编译 | 天地和兴工业网络安全研究院

【编者按】过去的一年网络犯罪达到顶峰,典型标志为出售企业网络访问权限的地下黑市的兴起。各种支持政府的黑客组织之间的对峙导致了新玩家的出现,同时一些先前已知的组织恢复了他们的活动。全球威胁情报公司Group-IB近日发布了2020/2021年度高科技犯罪网络威胁趋势报告,该报告研究了网络犯罪行业运营的各个方面,分析了针对关键信息基础设施的攻击行动,并预测了金融、电信、制造业和能源等不同行业威胁格局的变化。报告提出针对性建议,以帮助企业采取预防措施,对抗有针对性的攻击、网络间谍活动和网络恐怖行动,从而防止制造业停工及经济损失。

一、主要调查结果

勒索软件攻击

• 在过去的一年里,出现了7个新型勒索软件即服务(RaaS),总数共计达到15个。2019年下半年至2020年上半年,勒索软件即服务活动同期增长了2.6倍,从138个增加到362个。【勒索软件即服务(RaaS):开发人员负责开发勒索软件,然后雇佣/建立专门的勒索支付网站,通过联盟计划(Affiliate Program)招募合作伙伴进行攻击和勒索加密,最后各方进行分成。】

• 积极出售企业网络访问权限的用户越来越多。2019年,活跃卖家有50家;2020年上半年,Group-IB确定了63家。

• 银行僵尸网络TrickBot、Qbot、SilentNight和RTM的所有者已经开始使用僵尸网络部署勒索软件。网络犯罪集团Cobalt和Silence此前专注于针对银行的定向攻击,据推测他们已加入了勒索软件的联盟计划。

• 原始错误(如公共服务中易受攻击的软件版本或弱口令)是企业面临的最严重风险之一。如果一个脆弱的系统被破坏,对手通常会试图对业务造成尽可能多的破坏,然后是敲诈勒索。

• 10个勒索软件联盟计划涉及对通过远程桌面服务从外部访问的服务器进行暴力攻击。有三个联盟计划利用了VPN服务中的漏洞。

• 发现了对远程访问接口(RDP、SSH、VPN)和其他服务执行分布式暴力攻击的新僵尸网络。受害者被诱骗支付赎金的最常见方式之一是从网络上窃取数据,并威胁在网上泄露信息。此外,为了增加利润,一些组织通过拍卖来出售被盗数据,而不是在网上发布。

• 勒索软件如此流行,以至于犯罪分子开始在GitHub等网站上发布针对Linux、MacOS和Windows(如RAASNet项目)的现成勒索软件即服务(RaaS)项目。

军事行动

• 各种情报机构进行的军事行动正变得越来越普遍。

• 对基础设施的物理破坏正在取代间谍活动。

• 攻击者工具箱正在更新,使用的工具旨在攻击物理隔离网络。

• 核工业正在成为国家支持的威胁行为者的头号目标。与之前没有观察到攻击事件不同,当前此次攻击的特点是伊朗和印度的核能设施遭到袭击。

• 以色列发生了公然的攻击,威胁分子进入了以色列的一些水处理系统,并试图改变水中的氯含量。如果攻击成功,可能会导致水资源短缺,甚至造成平民伤亡。

• 政府支持的APT组织并未对电信行业失去兴趣。在报告期间,它成为至少11个与情报机构有关联的组织的目标。威胁分子的主要目标仍然是监视电信运营商或试图破坏基础设施。

• 根据Group-IB分析的数据,亚太地区成为受到国家支持的威胁分子攻击最频繁的地区。在这一地区共开展了34次行动,来自中国、朝鲜、伊朗和巴基斯坦的APT组织最为活跃。在欧洲大陆,至少有22次行动被记录下来,攻击由来自中国、巴基斯坦、俄罗斯和伊朗的APT组织实施。中东和非洲是来自伊朗、巴基斯坦、土耳其、中国和加沙的亲政府攻击者发动的18次行动的现场。

• 网络安全研究人员还发现了7个以前未知的APT组织,分别是:Tortoiseshell(伊朗)、Poison Carp (中国)、Higaisa(韩国)、AVIVORE(中国)、Nuo Chong Lions(沙特阿拉伯),以及Chimera和WildPressure。此外,最近几年仍未被注意的6个已知组织恢复了运营,分别为Golden Falcon、Naikon、APT20、APT5、APT30、Cycldek。

电信部门

• 国家支持的组织对电信行业表现出兴趣,并对其进行复杂的攻击。

• 在本报告所述期间,与特别服务有关联的6个组织积极攻击电信部门。威胁行为者还刷新了DDoS攻击能力的新纪录:2.3TB/秒,8.09亿包/秒。

• BGP劫持和路由泄露仍然是一个严重的问题。在过去的一年里,已经公布了9起重大案件。

能源部门

• 威胁行为者的武器库积极补充了专为攻击隔离网络而设计的工具。在过去的一年里,已经确定了4种使用USB闪存驱动器来突破隔离网络的工具。

• 核能已成为攻击者的明显目标,在本报告所述期间,伊朗的核能设施遭到破坏,而印度的设施则受到间谍攻击。威胁者对印度特别感兴趣,因为该国正在开发核技术和基于钍的反应堆。

• 在报告所述期间,没有发现能够影响技术进程的新框架,这表明威胁行为者在隐瞒其使用这类工具时变得更加谨慎。

• 有犯罪组织已经开始对能源公司表现出积极的兴趣。实施有针对性的攻击是为了夺取对整个网络的控制权,并用勒索软件感染基础设施。

• 在报告所述期间,与情报机构有关联的9个组织攻击了能源部门。据报道,7名黑客出售了能源网络的访问权限。此外,该部门还成功实施了11次涉及勒索软件的攻击。

• 许多类型的勒索软件配备了新的能力来检测与工业控制系统相关的进程,这导致关键数据大量丢失,并增加了恢复访问这些数据的赎金金额。对于存储在历史记录服务器上的数据尤其如此。

银行业

• 黑客获取访问和加密数据以获得巨额赎金是攻击银行业的一种趋势。

• 到目前为止,还没有关于通过SWIFT、ATM交换机、支付网关或ATM机通过银行网络访问的盗窃事件的公开报告。尽管如此,据报道,黑客组织Lazarus继续通过SWIFT进行盗窃企图。为了获得最初的访问权限,黑客使用了一个名为Trickbot的银行僵尸网络,该网络由俄罗斯黑客控制。

• 此外,Group-IB研究人员检测到另一个威胁组织使用公开可用的特洛伊木马程序、键盘记录程序和未经修改的漏洞进行活动。此类工具集仅对安全性最低的银行有效。

• 菲律宾政府控制的联合椰农银行(UCPB)于2020年9月遭到抢劫。威胁分子进入了信用卡处理系统,并改变了取款限额。他们还获得了银行间转账系统InstaPay的使用权。结果,他们从银行盗走了1.67亿比索(344万美元)。

• 用于攻击自动取款机的工具也略有发展。在本报告所述期间,发现了由Lazarus开发的ATMDtrack和由Silence开发的新版ATM特洛伊木马。目前还没有证实这两种实用工具是否成功地用于盗窃。

网络钓鱼与社会工程

• 从2019年下半年到2020年上半年,Group-IB发现并拦截的网络资源钓鱼数量与去年同期相比增长了118%。新冠疫情流行致使更多的网络犯罪分子参与网络钓鱼攻击,是该数据上升的主要原因。网络钓鱼是网络犯罪行业最简单的赚钱方式之一,吸引了那些失去收入的人。

• 网购需求的增加为钓鱼者创造了有利的环境。他们很快适应了这一趋势,开始对以前对他们没有太大经济吸引力的服务和个别品牌进行网络钓鱼攻击。

• 诈骗者也改变了他们的策略。在前几年,攻击者在欺诈网站被关闭并迅速转向其他品牌后,停止了他们的行动。如今,他们将攻击自动化,用新的页面替换被屏蔽的页面。

• 自今年年初以来,高级社会工程兴起,即在钓鱼攻击中使用多阶段场景。作为这种越来越流行的网络钓鱼计划的一部分,威胁行为者首先监视受害者。他们与目标个人建立联系,创造信任的氛围,然后才会将受害者引导到钓鱼页面。

• 一次性链接是去年的一种钓鱼趋势。用户收到链接并至少点击一次后,将不可能再次获取相同内容以收集证据。这大大增加了获取钓鱼资源的复杂性。

• 大多数网络钓鱼网页模仿在线服务(39.6%)。尤其是网络钓鱼者从微软、Netflix、亚马逊、eBay、Valve Steam等网站的用户账户收集登录凭证。其次是电子邮件服务提供商(15.6%)、金融机构(15%)、云存储系统(14.5%)、支付服务(6.6%)和博彩公司(2.2%)。

二、主要预测

勒索软件攻击

• Group-IB预计,未来将出现专门的交易平台。可接入企业网络进行展销,这可能会导致发生更多相关事件。同时,对旨在实现网络持久性和提升权限的Linux恶意软件的需求将会更大。

• 物联网僵尸网络所有者可能会开始出售安装在公司网络上的设备的访问权限。将出现新的僵尸网络和相关的犯罪服务,用于对远程控制接口进行分布式暴力攻击。

• 勒索软件即服务的数量只会在短时间内增长。到2020年底,数量将停止增长,市场将趋于稳定。

• 可能有针对公司邮件系统的勒索软件攻击案例。考虑到稳定的电子邮件通信对企业至关重要,黑客很可能从本地邮件服务器窃取数据并关闭邮件系统。这可能会导致云邮件服务变得更加流行,并放弃on-prem邮件存储模式。

• 为了操纵生产过程,专门针对工业企业的SCADA系统进行攻击的组织可能会出现。情报机构可能对勒索软件即服务所有者感兴趣,并使用他们访问感兴趣的网络。

• 为了对实体造成最大的破坏,转移人们对其攻击的注意力,特殊服务机构可能开始模仿犯罪分子,传播破坏被攻击组织商业运作的文件,或出售受影响的公司网络的访问权。

军事行动

• 在中东紧张局势加剧的背景下,波斯湾的运输船控制系统可能遭到袭击。

• Group-IB预计会有更多针对伊朗关键基础设施的破坏行动,特别是与核能相关的设施。

• 安全供应商已开始开发更积极地检测UEFI级别后门的功能。这类工具将有助于检测军事行动中利用的新UEFI恶意软件。

• Elon Musk的公司在太空行业取得的新成就可能会吸引特别服务部门的注意,这既有间谍目的,也有利于控制其卫星互联网星座的控制系统。

电信部门

• 随着国际冲突不断升级,预计威胁行为体将首次攻击电信运营商,以造成逻辑网络拥塞,从而产生连锁效应,影响多个行业。

• COVID-19流感大流行迫使相当多的人在家工作,因此,针对家庭路由器和存储系统的攻击数量将继续增加,因为它们有助于高级犯罪组织和国家资助的参与者在不渗透组织外围的情况下访问公司数据。

能源部门

• 间谍活动仍将是国家支持的威胁行为者的主要目标。

• 对能源部门的破坏攻击将在中东或新出现军事冲突的国家进行。为了更有效地发动攻击,威胁行为者不仅将攻击大型能源公司,还将攻击为能源公司提供额外服务的能源分销商和小型供应商。

• 5G网络将把大量设备连接到全球网络,包括那些属于能源和工业企业的设备。因此,攻击面将大幅增加。

• 经验丰富的黑客将更频繁地通过易受攻击的网络设备利用初始感染媒介。技能较低的黑客将使用常见的网络钓鱼技术。

银行业

• 明年,可能不会有以盗窃为目的的针对银行的传统攻击。

• 与其他行业一样,勒索软件运营商将对金融垂直行业构成最大威胁。

• 越来越多的出售金融机构所属公司网络的使用权,然而,窃取VIP客户的金融交易信息并在网上发布可能会成为比数据加密更严重的威胁。此类攻击可能造成重大财务损失,并使银行更容易向威胁行为者支付赎金。

• 另一个趋势可能是攻击者威胁向金融监管机构发送(虚假)警报,通知银行存在安全问题。威胁发出此类通知,可能会促使银行向勒索者支付更高的金额。

网络钓鱼与社会工程

• 网络钓鱼攻击已经变得自动化,而且持续时间更长,这要归功于通过网络钓鱼即服务模式传播的骗局的出现。

• 网络安全行业面临的最大挑战之一将是黑客使用一次性网络钓鱼链接。

• 此外,在俄罗斯越来越流行的网络钓鱼即服务将在其他地区更积极地使用。

三、主要趋势

出于勒索目的访问公司网络

2019年底和2020年全年,勒索软件攻击出现了前所未有的激增。事实证明,无论是私营企业还是政府机构,都无法幸免于勒索病毒的肆虐。在报告所述期间,有超过45个国家报告了500多起勒索软件成功攻击事件。由于攻击者的动机仅仅是经济利益,任何公司,无论大小和行业,都可能成为勒索软件攻击的受害者。与此同时,如果没有必要的技术工具集和数据恢复能力,勒索软件攻击不仅会导致生产停工,还会导致运营陷入停顿。根据Group-IB的保守估计,勒索软件操作造成的经济损失总计超过10亿美元(1,005,186,000美元),但实际损失可能要高得多。受害者往往对事件保持沉默,并悄悄地支付赎金,而攻击者并不总是公布来自受攻击网络的数据。

在美国发现的大型勒索软件攻击事件约占所有已知事件的60%。紧随美国之后的是欧洲国家(主要是英国、法国和德国),这些国家总共约占所有勒索软件攻击的20%。北美和南美国家(不包括美国)为10%,亚洲国家为7%。最常受到攻击的五大行业包括制造业(94名受害者)、零售业(51名受害者)、国家机构(39名受害者)、医疗保健(38名受害者)和建筑业(30名受害者)。

Maze和REvil是最活跃的勒索软件,占成功攻击的50%以上。Ryuk、NetWalker、DoppelPaymer排在第二梯队。最常受到攻击的行业是制造业。一半的攻击目标是制造业、贸易、政府、医疗保健、建筑业和学术部门组织。尽管攻击者目前专注于上述行业,但联盟机构通常会寻找更容易攻击的目标,这就解释了攻击在不同垂直领域的广泛分布。

勒索软件的流行是由私人和公共联盟计划的积极发展引发的,这些计划将勒索软件运营商和参与破坏公司网络的网络犯罪分子聚集在一起。勒索软件攻击增加的另一个原因是,市场上许多公司仍然广泛使用的传统安全解决方案,经常无法在早期阶段检测和阻止勒索软件活动。

勒索软件运营商购买访问权,然后加密网络上的设备。在收到受害者的赎金后,他们根据联盟计划向其合作伙伴支付固定的费率。获取对企业网络的访问的主要方式包括对远程访问接口(RDP、SSH、VPN)、恶意软件(例如下载程序)和新型僵尸网络(暴力僵尸网络)的暴力攻击。后者用于来自大量受感染设备(包括服务器)的分布式暴力攻击。

2019年末,勒索软件运营商采用了一项新技术。他们开始从受害者组织下载所有信息,然后勒索他们,以增加支付赎金的机会。Maze首创了发布敏感数据作为敲诈钱财的筹码的策略。如果受害者拒绝支付赎金,他们不仅面临丢失所有数据的风险,还会面临数据泄露的风险。2020年6月,Revil开始拍卖被盗数据。

同时该Group-IB报告提出了防范勒索软件攻击的建议,既包括为企业网络安全团队提供的技术措施,也包括提升网络安全团队的专业知识。

企业网络访问权限的买卖市场越来越大

出售被攻陷公司网络的访问权限的业务逐年增长,并在2020年达到顶峰。然而,由于地下论坛上公布的信息往往不包括价格,而一些交易是私下达成的,因此很难评估出售通道的市场规模。尽管如此,Group-IB监控地下论坛的技术,包括可以看到被删除和隐藏的帖子,帮助专家评估了在2019年下半年至2020年上半年内出售的访问权的总市场规模:约为620万美元。与上一个审查周期(2018年下半年至2019年上半年)相比,这一数字增长了四倍,当时总额为160万美元。

令人惊讶的是,国家支持的攻击者加入了这一网络犯罪市场,寻求额外收入。因此,在2020年夏天,在一个地下论坛上,一个卖家提供了几个网络的访问权限,包括一些属于美国政府部门、国防承包商(空中客车、波音等)、IT巨头和媒体公司的网络。进入这些上市公司的成本接近500万美元。

仅在2020年上半年,就有277个企业网络访问权限在地下论坛上出售。卖家的数量也在增长。在此期间,有63家卖家活跃,其中52家于2020年开始销售Access。相比之下,2018年全年只有37家网络权限卖家活跃,而2019年有50家卖家提供130个企业网络的访问权限。总体而言,公司网络访问权限的销售额与上一季度相比增长了162%。在分析了访问企业网络的提议后,Group-IB专家发现了与勒索软件攻击的相关性:大多数威胁参与者提供对美国公司的访问权限(27%),而制造业是2019年受到攻击最频繁的行业(10.5%)。2020年,访问国家机构网络(10.5%)、教育机构(10.5%)和IT公司(9%)的需求很高。值得注意的是,公司网络访问权限的卖家越来越少提及公司名称、地理位置和行业,这使得在不联系攻击者的情况下几乎不可能确认受害者的身份。

出售对公司网络的访问权通常只是攻击的一个阶段:获得的特权可能被用来发布勒索软件和窃取数据,目的是以后在地下论坛上出售或进行间谍活动。

民族国家行为者出售网络访问权限并使用勒索软件

为了增加利润,一些国家支持的团体开始出售进入企业网络的权限,甚至像普通的网络罪犯那样使用勒索软件。一个典型的例子是一个昵称为Nanash的用户在2020年6月发布的一则广告。卖家提供了对许多网络的访问,包括一些属于美国政府部门、国防承包商(空中客车、波音等)、IT巨头和媒体公司的网络。在广告中,卖家指定每家公司的访问价格为11 BTC(12.5万美元)。Access是以部分预付款的方式直接出售的:在客户转账5BTC后,卖家提供额外的证据,进行第二次交易。

国家支持的团体的另一种赚钱方式是使用勒索软件:2020年5月台湾能源和科技公司遭到勒索软件攻击。影响了包括向台湾各地运送石油产品的台湾中油公司(CPC Corp.)。虽然这次攻击没有影响中油公司的生产流程,但阻止了客户使用中油公司的支付卡购买汽油。在针对台湾目标的攻击浪潮中,威胁者使用了一种名为ColdLock的新型勒索软件。恶意软件分析显示,该程序与两个已知的勒索软件家族存在相似之处:frozen和EDA2。EDA2是一款最初用于教学目的的开源勒索软件。

另外,黑客组织Lazarus也已经恢复开发勒索软件。这一事实是在针对欧洲公司的攻击中被曝光的,攻击涉及一种名为VHDRansomware的勒索软件。黑客通过一个脆弱的VPN网关获得访问权限,获得管理员权限,并安装了Dacls后门。他们穿过受害者的网络,用AES-256的ECB模式和RSA-2048的组合对文件进行加密。

大公司遭到大规模黑客攻击的威胁越来越大

过去,大规模的攻击并没有对大公司造成严重的破坏。这是因为暴力攻击或利用软件中的漏洞,只是导致他们的基础设施被用来分发或管理恶意代码、挖掘加密货币、进行DDoS攻击或代理通信。然而,由于出售公司网络访问权限的市场、勒索软件攻击的数量以及APT组织活动都在增加,因此企业外部发生错误的成本也大幅上升。15个勒索软件联盟计划中的10个专注于暴力攻击RDP。三个程序积极利用VPN服务中的漏洞。APT组织也在执行类似的操作。

另一个关键变化是新型僵尸网络的出现。它们的主要目的是帮助执行来自大量受感染设备(包括服务器)的分布式暴力攻击。

不断增长的DDoS攻击能力

物联网(IoT)设备数量的增加导致越来越多的主机被添加到Mirai等僵尸网络中。此外,新的僵尸网络不断涌现,在DDoS攻击技术方面,SYN洪水仍然是最常见的攻击类型。

根据亚马逊2020年第一季度的威胁报告,其AWS Shield服务缓解了有史以来最大的DDoS攻击,阻止了今年2月中旬发生的2.3Tbps攻击。该公司没有透露攻击的目标和来源。这次攻击是利用被劫持的CLDAP网络服务器进行的,持续了三天。CLDAP(无连接轻型目录访问协议)是旧LDAP协议的替代方案,该协议自2016年以来一直被滥用用于DDoS攻击。众所周知,CLDAP服务器可以将DDoS流量放大56到70倍,这使得它成为一种非常受欢迎的协议,也是DDoS提供的租用服务的常见选项。

2020年2月初,伊朗的基础设施遭到大规模DDoS攻击,导致25%的伊朗用户无法上网。经“网络封锁网络观测站”证实,从2月8日上午当地时间11:45开始,伊朗电信网络出现了大规模中断。大规模袭击造成的后果是该国主要的网络运营商无法运营最长达7个小时。

2020年,拒绝服务攻击变得更加有效,攻击者也创造了DDoS攻击的新纪录。

参考资料

[1]Group IB_Hi-Tech Crime Trends 2020-2021,NOVEMBER2020

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。