SOPHOS 2021威胁报告在不确定的世界中导航网络安全通过SophosLabs,Sophos托管威胁响应, Sophos快速响应, Sophos AI，云安全 SOPHOS 2021威胁报告2020年11月1内容机制14攻击力20 SOPHOS 2021威胁报告2020年11月2共享的力量Sophos首席技术官Joe Levy“如果你想快点走，就一个人走，但是如果你想走远，就一起走。”这个非洲谚语对于网络安全行业来说是再合适不过了。通过具有强烈的团队合作精神的集体合作，我们所能取得的成就远远超过了与作为单个供应商的网络犯罪作斗争。但是，只有通过改进我们的方法并更全面地共享威胁情报，并扩大为共享和协作做出贡献（并从中受益）的参与者群体，网络安全供应商才会继续为攻击者增加成本，并使持久的影响力更大更改。本着这种合作方式的精神，Sophos于2017年加入了网络威胁联盟，该组织致力于打破障碍，多年来，障碍阻碍了信息安全行业的竞争对手相互合作的任何机会。 CTA已经成功地超越了最初的职责，成为共享威胁情报的存储库和解决差异的地方，并且已成为网络安全行业的联合国。通过我们与CTA的合作，由于联盟提供的预警和供应商之间的数据交换，Sophos可以更好地保护我们的客户。 Sophos还分担了通过贡献我们自己的威胁情报来保护其他供应商客户的负担。2020年3月，随着遏制COVID-19传播的封锁在全球范围内迅速实施，Sophos首席科学家Joshua Saxe在Twitter上发出了电话。震惊的是，犯罪集团开始将对COVID-19的引用纳入一系列的犯罪活动中，其中超过4,000名信息安全分析师齐聚一堂，共同构成了反抗，并成立了COVID-19网络威胁联盟（CCTC）在同一天创建的Slack频道中。该渠道正在为社区建立持久的“共同点”，以供社区在危机时期使用，并在CTA的主持下接近达到非营利状态。最终，这些有关共享威胁情报的故事不仅向我们介绍了组织本身，而且还告诉我们更多信息。作为另一种寓言-盲人和大象的寓言-教导我们，没有人会通过他们的主观经验来提供全面或绝对的真理。复杂事物的真正形状来自我们经验的结合。这些合作举措保护了数百万人免受网络犯罪的影响，但这并不是他们成功的原因。他们之所以兴旺发达，是因为其成员和创始人的核心动机是，首先要保护可能受到伤害的任何人免受伤害。没有利润动机，只是想捍卫那些需要帮助的人，而狼似乎就在门口。这证明了该模型是正确的，并弥合了我们一个人无法产生的覆盖范围上的关键缺口，但是我们可以用它做更多的事情。作为一个行业，我们将来可能希望考虑共享机器学习模型或训练数据集，就像我们今天共享阻止列表或Yara规则一样。我们也可以加强并为STIX和ATT＆CK框架等新兴标准做出贡献。我们可以参加特定行业的ISAC和ISAO。未来将更加紧密相连，我们所有人都会为此更好（并得到更好的保护）。 SOPHOS 2021威胁报告2020年11月3执行摘要Sophos 2021威胁报告涵盖了Sophos在过去12个月中从SophosLabs对恶意软件和垃圾邮件分析以及Sophos快速响应，云安全和数据科学团队的工作中获得的见解。我们保护客户的日常工作的这些方面提供了对威胁情况的深入了解，可以指导事件响应者和IT安全专业人员确定来年他们应该在哪些方面进行努力以保护网络和终结点。我们将报告分为四个主要部分：讨论勒索软件如何转变自身以及威胁的去向；分析大型组织面临的最常见攻击，以及为什么煤矿中的隐喻金丝雀仍然构成重大威胁；全球大流行的出现如何影响2020年的信息安全；以及针对攻击平台的攻击范围的调查，这些平台通常不被视为企业攻击面的一部分。总结报告的主要内容：勒索软件Ì 勒索软件威胁参与者继续以更快的速度创新其技术和犯罪手段Ì现在，更多勒索软件团体参与了数据盗窃活动，因此他们可能会因敏感敏感数据的发布而受到勒索威胁Ì 随着赎金组织加大对大型组织的积极攻击，他们要求的赎金急剧上升Ì 此外，从事勒索软件攻击的独特威胁参与者团体似乎与地下犯罪分子的同行更加紧密地合作，其行为更像是网络犯罪卡特尔，而不是独立团体。Ì 以前需要数周或数天的勒索软件攻击现在可能只需要几个小时即可完成“日常”威胁Ì 同时运行Windows和Linux的服务器平台已成为攻击的主要目标，并被利用来从内部攻击组织Ì 诸如RDP和VPN集中器之类的常见服务仍然是攻击网络外围的重点，威胁参与者也使用RDP在受破坏的网络内横向移动Ì低端的“商品”恶意软件也可能导致重大漏洞，因为更多的恶意软件家族逐渐成为其他恶意软件的“内容分发网络”Ì我们发现，对基本安全卫生的一个或多个方面缺乏关注是导致我们调查的许多最具破坏性攻击的根本原因 SOPHOS 2021威胁报告2020年11月4新冠肺炎Ì在家工作带来了新的挑战，将组织的安全范围扩展到受各种安全级别保护的数千个家庭网络Ì 云计算已成功满足了许多企业对安全计算环境的需求，但仍然面临着传统企业网络所不具备的独特挑战Ì 威胁行为者试图洗刷自己的声誉，做出的承诺不是针对参与拯救生命的卫生行动的组织，而是后来违背了这些承诺Ì 犯罪企业已涉足服务经济，从而使新犯罪分子轻松自如Ì 2020年，来自世界各地的网络安全专业人员组成了一支快速反应部队，以应对威胁，这些威胁利用了与新型冠状病毒相关的任何事物的社会工程潜力非传统平台Ì现在，攻击者通常会利用渗透测试人员在实时，主动攻击中率先使用的大量“红队”工具和实用程序Ì 尽管移动平台运营商已努力监控应用程序是否包含恶意代码，但攻击者仍在继续努力，开发绕过这些代码扫描的技术Ì 在较早的时代被归类为“潜在有害”的软件，因为它投放了大量广告（但不是恶意软件）一直在采取与公开的恶意软件越来越难以区分的策略Ì 数据科学家将从生物流行病学界借来的方法应用于垃圾邮件攻击和恶意软件有效载荷，以此作为弥补检测差距的方法 SOPHOS 2021威胁报告2020年11月5RANSOMWARE的未来整个2020年发起的勒索软件攻击扩大了已经警惕的人群的痛苦。随着大流行破坏了人们的生活和生计，许多勒索软件家庭也没有停止针对健康和教育领域的努力，即使医院成为COVID-19的战场，而学校也在努力发明一种全新的方式来教孩子直到3月超越。您在大流行期间的义卖活动中筹集的资金不足以支付赎金，但是有些学校通过保留安全的备份，设法从开学第一天就发觉的攻击中恢复了过来。勒索软件运营商开创了逃避端点安全产品，迅速传播的新方法，甚至提出了解决方案（从他们的角度），这些问题是针对具有良好备份，安全地存储在勒索软件不会损害他们的目标个人或公司的。但是看似各种各样的勒索软件可能并不像看起来那样广泛。随着时间的流逝，我们调查了越来越多的攻击，Sophos分析师发现一些勒索软件代码似乎已经在各个家庭之间共享，并且某些勒索软件组似乎在协作中比在竞争中更有效。考虑到所有这些，很难对勒索软件犯罪分子下一步将做什么做出可靠的预测。勒索软件的创造者和运营商已经花费了大量时间进行针对端点安全产品的防御。我们反对他们的对策。他们在制定新策略时显示出创造力和多功能性；我们在研究他们的行为并找到阻止他们的明智方法时表现出坚韧。数据盗窃创造了二级勒索市场直到今年，所有在勒索软件方面完全没有经验的安全公司之间的传统见解都是一致的：锁定明显的入口方法，例如面向Internet的RDP端口；保持良好的离线备份；并迅速处理小型无害恶意软件（例如Dridex或Emotet）的感染，然后再提供杀伤性负载。例如，针对美国整个学区的几次备受瞩目的勒索攻击失败了，至少部分原因是IT经理保持了关键数据的完整备份。为了抵制受害者的准备工作，一些勒索软件家庭倍受青睐，目的是增加受害者支付赎金的压力，即使每次备份包含重要数据都是安全的。他们不仅会劫持这些机器作为人质，而且还会窃取这些机器上的数据，并威胁说如果目标无法支付赏金，就会将其释放给全世界。在过去的半年中，Sophos分析师观察到勒索软件的攻击者已经选择了一个通用的工具集（并且正在缓慢增长），用于从受害者的网络中窃取数据。这个工具集端点安全产品不会检测到任何已知的合法实用程序。从事这种行为的勒索软件系列的列表在不断增加，现在包括Doppelpaymer，REvil，Clop，DarkSide，Netwalker，Ragnar Locker和Conti等。攻击者在“泄漏”网站上进行操作，在该网站上公开他们窃取的数据； REvil允许任何人直接从其网站上购买数据。 SOPHOS 2021威胁报告2020年11月6犯罪分子使用该工具集复制敏感的内部信息，将其压缩到存档中，然后将其传输到网络之外，并传递到受害者无法到达的地方。到目前为止，我们已经使用了以下一些工具：Ì Total Commander（带有内置FTP客户端的文件管理器）Ì 7zip（存档创建软件）Ì WinRAR（存档创建软件）Ì psftp（PuTTY的SFTP客户端）Ì Windows cURL当涉及数据盗窃时，无论其中包含的文件类型如何，攻击者的挑剔程度都大大降低，他们可以窃取整个文件夹。 （勒索软件通常将攻击的加密部分优先于密钥文件类型，并排除许多其他类型。）大小无关紧要。他们似乎并不关心渗透目标的数据量。目录结构对每个企业来说都是唯一的，某些文件类型的压缩比其他文件更好。在部署勒索软件之前，我们已经看到从受害者那里窃取了至少5 GB和多达400 GB的压缩数据。图1。 2020年10月，Doppelpaymer勒索软件泄漏页面显示，攻击者袭击了佐治亚州霍尔县的网络。泄露的内容包括对名为“选举”的文件的引用，其中包括2020年州初选的选票样张，2018年选举的民意调查人员名单及其电话号码，以及其他敏感文件。美联社报道说，勒索软件对该县用来验证选票的签名验证数据库进行了加密。资料来源：SophosLabs。 SOPHOS 2021威胁报告2020年11月7犯罪分子通常会将窃取的数据发送到合法的云存储服务，这使该活动很难被发现，因为这些是常见的普通网络流量目标。对于攻击者而言，以下三种云存储服务是存储泄露数据的最常用方法：Ì Google云端硬碟Ì Amazon S3（简单存储服务）Ì Mega.nzÌ 专用FTP服务器在最后的破坏行动中，勒索软件攻击者越来越多地寻找包含关键数据备份的本地服务器。找到后，它们将在网络范围的加密攻击之前删除（或独立加密）这些备份。离线存储关键数据的备份比以往任何时候都更为重要。如果他们能够找到它，勒索软件犯罪分子将销毁它。赎金随着攻击的增加而增加很难相信，仅在两年前，Sophos的分析师对勒索软件运营商SamSam带来的600万美元收入感到惊讶。在2020年，Sophos做出了回应，勒索软件运营商以32亿美元运营SamSam团伙所获收入的两倍以上的价格开始了谈判。勒索软件现在具有权重类别：攻击大型企业网络的权重，针对公民社会（公共安全和地方政府）和中小型企业的权重，针对个人计算机和家庭用户的权重。虽然获得了最重的重量级的称呼，这听起来令人印象深刻，但将较高的勒索需求与源自勒索软件频谱较低端的勒索需求进行比较并不公平。Sophos拥有一支专门的团队，负责调查勒索软件攻击并经常与目标合作。该团队可以在事后对攻击事件进行取证，甚至可以在攻击进行过程中中断攻击。 Sophos快速响应小组会介入可能阻止或限制伤害的机会，但有时攻击发生得如此之快，无能为力，然后目标必须决定是否支付赎金，此时至此，Sophos不再参与其中。 SOPHOS 2021威胁报告2020年11月8这就是像Coveware这样的公司出现的地方。该公司代表勒索软件目标，与攻击者进行高风险的谈判者。 Coveware的首席技术官Alex Holdtman证实了我们的怀疑，勒索软件的重量级人物是对天价勒索软件需求的主要驱动因素。平均赎金支出，每季度2019年第四季度2020年第一季度2020年第二季度2020年第三季度图2。在过去的一个季度中，平均赎金需求增长了21％，在过去的一年中几乎增