīng)驗豐富的黑客將更頻繁地通過易受攻擊的網(wǎng)絡(luò)設(shè)備利用初始感染媒介。技能較低的黑客將使用常見的網(wǎng)絡(luò)釣魚技術(shù)。

　　五銀行業(yè)

　　 明年，可能不會有以盜竊為目的的針對銀行的傳統(tǒng)攻擊。

　　 與其他行業(yè)一樣，勒索軟件運營商將對金融垂直行業(yè)構(gòu)成最大威脅。

　　 越來越多的出售金融機(jī)構(gòu)所屬公司網(wǎng)絡(luò)的使用權(quán)，然而，竊取VIP客戶的金融交易信息并在網(wǎng)上發(fā)布可能會成為比數(shù)據(jù)加密更嚴(yán)重的威脅。此類攻擊可能造成重大財務(wù)損失，并使銀行更容易向威脅行為者支付贖金。

　　 另一個趨勢可能是攻擊者威脅向金融監(jiān)管機(jī)構(gòu)發(fā)送（虛假）警報，通知銀行存在安全問題。威脅發(fā)出此類通知，可能會促使銀行向勒索者支付更高的金額。

　　六網(wǎng)絡(luò)釣魚與社會工程

　　 網(wǎng)絡(luò)釣魚攻擊已經(jīng)變得自動化，而且持續(xù)時間更長，這要歸功于通過網(wǎng)絡(luò)釣魚即服務(wù)模式傳播的騙局的出現(xiàn)。

　　 網(wǎng)絡(luò)安全行業(yè)面臨的最大挑戰(zhàn)之一將是黑客使用一次性網(wǎng)絡(luò)釣魚鏈接。

　　 此外，在俄羅斯越來越流行的網(wǎng)絡(luò)釣魚即服務(wù)將在其他地區(qū)更積極地使用。

　　三、主要趨勢

　　一出于勒索目的訪問公司網(wǎng)絡(luò)

　　2019年底和2020年全年，勒索軟件攻擊出現(xiàn)了前所未有的激增。事實證明，無論是私營企業(yè)還是政府機(jī)構(gòu)，都無法幸免于勒索病毒的肆虐。在報告所述期間，有超過45個國家報告了500多起勒索軟件成功攻擊事件。由于攻擊者的動機(jī)僅僅是經(jīng)濟(jì)利益，任何公司，無論大小和行業(yè)，都可能成為勒索軟件攻擊的受害者。與此同時，如果沒有必要的技術(shù)工具集和數(shù)據(jù)恢復(fù)能力，勒索軟件攻擊不僅會導(dǎo)致生產(chǎn)停工，還會導(dǎo)致運營陷入停頓。根據(jù)Group-IB的保守估計，勒索軟件操作造成的經(jīng)濟(jì)損失總計超過10億美元（1,005,186,000美元），但實際損失可能要高得多。受害者往往對事件保持沉默，并悄悄地支付贖金，而攻擊者并不總是公布來自受攻擊網(wǎng)絡(luò)的數(shù)據(jù)。

　　在美國發(fā)現(xiàn)的大型勒索軟件攻擊事件約占所有已知事件的60%。緊隨美國之后的是歐洲國家（主要是英國、法國和德國），這些國家總共約占所有勒索軟件攻擊的20%。北美和南美國家（不包括美國）為10%，亞洲國家為7%。最常受到攻擊的五大行業(yè)包括制造業(yè)（94名受害者）、零售業(yè)（51名受害者）、國家機(jī)構(gòu)（39名受害者）、醫(yī)療保?。?8名受害者）和建筑業(yè)（30名受害者）。

　　Maze和REvil是最活躍的勒索軟件，占成功攻擊的50%以上。Ryuk、NetWalker、DoppelPaymer排在第二梯隊。最常受到攻擊的行業(yè)是制造業(yè)。一半的攻擊目標(biāo)是制造業(yè)、貿(mào)易、政府、醫(yī)療保健、建筑業(yè)和學(xué)術(shù)部門組織。盡管攻擊者目前專注于上述行業(yè)，但聯(lián)盟機(jī)構(gòu)通常會尋找更容易攻擊的目標(biāo)，這就解釋了攻擊在不同垂直領(lǐng)域的廣泛分布。

　　勒索軟件的流行是由私人和公共聯(lián)盟計劃的積極發(fā)展引發(fā)的，這些計劃將勒索軟件運營商和參與破壞公司網(wǎng)絡(luò)的網(wǎng)絡(luò)犯罪分子聚集在一起。勒索軟件攻擊增加的另一個原因是，市場上許多公司仍然廣泛使用的傳統(tǒng)安全解決方案，經(jīng)常無法在早期階段檢測和阻止勒索軟件活動。

　　勒索軟件運營商購買訪問權(quán)，然后加密網(wǎng)絡(luò)上的設(shè)備。在收到受害者的贖金后，他們根據(jù)聯(lián)盟計劃向其合作伙伴支付固定的費率。獲取對企業(yè)網(wǎng)絡(luò)的訪問的主要方式包括對遠(yuǎn)程訪問接口（RDP、SSH、VPN）、惡意軟件（例如下載程序）和新型僵尸網(wǎng)絡(luò)（暴力僵尸網(wǎng)絡(luò)）的暴力攻擊。后者用于來自大量受感染設(shè)備（包括服務(wù)器）的分布式暴力攻擊。

　　2019年末，勒索軟件運營商采用了一項新技術(shù)。他們開始從受害者組織下載所有信息，然后勒索他們，以增加支付贖金的機(jī)會。Maze首創(chuàng)了發(fā)布敏感數(shù)據(jù)作為敲詐錢財?shù)幕I碼的策略。如果受害者拒絕支付贖金，他們不僅面臨丟失所有數(shù)據(jù)的風(fēng)險，還會面臨數(shù)據(jù)泄露的風(fēng)險。2020年6月，Revil開始拍賣被盜數(shù)據(jù)。

　　同時該Group-IB報告提出了防范勒索軟件攻擊的建議，既包括為企業(yè)網(wǎng)絡(luò)安全團(tuán)隊提供的技術(shù)措施，也包括提升網(wǎng)絡(luò)安全團(tuán)隊的專業(yè)知識。

　　二企業(yè)網(wǎng)絡(luò)訪問權(quán)限的買賣市場越來越大

　　出售被攻陷公司網(wǎng)絡(luò)的訪問權(quán)限的業(yè)務(wù)逐年增長，并在2020年達(dá)到頂峰。然而，由于地下論壇上公布的信息往往不包括價格，而一些交易是私下達(dá)成的，因此很難評估出售通道的市場規(guī)模。盡管如此，Group-IB監(jiān)控地下論壇的技術(shù)，包括可以看到被刪除和隱藏的帖子，幫助專家評估了在2019年下半年至2020年上半年內(nèi)出售的訪問權(quán)的總市場規(guī)模：約為620萬美元。與上一個審查周期（2018年下半年至2019年上半年）相比，這一數(shù)字增長了四倍，當(dāng)時總額為160萬美元。

　　令人驚訝的是，國家支持的攻擊者加入了這一網(wǎng)絡(luò)犯罪市場，尋求額外收入。因此，在2020年夏天，在一個地下論壇上，一個賣家提供了幾個網(wǎng)絡(luò)的訪問權(quán)限，包括一些屬于美國政府部門、國防承包商（空中客車、波音等）、IT巨頭和媒體公司的網(wǎng)絡(luò)。進(jìn)入這些上市公司的成本接近500萬美元。

　　僅在2020年上半年，就有277個企業(yè)網(wǎng)絡(luò)訪問權(quán)限在地下論壇上出售。賣家的數(shù)量也在增長。在此期間，有63家賣家活躍，其中52家于2020年開始銷售Access。相比之下，2018年全年只有37家網(wǎng)絡(luò)權(quán)限賣家活躍，而2019年有50家賣家提供130個企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。總體而言，公司網(wǎng)絡(luò)訪問權(quán)限的銷售額與上一季度相比增長了162%。在分析了訪問企業(yè)網(wǎng)絡(luò)的提議后，Group-IB專家發(fā)現(xiàn)了與勒索軟件攻擊的相關(guān)性：大多數(shù)威脅參與者提供對美國公司的訪問權(quán)限（27%），而制造業(yè)是2019年受到攻擊最頻繁的行業(yè)（10.5%）。2020年，訪問國家機(jī)構(gòu)網(wǎng)絡(luò)（10.5%）、教育機(jī)構(gòu)（10.5%）和IT公司（9%）的需求很高。值得注意的是，公司網(wǎng)絡(luò)訪問權(quán)限的賣家越來越少提及公司名稱、地理位置和行業(yè)，這使得在不聯(lián)系攻擊者的情況下幾乎不可能確認(rèn)受害者的身份。

　　出售對公司網(wǎng)絡(luò)的訪問權(quán)通常只是攻擊的一個階段：獲得的特權(quán)可能被用來發(fā)布勒索軟件和竊取數(shù)據(jù)，目的是以后在地下論壇上出售或進(jìn)行間諜活動。

　　三民族國家行為者出售網(wǎng)絡(luò)訪問權(quán)限并使用勒索軟件

　　為了增加利潤，一些國家支持的團(tuán)體開始出售進(jìn)入企業(yè)網(wǎng)絡(luò)的權(quán)限，甚至像普通的網(wǎng)絡(luò)罪犯那樣使用勒索軟件。一個典型的例子是一個昵稱為Nanash的用戶在2020年6月發(fā)布的一則廣告。賣家提供了對許多網(wǎng)絡(luò)的訪問，包括一些屬于美國政府部門、國防承包商（空中客車、波音等）、IT巨頭和媒體公司的網(wǎng)絡(luò)。在廣告中，賣家指定每家公司的訪問價格為11 BTC（12.5萬美元）。Access是以部分預(yù)付款的方式直接出售的：在客戶轉(zhuǎn)賬5BTC后，賣家提供額外的證據(jù)，進(jìn)行第二次交易。

　　國家支持的團(tuán)體的另一種賺錢方式是使用勒索軟件：2020年5月臺灣能源和科技公司遭到勒索軟件攻擊。影響了包括向臺灣各地運送石油產(chǎn)品的臺灣中油公司（CPC Corp.）。雖然這次攻擊沒有影響中油公司的生產(chǎn)流程，但阻止了客戶使用中油公司的支付卡購買汽油。在針對臺灣目標(biāo)的攻擊浪潮中，威脅者使用了一種名為ColdLock的新型勒索軟件。惡意軟件分析顯示，該程序與兩個已知的勒索軟件家族存在相似之處：frozen和EDA2。EDA2是一款最初用于教學(xué)目的的開源勒索軟件。

　　另外，黑客組織Lazarus也已經(jīng)恢復(fù)開發(fā)勒索軟件。這一事實是在針對歐洲公司的攻擊中被曝光的，攻擊涉及一種名為VHDRansomware的勒索軟件。黑客通過一個脆弱的VPN網(wǎng)關(guān)獲得訪問權(quán)限，獲得管理員權(quán)限，并安裝了Dacls后門。他們穿過受害者的網(wǎng)絡(luò)，用AES-256的ECB模式和RSA-2048的組合對文件進(jìn)行加密。

　　四大公司遭到大規(guī)模黑客攻擊的威脅越來越大

　　過去，大規(guī)模的攻擊并沒有對大公司造成嚴(yán)重的破壞。這是因為暴力攻擊或利用軟件中的漏洞，只是導(dǎo)致他們的基礎(chǔ)設(shè)施被用來分發(fā)或管理惡意代碼、挖掘加密貨幣、進(jìn)行DDoS攻擊或代理通信。然而，由于出售公司網(wǎng)絡(luò)訪問權(quán)限的市場、勒索軟件攻擊的數(shù)量以及APT組織活動都在增加，因此企業(yè)外部發(fā)生錯誤的成本也大幅上升。15個勒索軟件聯(lián)盟計劃中的10個專注于暴力攻擊RDP。三個程序積極利用VPN服務(wù)中的漏洞。APT組織也在執(zhí)行類似的操作。

　　另一個關(guān)鍵變化是新型僵尸網(wǎng)絡(luò)的出現(xiàn)。它們的主要目的是幫助執(zhí)行來自大量受感染設(shè)備（包括服務(wù)器）的分布式暴力攻擊。

　　五不斷增長的DDoS攻擊能力

　　物聯(lián)網(wǎng)（IoT）設(shè)備數(shù)量的增加導(dǎo)致越來越多的主機(jī)被添加到Mirai等僵尸網(wǎng)絡(luò)中。此外，新的僵尸網(wǎng)絡(luò)不斷涌現(xiàn)，在DDoS攻擊技術(shù)方面，SYN洪水仍然是最常見的攻擊類型。

　　根據(jù)亞馬遜2020年第一季度的威脅報告，其AWS Shield服務(wù)緩解了有史以來最大的DDoS攻擊，阻止了今年2月中旬發(fā)生的2.3Tbps攻擊。該公司沒有透露攻擊的目標(biāo)和來源。這次攻擊是利用被劫持的CLDAP網(wǎng)絡(luò)服務(wù)器進(jìn)行的，持續(xù)了三天。CLDAP（無連接輕型目錄訪問協(xié)議）是舊LDAP協(xié)議的替代方案，該協(xié)議自2016年以來一直被濫用用于DDoS攻擊。眾所周知，CLDAP服務(wù)器可以將DDoS流量放大56到70倍，這使得它成為一種非常受歡迎的協(xié)議，也是DDoS提供的租用服務(wù)的常見選項。

　　2020年2月初，伊朗的基礎(chǔ)設(shè)施遭到大規(guī)模DDoS攻擊，導(dǎo)致25%的伊朗用戶無法上網(wǎng)。經(jīng)“網(wǎng)絡(luò)封鎖網(wǎng)絡(luò)觀測站”證實，從2月8日上午當(dāng)?shù)貢r間11:45開始，伊朗電信網(wǎng)絡(luò)出現(xiàn)了大規(guī)模中斷。大規(guī)模襲擊造成的后果是該國主要的網(wǎng)絡(luò)運營商無法運營最長達(dá)7個小時。

　　2020年，拒絕服務(wù)攻擊變得更加有效，攻擊者也創(chuàng)造了DDoS攻擊的新紀(jì)錄。