根据思科 Talos 的一份报告,勒索软件和商业电子邮件泄露 (BEC) 攻击占 2024 年第二季度所有事件的 60%。科技是这一时期最受攻击的行业,占事件的24%,比上一季度增加了30%。研究人员表示,攻击者可能会将技术公司视为进入其他行业和组织的门户,因为它们在为包括关键基础设施在内的一系列其他行业提供服务方面发挥着作用。第二季度下一个最常针对的行业是零售、医疗保健、制药和教育。最常见的初始访问方法是在有效帐户上使用泄露的凭据,占攻击的 60%。这比上一季度增长了 25%。思科 Talos 在 2024 年第二季度观察到的最常的安全漏洞是易受攻击或配置错误的系统以及缺乏适当的 MFA 实施,均比上一季度增长了 46%。勒索软件趋势在此期间,勒索软件占思科 Talos 事件响应 (Talos IR) 团队参与度的 30%,与 2024 年第一季度相比增加了 22%。该报告详细介绍了对一系列勒索软件组织进行的攻击的应对措施,其中许多组织部署了新颖的策略来攻击目标,包括使用有效工具来保持持久性并追求横向移动。其中包括:地下团队:在此事件中,威胁参与者利用安全外壳 (SSH) 在环境中横向移动,并战略性地重新激活了之前已禁用的某些 Active Directory 用户帐户。在交战过程中,攻击者向员工的个人电子邮件发送骚扰信息,以此胁迫受害者回应他们的要求。BlackSuit:此威胁行为者通过不受 MFA 保护的 VPN 使用有效凭据获得访问权限。通过在环境中部署远程管理工具AnyDesk以及Cobalt Strike,建立了持久性。攻击者还利用 PsExec 和 Windows Management Instrumentation 命令行 (WMIC) 等离地二进制文件 (LoLBins) 在网络上横向移动。Black Basta:在这种情况下,攻击者使用未受 MFA 保护的有效 RDP 帐户上的泄露凭据获得了初始访问权限。攻击者使用远程 PowerShell 执行在远程系统上启动 shell,并利用开源命令行工具 Rclone 来促进数据泄露。立即阅读: 勒索软件组织优先考虑数据泄露的防御规避思科 Talos 指出,在 2024 年第 2 季度 80% 的勒索软件事件中,缺乏在关键系统(如 VPN)上实施适当的 MFA,这使得初始访问更容易。BEC趋势在 2024 年 4 月至 6 月期间,BEC 攻击也占思科 Talos 参与事件的 30%。这比 2024 年第一季度有所下降,当时它占攻击的 50%。BEC 攻击涉及威胁行为者破坏合法的商业电子邮件帐户,并使用它们发送网络钓鱼电子邮件以获取敏感信息,例如帐户凭据,以及发送带有欺诈性财务请求的电子邮件。研究人员观察了一系列用于破坏商业电子邮件帐户和发起BEC攻击的技术。其中包括:短信钓鱼攻击,攻击者发送目标欺诈性短信,诱骗收件人共享个人信息或点击恶意链接以破坏他们的登录凭据在一个案例中,一封网络钓鱼电子邮件被发送到员工的个人电子邮件地址,将他们重定向到一个虚假的登录页面。向用户发送了 MFA 推送通知并接受了该通知,从而授予攻击者访问权限在另一组活动中,在访问用户的电子邮件帐户后,攻击者创建了 Microsoft Outlook 邮箱规则,将电子邮件发送到名为“已删除”的文件夹,然后使用受感染的帐户向内部和外部收件人发送一千多封网络钓鱼电子邮件。
