威胁情报（TI）焦点趋势报告

威胁情报 (TI)聚光灯趋势报告 2025年7月 方法论 ▪Kroll TI每月焦点是基于Kroll网络事件响应工作中的情报，在这些工作中我们受雇以响应、管理或减轻网络安全事件。Kroll的事件响应工作依据从数千个Kroll网络数据与复原团队每年处理的业务量。 ▪数据由Kroll网络威胁情报团队在初始范围界定阶段以及Kroll项目整个生命周期中收集和处理。 ▪Kroll 目前通过月度焦点报告月度和季度数据和季度威胁态势报告。 关键要点 2025年7月 最受影响的行业 •利用面向公众的应用程序(20%)•有效账户(20%)•外部远程服务(17%) •网络钓鱼：链接(17%) •专业、科学和技术服务(23%)•金融与保险(11%) •教育服务(9%) •医疗卫生和社会救济(9%) •制造(9%) 主要威胁事件类型 最顶级的勒索软件变种 •邮件妥协(40%)•勒索软件(17%)•未授权访问(15%) •内部威胁(13%) •网络入侵(10%) •麒麟(40%) •AKIRA(20%) •达摩(20%) •NOVA(20%) 行业分析 2025年7月 2025年7月受影响最严重的行业是专业、科学和技术服务 ▪邮件妥协曾是影响专业、科学和技术服务业的主要报告威胁事件类型。 ▪七月，针对的威胁专业，科学和技术服务行业最常涉及有效账户作为初始访问方法。 ▪邮件妥协是影响金融和保险行业的主要报告威胁事件类型。 最受影响的行业 影响分析 2025年7月 用于影响的数据加密是最常见的影响由克罗尔于2025年7月观测 ▪在Kroll勒索软件事件中，主要影响是金融诈骗。▪对于内部威胁参与，最观察到的影响是知识产权盗窃。 ▪专业、科学和技术服务报道了所有威胁类型中报告的最确认影响，包括： ▪▪▪数据加密用于影响数据窃取造成影响金融诈骗▪数据操作 勒索软件分析 2025年7月 麒麟是最常见的勒索软件变体2025年7月KROLL ▪北美洲是遭受勒索软件行动者控制的受害者的顶级地区羞辱网站和博客。 勒索软件：受影响最严重的行业 勒索软件：行动者控制的网站列表2025年7月 按威胁类型分类的事件 威胁类型趋势 初始访问方法2025年7月 热门漏洞 2025年7月 威胁事件类型 邮件欺骗:一个电子邮件账户被第三方恶意访问的事件（例如，账户）收购），被识别出钓鱼邮件/活动，或组织的电子邮件被用于或被用于欺诈计划，例如商业电子邮件妥协。 勒索软件:一场威胁行为者在网络内进行恶意活动，随后索要财务赎金的事件。通常包括数据窃取、数据加密和敲诈勒索的组合。 恶意软件:一个组织受到恶意软件或病毒的侵害，但未提出任何财务要求。例如包括勒索软件活动前（例如，QakBot，Emotet）或信息窃取者（例如，Vidar，Raccoon）。 未授权访问：一个未授权的行为者已无意中或恶意地访问了一个网络。 网络入侵:一位演员未经授权访问了 Web 应用或网站代码以进行恶意活动。例如，SQL注入以窃取信用卡数据或篡改网站。 初始访问方法 旁路入侵：通过合法网站妥协。外部远程服务：通过VPN、RDP和其他设备等远程访问服务进行妥协。硬件添加：将计算设备添加以获取访问权限。利用面向公众的应用程序：利用漏洞或配置错误以获取访问权限。网络钓鱼：附件：使用附加在电子邮件中的恶意软件。网络钓鱼：链接：在电子邮件中使用链接导致凭证丢失和/或下载恶意软件。网络钓鱼：非技术性：利用社会工程学技术欺骗用户，例如电子邮件伪造、欺骗。网络钓鱼：服务：使用第三方服务（如社交媒体）发送定向消息。网络钓鱼：声音：使用电话或团队电话诱骗目标透露敏感信息。通过可移动介质进行复制：通过USB驱动器或可移动媒体等设备传播恶意软件。供应链泄露：攻击组织供应链中的薄弱环节（例如，第三方漏洞）。有效账户：使用合法凭证非法访问系统。可信赖关系：通过可以接触到预期受害者的组织进行妥协 事件影响 账户访问移除:攻击者七月通过删除、锁定或更改，拒绝合法用户访问帐户。凭证。 数据销毁:攻击者在七月销毁系统或网络上的数据以破坏可用性，通常使恢复变得困难。 数据加密用于影响:攻击者七月加密数据以拒绝访问，要求勒索或使数据永久无法访问。 数据窃取造成影响:攻击者在七月窃取并窃运敏感数据，以造成损害、扰乱运营、损害声誉或为财务或战略利益所用。 ::数据操作：恶意软件在七月更改数据以影响业务流程、决策或隐藏恶意活动。金融盗窃：敌对者七月通过勒索、欺诈或直接盗窃窃取金融资产。涂改篡改网站、应用程序或数字内容以传播虚假信息、恐吓或宣传。磁盘擦除：破坏或损坏磁盘数据以使系统无法使用，通常用于破坏或勒索软件。终端拒绝服务利用或使终端设备失效以防止正常用户访问或操作。 事件影响（续） 固件损坏：篡改或损坏固件以禁用硬件、破坏功能或使恶意软件持续存在。 阻止系统恢复：攻击者七月删除备份并禁用恢复选项以防止系统恢复。 知识产权盗窃:攻击者七月窃取专有或敏感知识产权，通过间谍活动、内部威胁或网络入侵获得竞争优势、经济优势或战略优势。 网络拒绝服务：通过洪水攻击或利用网络资源来降低或完全停止在线服务。 资源劫持:盗窃计算资源（例如CPU、GPU、带宽）以进行未经授权的任务，如加密货币挖掘或僵尸网络。 系统关机/重启：强制重启或关闭系统以破坏运营、抹除证据或协助进一步攻击。 额外资源 请参阅以下Kroll网络威胁情报团队最近发布的出版物和即将举行的活动 FANCY BEAR GONEPOSTAL – 间谍工具为微软 outlook 提供后门访问Kroll观察到GONEPOSTAL恶意软件被用于一场归因于KTA007（Fancy Bear、APT28）的间谍活动。该恶意软件由一个dropper DLL和一个混淆的、 带密码保护的VbaProject.OTM文件组成，该文件包含了为Microsoft Outlook编写的宏。这些恶意宏为Outlook添加了后门功能，从而能够进行命令与控制（C2）的邮件通信。 无缝通知响应重大数据泄露 在全球MOVEit数据泄露事件后，一家大型金融科技公司需要迅速行动以管理和减轻对客户的影响。了解科罗尔（Kroll）的专门数据泄露通知专家、专有技术和全球网络如何确保该公司能够快速执行有效的全球沟通策略，并向500多家企业和5000多万客户提供高质量、符合法律规定的通知以及身份和信用监控支持。 每周网络威胁情报简报 定义 更多信息，请联系我们： 乔治·格拉瑟助理执行董事 +44 7584999104george.glass@kroll.com 艾德·柯里高级副总裁 1 202 449 1816edward.currie@kroll.com 关于Kroll