IBM X-Force 威胁情报指数 2022

X-Force 威胁情报指数 2022 h t i g b u c . 5 m o 目录执行摘要 03 主要入侵媒介 16 07 最主要的攻击类型 24 对运营技术和物联网的威胁 29 2021 年的主要威胁实施者 31 恶意软件发展趋势 35 地理区域趋势 42 行业趋势 57 关于 IBM Security X-Force 贡献者 IBM Security c . 5 53 风险缓解建议 m o h t i g b u 59 2 执行摘要疫情仍在肆虐，整个世界继续苦苦挣扎；企业和组织在居家工作和返岗复工之间来回摇摆；地缘政治的变化催生了持续的不信任。这一切都造成了混乱不堪的局面，而网络犯罪分子则有了可乘之机。在 2021 年，IBM Security® X-Force® 看到了威胁实施者如何抓住机会，利用不断变化的局面，采用各种手段和方法，成功渗透进世界各地的组织中。 IBM Security X-Force 威胁情报指数总结了我们从数据中发现和分析出的新趋势和攻击模式，这些数据是从数十亿个数据点收集的，包括终端检测设备、事件响应 (IR) 互动和域名跟踪等。本报告是基于从 2021 年 1 月至 12 月收集的数据的研究结论。我们将这些研究成果作为一种资源，提供给 IBM 客户、安全行业的研究人员、政策制定者、媒体以及更广泛的安全专业人士和业务领导群体。 m o c . 5 鉴于业务格局变幻不定，威胁类型和威胁方向不断发展，您比以往任何时候都更需要掌握深入的威胁情报洞察，抢在攻击者之前占得先机，强化关键资产的安全性。 b u h t i g IBM Security 3 执行摘要报告要点最主要的攻击类型：勒索软件再次占据 2021 年最主要攻击类型的榜首，尽管在 X-Force 修复的攻击中，勒索软件的百分比同比下降了近 9%。REvil（一种勒索软件类型，X-Force 也将其称为 Sodinokibi）是 X-Force 连续第二年观察到的最常见的勒索软件类型，占全部勒索软件攻击的 37%，而排在第二位的 Ryuk 占比只有 13%。2021 年勒索软件和物联网僵尸网络攻击之所以有所减少，执法活动可能是主要原因，但这并不能排除这些攻击在 2022 年死灰复燃的可能性。供应链漏洞：供应链安全性受到了政府和政策制定者的重点关注，拜登政府关于网络安全的总统行政令以及美国国土安全部、CISA 和 NIST 的指南都强调了零信任。这些准则聚焦于安全漏洞和可信关系。目前，制造业饱受中断和延迟之苦，雪上加霜的是，该行业也是漏洞利用攻击的重灾区，是犯罪分子初始攻击方向的首选。钓鱼攻击中使用最多的品牌：X-Force 在整个 2021 年密切跟踪网络犯罪分子如何使用网络钓鱼工具包，我们的研究显示，Microsoft、Apple 和 Google 是犯罪分子尝试假扮的前三大品牌。这些大品牌在网络钓鱼工具包中被反复使用，攻击者利用其热门程度，诱导消费者相信自己。 m o c . 5 最主要的威胁团体：疑似的有伊朗国家背景的威胁实施者 ITG17 (MuddyWater)、网络犯罪团体 ITG23 (Trickbot) 和 Hive0109 (LemonDuck) 是 X-Force 情报分析人员在 2021 年观察到的一些最活跃的威胁团体。世界各地的威胁团体都在试图扩充自己的实力，渗透进更多的组织。他们使用的恶意软件嵌入了更狡猾的防御规避方法，在某些情况下，这些恶意软件通过基于云的消息传递平台和存储平台进行托管，以逃过安全控制。恶意软件滥用这些平台，在合法的网络流量中隐藏命令和控制通信。威胁实施者还继续开发 Linux 版本的恶意软件，旨在更轻松地入侵云环境。 h t i g b u 4 执行摘要主要统计数据： 21% 勒索软件的攻击份额勒索软件是 X-Force 去年观察到的数量最多的攻击类型，但占比从前年的 23% 下降到去年的 21%。REvil 勒索软件攻击者（又名 Sodinokibi）要为 37% 的勒索软件攻击负责。 17 个月勒索软件团体改头换面或偃旗息鼓之前的平均生存时间 X-Force 研究的勒索软件团体在改头换面或偃旗息鼓之前的平均生存期为 17 个月。 REvil 是最成功的团体之一，在存在 31 个月（两年半）之后于 2021 年 10 月解散。 41% m o c . 5 b u 利用网络钓鱼获得初始访问权限的攻击的百分比在 2021 年，网络钓鱼行动成为最主要的入侵途径，在 X-Force 修复的安全事件中，有 41% 是通过这种方法获得初始访问权限的。 33% h t i g 2020 年至 2021 年间由漏洞利用攻击导致的安全事件数量有所增加在 2021 年，被犯罪分子利用的五个最主要漏洞中，有四个是新漏洞，包括 Log4j 漏洞 CVE-2021-44228 - 尽管它在 12 月份才被披露，但排名已跃至第二位。 3倍增加了电话通话功能的针对性网络钓鱼攻击活动的点击有效性明显提高有针对性的网络钓鱼活动的平均点击率为 17.8%，但增加了电话通话的针对性网络钓鱼攻击活动（语音钓鱼或语音网络钓鱼）的有效性则提高了三倍，诱使 53.2% 的受害者进行点击。 146% 使用新代码的 Linux 勒索软件显著增加根据 Intezer 的研究，使用独特（新）代码的 Linux 勒索软件的数量同比增长 146%，这表明 Linux 勒索软件的创新水平显著提升。 5 执行摘要 #1 制造业受到最多的攻击制造业取代金融服务业，成为 2021 年受攻击最多的行业，占 X-Force 去年修复的攻击数量的 23.2%。勒索软件是最主要的攻击类型，占到制造企业受到的攻击总数的 23%。 61% OT 连接的组织在制造业受到的攻击中所占的比例去年，在制造业中，OT 连接的组织发生的安全事件占总数的 61%。此外，在针对 OT 连接的组织的攻击中，有 36% 是勒索软件。 2,204% 74% h t i g b u 来自 Mozi 僵尸网络的 IoT 攻击的比例 2021 年，在针对物联网设备的攻击中，源自 Mozi 僵尸网络的攻击占到 74%。 26% m o c . 5 针对 OT 的侦察活动大幅增加在 2021 年 1 月至 2021 年 9 月期间，攻击者通过互联网针对 SCADA Modbus OT 设备的侦察活动增加了 2,204%。全球攻击中针对亚洲的比例在所有攻击中，有 26% 以亚洲为目标。亚洲是 2021 年受攻击最多的地理区域。 6 最主要的攻击类型在本报告中，我们根据攻击者在获得对受害者网络的访问权限后寻求实现的最终目标对攻击类型进行分类。攻击类型与初始感染媒介不同，后者是最初进入网络的方法。例如，一些攻击类型包括勒索软件、数据盗窃和 BEC，具体取决于威胁发起者操作的最终目标。初始感染媒介的例子包括网络钓鱼、使用被盗凭证和漏洞利用。以下部分介绍了我们的数据在 2021 年揭示的最多产攻击类型的详细信息和数据。勒索软件根据 X-Force 的观察，三年多来，勒索软件一直占据主要攻击类型的榜首， 2021 年也不例外。X-Force 事件响应团队在 2021 年修复的攻击中有 21% 是勒索软件攻击。这比上一年略有下降，当时 X-Force 团队修复的攻击中有 23% 是勒索软件攻击；但是，勒索软件攻击的数量同比保持稳定。 m o c . 5 b u h t i g IBM Security 7 最主要的攻击类型 27% 23% 图1 2021 年与 2020 年的主要攻击类型对比主要攻击类型细分，2020-2021（资料来源：IBM Security X-Force）1 13% 23% 7% 8% 21% 9% 14% 10% 8% 6% 5% b u 6% h t i g 5% m o c . 5 5% 5% 5% 其他恶意内部人员配置错误 RAT 凭证收集数据盗窃 BEC 服务器访问勒索软件 2021 2020 他攻击包括广告软件、银行木马、僵尸网络、加密矿工、污损、欺诈、DDoS、销售点恶意软件、垃圾邮件、其 Web 脚本、webshell 和蠕虫。 1 8 最主要的攻击类型 X-Force 所观察到的勒索软件攻击频率全年都有所变化，其中 5 月和 6 月的攻击频率往往较高，而 1 月的攻击频率则有所降低。此外，勒索软件攻击似乎在夏末或秋初有所减少。在 2021 年，这种下降趋势主要发生在 8 月和 10 月，这可能是由于前几个月若干团伙的永久或暂时性关停：DarkSide 和 Babuk 在 5 月关停运营，Avaddon 在 6 月，而 REvil 则是在 10 月。图2 2020 年与 2021 年按月划分的勒索软件攻击占 IR 事件的百分比勒索软件攻击占 X-Force 事件响应团队所处理攻击的百分比，2020-2021（资料来源：IBM Security X-Force） ��% ��% ��% ��% ��% ��% ��% ��% ��% ��% ��% � ��% �% �% �月 �月 �月 b u ��% ��% ��% ��% c . 5 ��% ��% �月 ti h ��% g �月 �� 月 ��% ��% ��% ��% ��% �% �月 m o �% �月 �月 �% �� 月 �� 月 �� 月 �� 9 最主要的攻击类型 “许多勒索软件实施者都以新名称继续运营” 根据 X-Force 的研究显示，17 个月是勒索软件团伙更名或关停的平均时间，中位数则为 18 个月。勒索软件团伙不断涌现，而一旦面临被执法部门逮捕或查处的威胁，他们通常就会更名。在某些情况下，执法部门的查处会迫使勒索软件团伙完全关停。尽管这一环境不断变化（或者可能正因为如此），许多勒索软件实施者仍然逍遥法外，基于这种活动所产生的高额利润和目前执法部门在广泛打击勒索软件活动上受到的限制， X-Force 估计，在可预见的未来，犯罪分子的勒索软件活动仍将继续。X-Force 意识到许多勒索软件实施者都已经更名，以新名称继续运营，例如，GandCrab 更名为 REvil、Ma