IBM Security：助力抗击新冠肺炎疫情的多个行业遭网络攻击

近日，IBM Security发布了2021年IBMX-Force威胁情报指数报告，重点阐述了网络攻击在2020年经历的演变。这一年，新冠肺炎疫情带来了前所未有的社会经济、商业和政治挑战，而众多威胁源都试图从中获利，IBMSecurityX-Force观察到：攻击者在世界各地助力抗击新冠肺炎疫情的关键企业作为攻击对象，包括医院、医药产品生产商、以及为抗击新冠肺炎疫情供应链提供电力的能源公司。

根据这份最新报告，2020年针对医疗、制造业和能源行业发起的网络攻击与2019年相比翻了一番，威胁源选择的目标都是一旦停工就有可能导致医疗服务或关键供应链中断的关键组织。在2020年，制造业和能源行业成为了重点攻击对象，仅次于金融和保险业。由于工业控制系统(ICS)中的漏洞增加了近50%，而制造业和能源行业都十分依赖ICS，所以，攻击者就利用这些漏洞发起攻击。

IBM SecurityX-Force全球威胁情报负责人NickRossmann表示：“从本质来看，此次疫情重塑了当下的关键基础设施，而攻击者注意到了这一点。为了抗击疫情，许多企业首次走上前线，支持新冠肺炎疫情相关研究、维护疫苗和食物供应链、生产个人防护装备等。随着新冠肺炎疫情的不断发展，攻击者也在不断进行受害者研究并随之改变攻击策略，这也再次反映了网络攻击者的适应性、机智性和持久性。”

IBM对130多个国家/地区每天发生的超过1500亿起安全事件进行了监控，并根据通过监控获得的洞察和观察结果发布了X-Force威胁情报指数报告。此外，IBM从内部的多个来源收集了相关数据，并对这些数据进行了分析。相关数据来源包括IBMSecurityX-Force威胁情报与应急事件响应、X-Force Red、IBM ManagedSecurityServices，以及Quad9和Intezer提供的数据——在此次发布的报告中，后两个来源的数据已经体现。

2021年IBM X-Force威胁情报指数报告的重点包括：

• 网络罪犯分子加速使用Linux恶意软件——根据Intezer提供的数据，在过去一年中，Linux相关恶意软件系列产品增加了40%;2020年的前六个月，Go编写的恶意软件增加了500%，攻击者正在加快利用Linux恶意软件，这种恶意软件可以更轻易地在各种平台上(包括云环境)运行。
• 疫情导致知名品牌遭仿冒——在过去一年中，多地提倡保持社交距离和远程工作，因此，提供谷歌、Dropbox和微软等协作工具的品牌，或亚马逊和PayPal等在线购物品牌都成为在2020年最常被仿冒的品牌。YouTube和Facebook成为去年消费者获取新闻的主要途径，所以，二者也成为了最常被仿冒的品牌。令人意外的是，2020年第七大最常被仿冒的品牌竟然是阿迪达斯，这是阿迪达斯首次进入最常被仿冒的品牌之列，主要原因可能是人们对Yeezy和Superstar运动鞋系列的需求大增。
• 勒索软件集团从盈利的商业模式中获利——2020年，在X-Force应对的各种攻击中，近四分之一的攻击来自勒索软件，该种攻击可演变为包含双重勒索战术的攻击。X-Force利用该模型进行了评估，发现在2020年最受关注的勒索软件集团Sodinokibi在当年获利颇丰。X-Force在该报告中估计，该企业在过去一年里的保守收益估值超过1.23亿美元，大约三分之二的受害者支付了赎金。

对开源恶意软件的投资使云环境惨遭威胁

在新冠肺炎疫情期间，许多企业都试图加快采用云技术。“事实上，Gartner近期进行的一项调查显示，新冠肺炎疫情造成业务中断之后，如今采用云服务的企业之中的近70%计划增加在云技术方面的支出。”但是，由于目前90%的云工作负载均由Linux支持，而X-Frand报告表明，过去十年中与Linux相关的恶意软件系列增加了500%，因此，云环境可能成为威胁源的主要攻击媒介。

随着开源恶意软件的增加，IBM通过评估发现，攻击者可能正在寻找提高利润率的方法，即他们可能会通过降低成本、提高效率、创造机会来发起收益更高的攻击。该报告强调，多家威胁组织(如APT28、APT29和Carbanak)均转向开源恶意软件，这表明该趋势会导致新一年出现更多云环境攻击。

报告还指出，攻击者正在利用云环境提供的可扩展处理能力，将大量云使用费用转嫁给受害企业。Intezer在2020年观察到，超过13%的Linux加密挖掘恶意软件中出现了从未被发现过的新代码。

由于攻击者的目标锁定在云上，所以，X-Force建议企业应该考虑针对其安全策略采用零信任方法。企业还应将保密计算作为其安全基础设施的核心组件，以帮助保护最敏感的数据。通过对使用中的数据进行加密，企业可以减少恶意攻击者可利用的漏洞，确保即使他们能够访问企业的敏感环境，也会一无所获。

伪装成知名品牌的网络罪犯

2021年IBMX-Force威胁情报指数报告强调，网络犯罪分子大多选择将自己伪装成消费者信任的品牌。作为世界上最具影响力的品牌之一，阿迪达斯似乎对于网络犯罪分子具有很强的吸引力。这些网络犯罪分子试图利用消费者的需求心理，引诱那些寻找心仪运动鞋的人进入貌似合法网站的恶意网站。一旦用户访问了貌似合法的域名，网络犯罪分子就会试图开展在线支付诈骗、窃取用户的财务信息、获取用户凭据或通过恶意软件使受害者的设备中毒。

报告指出，假冒阿迪达斯的大部分欺骗行为都与Yeezy和Superstar运动鞋系列相关。据报道，仅Yeezy系列运动鞋在2019年就为阿迪达斯实现了13亿美元的收入，该系列是运动服饰生产商阿迪达斯最畅销的运动鞋系列之一。阿迪达斯将在年初推出新款运动鞋，而攻击者很有可能会利用畅销品牌的购买需求谋得私利。

勒索软件是2020年最常见的攻击形式

根据2021年IBMX-Force威胁情报指数报告，与2019年相比，2020年全球遭遇的勒索软件攻击数量有所增长。在X-Force应对的勒索软件攻击中，近60%采用了双重勒索策略，即攻击者加密并窃取数据。如果受害者不支付勒索金，攻击者就会发出泄露数据等威胁。事实上，2020年，在X-Force追踪的数据泄露案例中，36%源于勒索软件攻击，这些攻击同时还涉嫌数据盗窃，表明数据泄露和勒索软件攻击开始发生冲撞。

据报道，2020年最活跃的勒索软件集团是Sodinokibi(也称为 REvil)，该企业主导的勒索软件攻击占X-Force观察到的所有勒索软件事件的22%。X-Force估计，Sodinokibi从受害者那里窃取了大约21.6TB的数据，将近三分之二的Sodinokibi受害者支付了赎金，大约43%受害者的数据被泄露——X-Force估计，该公司在过去一年通过勒索攻击获利1.23亿美元。

该报告发现，2020年那些最成功的勒索软件集团也和Sodinokibi一样专注于窃取和泄露数据、成立勒索软件即服务团伙，并将其业务的关键部分外包给专注于攻击不同方面的网络犯罪分子。针对这些更具攻击性的勒索软件攻击，X-Force建议企业限制对敏感数据的访问权限，使用特权访问管理(PAM)和身份与访问管理 (IAM) 保护高级特权帐户。

该报告中的其他关键发现包括：

• 漏洞超过网络钓鱼，成为最常见的感染媒介——2021年的报告显示，去年，扫描和漏洞利用 (35%) 是访问受害者环境最常见的方式，多年来首次超过网络钓鱼(31%)。
• 2020年的网络攻击使欧洲遍体鳞伤——根据该报告，在X-Force在2020年应对的攻击中，欧洲遭受的攻击占31%，高于其他任何地区，其中，勒索软件是罪魁祸首。此外，欧洲遭受的内部威胁攻击也多于其他任何地区，其数量是北美和亚洲总和的两倍。

2021年IBMX-Force威胁情报指数报告使用了IBM在2020年收集的数据，提供了关于全球威胁领域的深层洞察，告知了安全专家与他们的企业最相关的威胁。