据Corvus Insurance公司称,攻击者利用虚拟专用网络(VPN)漏洞和弱密码进行初始访问,导致了近30%的勒索软件攻击。根据第三季度报告,许多此类事件都可追溯到过时的软件或保护不足的 VPN 账户。例如,“admin ”或 “user ”等常见用户名以及缺乏多因素身份验证(MFA)使账户容易受到自动 “暴力 ”攻击,在这种攻击中,攻击者通过测试这些薄弱凭证的组合来利用可公开访问的系统,经常以最小的代价获得网络访问权。Corvus首席信息安全官Jason Rebholz说:“攻击者专注于寻找进入企业发动攻击的阻力最小的途径,而在第三季度,这个切入点就是VPN。“展望未来,企业必须采用多层次的安全方法来加强防御,而不仅仅局限于 MFA。如今,MFA 仅仅是桌面上的赌注,必须辅之以安全访问控制,才能巩固这些当前和未来的薄弱环节。”勒索软件攻击在第三季度激增利用从勒索软件泄漏网站收集到的数据,Corvus 在第二季度发现了 1,248 名受害者,这是该公司在第二季度记录到的最高数量。这种活动水平在第三季度持续存在,共发生了 1,257 起攻击。第三季度 40% 的攻击可追溯到五个组织: RansomHub、PLAY、LockBit 3.0、MEOW 和 Hunters International。在这五个组织中,RansomHub 是本季度最活跃的组织,报告的受害者人数为 195 人(比第二季度增加了 160%),而 LockBit 3.0 的活动则急剧下降,从第二季度的 208 人降至第三季度的 91 人。虽然许多攻击背后的源头相对集中,但勒索软件生态系统在此期间确实有所增长,截至第三季度末,共发现 59 个勒索软件群组。这一增长值得注意,因为新进入者可能很快成为破坏性力量。例如,在执法部门于第一季度取缔 LockBit 之后,2024 年 2 月出现的 RansomHub 迅速填补了空白,成为更多产、更危险的网络犯罪集团之一。2024 年,RansomHub 已在各行各业造成 290 多名受害者。在第三季度,建筑行业仍然是受影响最大的行业,报告的受害者人数为 83 人。这比第二季度报告的 77 起攻击事件增加了 7.8%,主要原因是 RansomHub 等勒索软件组织继续以基础设施和相关行业为攻击目标。医疗保健机构的受害人数也大幅增加,报告的受害人数为 53 人,比第二季度的 42 人增加了 12.8%。IT 服务部门在第三季度略有下降,受害人数为 49 人,而第二季度为 54 人。不过,鉴于针对 IT 供应商的攻击具有系统性风险,即针对一家 IT 供应商的攻击可能会影响许多客户环境,因此该行业仍然是许多勒索软件组织的优先攻击对象。
