2021年趨勢科技攔截逾 940 億次威脅,網路釣魚翻倍,三產業最常成為勒索目標

數位轉型讓許多企業在新冠肺炎(COVID-19)疫情期間存活了下來,但卻也引來了一些重大的網路資安事件,其影響甚至到了 2021 年都還普遍感受得到。在 2021 年度網路資安報告當中,我們回顧了過去一年資安情勢當中一些最重要的資安議題和趨勢。

2021 年度網路資安報告:不安的局勢、大量的攻擊

去年期間,趨勢科技偵測並攔截了超過 940 億次的威脅,遏止了全球各地許多處心積慮尋找企業資安漏洞的駭客。我們在 2021 年度網路資安報告「 因應資安新局勢」當中,回顧了過去一年資安情勢當中一些最重要的資安議題和趨勢。 

重點預覽

🔻勒索病毒更常瞄準關鍵產業
🔻駭客瞄準雲端環境的組態設定錯誤
🔻電子郵件攻擊演變成更複雜的威脅
🔻針對新、舊漏洞的攻擊依然猖獗
🔻企業需要多層式防禦來防範棘手的威脅


勒索病毒集團更常瞄準關鍵產業

根據趨勢科技多年來對勒索病毒活動的觀察,我們發現勒索病毒集團已捨棄以量取勝的策略,轉而專挑一些更有利可圖的目標下手。現代化勒索病毒通常會花費更多時間和精力來規劃攻擊並進行偵查,同時會針對目標系統而量身打造出客製化攻擊手法,以便能夠癱瘓目標。

或許是在疫情期間扮演重要角色的關係,政府機關、銀行及醫療這三個產業在 2021 年都受到勒索病毒的嚴重襲擊,儘管勒索病毒的整體偵測量反而較去年減少了 21%。不過,偵測數量減少並不一定代表勒索病毒的攻擊減少。有可能是因為我們偵測並攔截了更多勒索病毒集團所使用的惡意程式工具所導致的結果,例如:Cobalt Strike 信標 CoBeacon、 Trickbot 木馬程式以及 BazarLoader 資訊竊取程式。由於我們大量攔截了這類輔助工具 (這些工具的存在通常是感染勒索病毒的前兆),因而使得勒索病毒集團的攻擊提前中斷,沒有發展到最後階段。

圖 1:勒索病毒檔案偵測數量前三名的產業 (2020 及 2021 年)。
資料來源:趨勢科技 Smart Protection Network


駭客瞄準雲端環境的組態設定錯誤


越來越多的企業開始移轉到雲端來開拓自己的事業,然而,由於雲端基礎架構設定天生的複雜性,使得駭客集團很快就開始瞄準並利用這類環境的組態設定錯誤來駭入企業。一個知名的案例是曾經有一個 Kubernetes 角色導向存取控管組態設定錯誤Team TNT 駭客團體在去年的一起大規模登入憑證竊取行動當中,駭入了將近 50,000 個位於美國和中國的 IP 位址。除此之外,TeamTNT 去年也利用伺服器組態設定錯誤駭入了雲端服務供應商並搜刮了大量的 Metadata。


圖 2:TeamTNT 的攻擊過程。

電子郵件攻擊演變成更複雜的威脅


2021 年,趨勢科技 Cloud App Security 偵測並攔截了 2,500 萬次以上的電子郵件威脅。尤其,網路釣魚攻擊的數量幾乎是 2020 年的兩倍。在這當中,有 62% 是垃圾郵件,其餘的則是登入憑證網路釣魚郵件。金融、醫療及教育是遭遇網路釣魚攻擊最嚴重的產業。


圖 3:垃圾郵件網路釣魚與登入憑證網路釣魚偵測數量比較 (2020 及 2021 年)。
資料來源:趨勢科技 Cloud App Security

我們發現變臉詐騙攻擊或稱為商務電子郵件入侵,簡稱BEC) 在 2021 有減少的現象,但這有可能是因為一些較為精密的變臉詐騙郵件變多,而這些郵件能避開垃圾郵件過濾規則的偵測。不過我們已經能夠應付這樣的現象,相較於 2020 年,趨勢科技 Cloud App Security 的作者分析技術在 2021 年所偵測及攔截到這類變臉詐騙攻擊,在比例與數量上都有所提升。


圖 4:採用作者分析所偵測到的變臉詐騙 (BEC) 比例與採用行為和意圖分析所偵測到的比例對照 (2020 及 2021 年)。
資料來源:趨勢科技 Cloud App Security。

對於那些緊跟著疫情發展而趁火打劫的犯罪集團,電子郵件依然是他們的最愛。我們在 2021 一整年當中偵測到 800 多萬個 Covid-19 相關的威脅,絕大多數都集中在美國和德國。其中大部分都是電子郵件威脅,這一點倒是和瞄準疫苗冷鏈的網路釣魚攻擊數量增加的趨勢一致。而源源不絕的疫情相關新聞,也讓駭客隨時都有新的主題來製作新的電子郵件誘餌


圖 5:Covid-19 相關威脅偵測數量比較,包括惡意的電子郵件、網址和檔案 (2020 及 2021 年)。
資料來源:趨勢科技 Cloud App Security。

針對新、舊漏洞的攻擊依然猖獗


2021 年,趨勢科技 Zero Day Initiative™ (ZDI) 漏洞懸賞計畫總共發布了 1,604 份漏洞公告,較前一年增加了 10%。不過,除了新發現的漏洞之外,駭客仍持續不斷在攻擊當中使用先前早已公開的漏洞。他們仍在攻擊一些已有修補更新可套用的老舊漏洞,而且這類攻擊程式碼在網路犯罪地下市場上的需求一直存在,地下市場上所販售的漏洞攻擊程式碼有將近 25% 是針對三年以上舊漏洞


圖 6:依據 Common Vulnerability Scoring System (CVSS) 漏洞評分系統,趨勢科技 ZDI 漏洞懸賞計畫所揭露的漏洞在各嚴重性的分布比例 (2020 及 2021 年)。
資料來源:趨勢科技 Zero Day Initiative(ZDI) 漏洞懸賞計畫。

未修補的系統依然是企業的一大罩門,關於這點,Apache Log4j 的高嚴重性漏洞 Log4Shell (CVE-2021-44228) 就是最好證明。此漏洞最早是在 2021 年 11 月經由私下管道通報給 Apache,他們在一個月後釋出了修補更新,但卻無法阻止駭客利用此漏洞來發動各種勒索病毒、資料竊盜以及虛擬加密貨幣挖礦攻擊。

同樣地,即使 Microsoft Exchange Server 的 ProxyLogon (CVE-2021-26855) 和 ProxyShell (CVE-2021-34473 與 CVE-2021-34523) 漏洞早就已經有修補更新可套用,但駭客的攻擊還是一再得逞。例如, Squirrelwaffle 載入器就利用 ProxyLogon 和 ProxyShell 來挾持受害者的電子郵件帳號。

企業需要多層式防禦來防範棘手的威脅


隨著受攻擊面的不斷擴大與演變,全世界的企業機構都被迫踏入了他們所不熟悉的資安領域,因此需要藉由高品質的資料來隨時掌握其整個數位生態系的狀況,進而預測、評估與防範資安風險。請閱讀我們的年度網路資安報告「因應資安新局勢」來了解更多有關 2021 年當中值得注意的資安事件,從中獲得寶貴的資訊來協助您對抗企業內潛在、新興以及正在發生的威脅。

原文出處:Attacks Abound in Tricky Threat Terrain: 2021 Annual Cybersecurity Report

FBIGYoutubeLINE官網