2024年零售威胁格局

目录执行摘要引言美国勒索软件与零售商供应链威胁恶意软件感染途径信任平台的利用信息窃取恶意软件人工智能工具威胁“影子人工智能”的出现人工智能工具在社会工程攻击中值得注意的钓鱼威胁国家行为者威胁流氓国家行为者渗透组织全球事件影响网络活动联系我们关于赛富时恶意二维码重定向到钓鱼界面17人工智能工具赋权钓鱼活动18HR假冒 – 滥用已知诉讼18 3458999141416171919202121零售威胁格局2 执行摘要网络活动主义因全球紧张局势而兴起，的目标是具有争议性联系政府机构和企业。网络钓鱼仍然是一种普遍的伎俩，其中活动使用恶意二维码和人力资源冒充。国家行为者，特别是那些受到制裁的，利用远程工作来窃取信息和资助政权。新的群组如 Ransomhub 和 Hunters 已经出现，供应链威胁正在增加。社会工程学策略正在兴起，攻击者正在冒充 IT 人员。美国是网络攻击的主要目标。美国零售行业占全球市场份额近三分之一，勒索软件事件显著增加，过去三个季度占全球零售勒索软件案例的45%，较2023年增长了9%。威胁行为者不断寻求绕过安全措施的方法，利用 GitHub 等可信平台分发恶意软件。被盗凭证仍然是常见的漏洞，通常在暗网论坛上出售，并作为攻击的第一阶段使用。人工智能集成带来了益处和风险，例如“影子人工智能”，员工与人工智能模型共享敏感信息。人工智能也帮助生成恶意代码、模仿和钓鱼邮件。勒索软件的激增、新的威胁行为者和复杂的战术突显了进行全面风险评估和强化安全协议的必要性。 零售威胁格局 3 引言作为世界上最大和最发达的经济体之一，美国仍然是网络对手和国家行为者的首要目标。零售业在其主要部门面临着不断变化的威胁。电子商务的兴起以及数字化收集和存储的客户数据量的增加，使零售商特别容易受到网络攻击。本报告考察零售行业的当前威胁态势，识别最紧迫的威胁，例如数据泄露、勒索软件和供应链攻击。我们也将旨在提供缓解这些风险的战略。 零售威胁格局 4 2564032勒索软件与美国零售商零售勒索软件案件中的前5个受影响国家美国英国加拿大1https://capitaloneshopping.com/research/retail-statistics/美国零售业在2023年第一季度至第三季度报告了206起勒索软件事件，仅在2024年，美国就报告了256起勒索软件事件，同期总体增长了24%。根据2024年第一季度至第三季度收集的数据，美国仍然是勒索软件事件最常瞄准的地区。已报告超过1700起事件，影响了从中小企业到世界500强的企业。值得注意的是，在上述季度中，全球48%的勒索软件事件发生在美国。勒索软件攻击可能导致因运营中断、数据盗窃和支付赎金而产生的重大损失。零售行业存储包含客户个人和财务信息的机密数据，这使得零售商成为勒索软件集团的一个有利可图的目标。在美国，零售商约占全球零售市场份额的28%，但它们占所有零售勒索软件事件总数的近45%。在过去三个季度中。这种增加的可能性归因于许多美国零售商在该地区外的扩张以及他们在市场中的整体主导地位。此外，由于好莱坞和其他美国文化输出，美国文化和其品牌广为人知，增加了外国黑客组织认为其值得关注目标的几率。此外，针对美国实体进行黑客攻击对于希望提高其声誉的黑客勒索集团来说，在经济和政治方面都具有更高的声望。 2626零售威胁格局5巴西意大利1 0100200300400500600202320242023年第一季度至2024年第三季度受影响美国行业比较零售威胁图景 6图 1：2023-2024 年 Q1-Q3 美国勒索软件攻击比较概述其他商业服务零售旅游娱乐电信关键基础设施对跨多个领域勒索软件事件的分析表明，零售业仍然是主要目标。在2023年第一季度至第三季度，零售领域占美国总1634起勒索软件事件的10%，成为第三大目标行业。这一趋势延续至2024年，零售领域占1782起勒索软件案件的14%，位居第二。总体而言，数据显示2024年这些季度勒索软件事件比2023年增加了9%。客户数据的盗窃为这些团伙提供了更大的影响力，因为它可能会导致广泛的诉讼和客户流失，在某些情况下，其成本可能高于勒索支付（例如违反GDPR）。此外，该行业对技术系统进行日常运营的依赖及其庞大的劳动力使其容易受到来自未加密网络和设备的勒索软件感染。金融挖掘教育医疗保健科技汽车政府施工制造交通 零售威胁格局 7这一增长归因于\"Ransomhub\"、\"Bianlian\"、\"Hunters\"和\"Blacksuit\"等新型勒索软件集团的崛起，它们正试图提升其声誉并在其他勒索软件集团中脱颖而出。值得注意的是，2023年以来，主要勒索软件集团的活跃度已显著下降。这归因于执法部门在2023年至2024年期间针对Lockbit和AlphV/Black Cat等主要分子的打击活动。此外，Cl0p可能出现的暂停，该组织在2023年共造成了美国40%的勒索软件攻击。关于当前趋势周围的数据以及勒索软件威胁详情的更深入报告，请参阅我们的“勒索软件Q3报告”。 供应链威胁关键政策建议与考量：因此，在数据泄露或重大停机后保持警惕，防范社会工程攻击很重要。此外，供应链漏洞为威胁行为者提供了收集公司情报的机会，包括特定合同和协议的知识以及潜在的电子邮件往来历史，这些信息可以在他们的社会工程活动中被利用，因为它们会使他们看起来更可信。攻击者将持续利用任何能在社会工程战术中给他们带来优势的载体来突破组织。将自动警告暂时附加到从受影响供应商收到的任何电子邮件上，以提醒员工数据泄露及其影响。在 2023 年和 2024 年，围绕供应链威胁的话题几乎与勒索软件的讨论 synonymous，因为在过去两年中许多备受关注的泄露事件都是由于供应链漏洞最终导致了勒索软件。这一趋势也体现在 OpenText 的 2024 年网络安全调查中，发现有62%的受访者经历了来自供应链合作伙伴的勒索软件攻击。在发生漏洞后暂时阻止与第三方供应商的通信（取决于其严重性和访问权限）。2https://www.opentext.com/about/press-releases/opentext-cybersecurity-2024-ransomware-survey- supply-chain-attacks-surge-ransom-payments-persist必须对供应链供应商进行风险评估，并在第三方泄露事件后保持警惕，特别是与组织有业务往来的那些。请考虑以下几点：除了通过不安全的供应链矢量以特权的途径带来的通常威胁外，利用第三方供应商与客户之间关系的社交工程攻击也值得关注。一个这样的例子是臭名昭著的Crowdstrike-Microsoft中断事件，该事件导致许多威胁行为者冒充IT人员和Crowdstrike支持人员，希望安装木马、窃取凭证或获得系统后门访问权限。 零售威胁格局 82 恶意软件感染媒介信息窃取恶意软件使用可信平台图3：GitHub评论分发托管在微软官方GitHub仓库中的恶意软件窃取信息者或窃取者恶意软件是一种旨在窃取财务信息、凭证和敏感个人数据等敏感信息的恶意软件。此外，窃取信息者不仅窃取凭证，还窃取可能使它们能够绕过多因素认证的 cookie。这些观察结果表明，威胁行为者已经意识到，利用端点系统和防火墙信任的平台可以提高他们逃避初始检测的机会，从而为感染受害者提供更多机会。信息窃取者可以通过钓鱼邮件、恶意软件下载和其他途径传播，这使得零售商必须实施强大的安全措施来保护他们的客户和员工的敏感信息。由于恶意软件即服务这种邪恶策略的成功实施，窃取者恶意软件将继续成为所有行业中的突出风险。2024年，Cyberint观察到恶意软件通过受信任的平台进行分发。例如，恶意软件负载通过GitHub评论进行分发，其中下载链接或负载避开了端点系统的检测。此外，加密邮件和Dropbox等平台也被用来分发恶意软件，在某些情况下成功绕过了防火墙。2024年，赛博智能观察到威胁行为者采用的多种方法来攻击潜在受害者。这些策略通过暗网通信、教学指南、教程以及客户和网络安全从业者的分享案例被确定。 零售威胁格局 9 56%32%9%受影响最大的10个地区 - 信息窃取器图 4：信息窃取程序最受影响的 10 个地区图 5：信息窃取恶意软件分布信息窃取恶意软件中受影响最严重的地区窃取信息恶意软件家族分布巴西286K土耳其138K埃及127K印度113K美國110K菲律宾109K美国 2024 年Stealer 恶意软件家族分布情况红线极光浣熊目标区域最集中的是巴西、土耳其和埃及。与2023年相比，美国在受信息窃取者影响最严重的国家中从第五名下降到第七名。信息窃取者感染最常见的途径之一是下载盗版软件，这在目标区域更为普遍。目前，信息窃取软件行业分布在各种恶意软件家族中。虽然红线仍然是主要参与者，占美国盗窃软件案例的55%（全球42%），但它不再是唯一的支配力量。奥罗拉与32%的案例有关联，随后是浣熊和卢玛等其他重要参与者。其余盗窃软件家族在美国合计持有不到1%的份额。 3%<1%零售威胁格局 10巴基斯坦118K墨西哥113K阿根廷104K哥伦比亚92K卢马其他 图6：前5名和特别提及 - 信息窃取工具窃取的邮件总数赛博智能已收集被盗信息者窃取的受影响最严重的电子邮件主机名。信息窃取程序 - 最受影响的电子邮件主机名最受影响电子邮件主机名gmail.com1.3Byahoo.com58000000务必注意，每个收集到的恶意软件日志中都有相同的电子邮件被传播很多次，在一些情况下，单条恶意软件日志上的电子邮件被计数数百次，这会使总数量产生偏差。这表明每个主机名都链接到数百个URL，可能影响数百个不同的账户。谷歌邮箱已存在于超过13亿个实例中。值得特别提及的是“其他类别”，它包括所有其他电子邮件主机名，包括但不限于企业主机名，总计314万个实例。根据赛富时（Cyberint）的经验，大多数企业凭证都暴露在私人机器上，这显示了在工作用途的私人设备上管理浏览器同步的重要性。 其他人（包括公司电子邮件)314Micloud.com10M 零售威胁格局 11hotmail.com &outlook.com234Mlive.com7M 图7：风险最高的前10个受影响平台最被攻破的平台accounts.google.com155Minstagram.com61Mlogin.microsoftonline.com信息窃取恶意软件是最常见的账户入侵途径之一，它们被分发在初始访问中介、国家行为者、勒索软件团伙以及其他许多组织手中。在大多数情况下，被信息窃取器感染的机器是私人机器。被入侵的私人设备可能被用于鱼叉式网络钓鱼目的，或直接影响到员工的私生活，最终使组织面临风险。一个这样的例子是威胁行为者发动勒索活动，在接管他们的Gmail、Facebook账户或其他私人账户后，要求公司访问其账户。被盗窃频率最高的前3项服务相当稳定，自2021年以来，谷歌、脸书和罗布乐思一直是最受影响的平台。值得注意的是，21万个login.microsoftonline.com存在安全风险，其中包含许多微软SSO凭证；与其他平台相比，它排在第9位。 被攻破的十大平台零售威胁格局 12facebook.com1.4亿roblox.com1.06亿登录.live.com90Mnetflix.com45Mdiscord.com44Mamazon.com21Mpaypal.com19M21M 关键政策建议与考量：员工意识：员工应被提醒要实践良好的凭证卫生，例如不重复使用凭证，并要充分考虑任何存储凭证的安全性，例如在应用程序中。执行最小权限原则—条件访问：在员工或具有内部访问权限的供应商被攻破的情况下，实施条件访问最佳实践有助于降低风险。通过仅允许来自特定位置的合规设备访问公司资源，威胁行为者能够入侵公司系统的潜在途径将得到显著限制。行为分析：监测与基线行为偏差的情况，例如异常登录时间和未经授权的资源访问，可能会