Sophos發表2021年網路威脅報告

勒索軟體及其他重大網路攻擊趨勢將改變2021年資安環境

SophosLabs研究團隊率領威脅捕獵、事件快速回應專業人員，以及雲端安全及人工智慧專家等提供網路攻擊趨勢分析。

文／Sophos提供

網路安全廠商Sophos發布《2021年網路威脅報告》，揭露勒索軟體和不同等級的攻擊者，以及迅速變化的網路攻擊模式，將如何影響2021年的威脅態勢及資訊安全。此報告由SophosLabs研究人員，連同Sophos的威脅捕獵、事件快速回應團隊，以及雲端安全及人工智慧專家等共同撰寫，就安全威脅及趨勢的起源及實際影響作出分析。

《2021年網路威脅報告》中三大主要趨勢包括：

1.不同等級的勒索軟體操作者的技能及資源水準差別將擴大

最高等級的重量級勒索軟體系列將不斷改良手法、技術和流程(TTPs)，將其提升到接近國家級攻擊般複雜，以對大型企業索取數以百萬美元的鉅額贖款。在2020年，這些勒索軟體系列包括Ryuk和RagnarLocker。另一方面，Sophos預測入門或基本型攻擊的數量將會增加，它們會尋找提供選單可租用勒索軟體（如Dharma），以向大量的小型目標發動攻擊。

另一個趨勢是勒索軟體會進行「二次敲詐」，即除了加密受害者的資料，攻擊者會同時偷取敏感或機密資訊，再威脅公開這些資訊以進行勒索。在2020年，Sophos就指出Maze、RagnarLocker、Netwalker、REvil等軟體均採用這種方法牟利。

Sophos首席研究科學家 Chester Wisniewski 表示：「勒索軟體的商業模式多變而複雜。在2020年，Sophos發現攻擊者開始根據他們的技能和目標進行分類。然而，Sophos亦發現勒索軟體系列會共用強大的工具，形成自成一格的集團。例如Maze似乎已經退隱江湖，但Maze的部分工具和技能以新的Egregor假面孔出現。網路威脅的環境沒有空窗期，當一個勢力消失，另一個勢力便會立即補上。很多時候，我們幾乎無法預測勒索軟體的下個目標，但 Sophos threat report 上所述的攻擊趨勢將在2021年持續升溫。」

2.我們需更留心商用惡意軟體（如載入程式、殭屍網路），以及人工操縱的初始存取代理程式等日常威脅

這些威脅看似低階，但是它們目的是在目標中站穩陣腳，收集所需資料並回傳到命令與控制(C&C)網路，等待下一步攻擊指示。如果有人操控這些威脅，他們將會檢視每個受影響機器的位置或其他有用的線索，然後將最有價值的受害者資訊售賣給最高價的競標者（如某個勒索軟體組織）。例如，在2020年Ryuk使用 Buer Loader 來發送勒索軟體。

Wisniewski表示：「商用惡意軟體如同沙塵暴的雜訊，會堵塞安全警示系統。Sophos的分析指出，防衛者需認真對待這些攻擊，因它們可能會帶來十分嚴重的後果。任何一部機器受到感染，所有電腦都可能受害。很多安全團隊都以為，只要封鎖及移除惡意軟體，清理受感染的機器，事件就可以平息。但是，他們可能沒有意識到攻擊目標並不止是一部機器，而且看似常見的Emotet和 Buer Loader 惡意軟體都可以觸發更進階的Ryuk或Netwalker等攻擊。直到某個深夜或週末，當勒索軟體已經作好部署時，IT部門才會發現問題。如果低估看似微小的感染徵兆，將會導致相當嚴重的後果。」

3.各種等級的攻擊者都會更常使用合法的工具、知名的公用程式以及常用的網路目的地，以避開偵測和安全措施，阻礙分析和身分暴露

使用合法的工具讓攻擊者能在網路內四處遊走而不被發現，直至他們發動如勒索軟體等主要攻擊為止。對於由國家資助的攻擊者，使用一般工具還有其他好處，因為會更難追究源頭。在2020年，Sophos也曾列出大量攻擊者採用的標準攻擊工具。

Wisniewski表示：「Sophos在2020年的威脅環境評估中就已清楚說明，攻擊者會使用日常工具及技巧來隱藏主動式攻擊。這種作法會對傳統的安全措施帶來威脅，因為日常工具的外觀不會自動觸發危險訊號。此時，以人主導的威脅捕獵及回應服務將可大顯身手，因為人類專家知道如何尋找細微的異常和痕跡，例如發現在不合適的時間和地點使用合法的工具。對訓練有素的捕獵人員或IT管理者而言，使用端點偵測與回應(EDR)功能時，這些痕跡就是珍貴的線索，能提醒安全團隊出現攻擊者和潛在攻擊。」

其他在《2021年網路威脅報告》中發現的威脅包括：

• 攻擊伺服器：攻擊者以Windows和Linux系統的伺服器作為攻擊對象，利用這些跳板在企業的內部展開攻擊。
• COVID-19 疫情對資訊科技安全的影響，例如在家工作者使用的個人網路的防護程度不同，帶來了新的安全挑戰。
• 雲端環境的安全挑戰：儘管雲端運算已成功擔負起企業對安全雲端環境的需求壓力，但是它也帶來與傳統網路不同的挑戰。
• 常用服務如RDP和VPN集訊器，仍然是攻擊者在網路週邊上的攻擊對象。攻擊者同時使用RDP在受攻擊的網路上橫向移動。
• 軟體應用程式通常被標示為「可能不需要」，因為它們傳送大量廣告，但採用的技巧和公開的惡意軟體越來越難以區分。
• 一個久遠的VelvetSweatshop漏洞重出江湖，它是一個早期 Microsoft Excel 的預設密碼功能，用於在文件上隱藏巨集或其他惡意內容，躲避威脅偵測。
• 他們需要採取流行病學的方法來來量化未曾見過、未偵測到及未知的網路風險，以便更有效地填補偵測缺口、評估風險和確定優先順序。

《2021年網路威脅報告》全文可以於此處下載：www.sophos.com/threatreport

以下影片為Wisniewski就《2021年網路威脅報告》內容的簡介：