Blogs

IBM Security 於上週公佈了 2020 年 IBM X-Force 威脅情報指數報告。報告重點闡述了數十年來犯罪技術經歷了怎樣的演變，在此期間網絡犯罪技術非法訪問了數百億條企業記錄和個人記錄，並利用了數十萬個軟件缺陷。報告顯示，在首次遭受攻擊的受害者中，有 60% 是源於過往被盜憑證或已知軟件漏洞，攻擊者無需大費周章實施詐騙就能獲得訪問權限。

IBM X-Force 威脅情報指數報告重點介紹了促成這一演變的因素，包括最主要的三大初始攻擊媒介：

• 網絡釣魚是一種成功概率較高的初始入侵媒介，佔被監測事件的近 1/3，而 2018 年，這一比例更是高達一半。
• 漏洞的掃描和利用佔被監測事件的 30%，而2018 年的佔比僅為 8%。事實上在2019 年，年代久遠的已知 Microsoft Office 和 Windows Server Message Block 的漏洞被利用率依然很高。
• 過往被盜憑證也逐漸成為首選「突破口」，佔全年被監測事件的 29%。報告指出，僅 2019 年洩露的記錄就超過 85 億條 — 報告的數據洩露量同比增長 200%，被盜憑證數量隨之增加，這為網絡犯罪分子帶來了可乘之機。

IBM X-Force 威脅情報部門副總裁 Wendi Whitmore 表示：「我們發現，被洩露的記錄數量眾多，這意味著網絡犯罪分子掌握的信息量越來越大，如同手握進入我們住宅和企業的鑰匙一般。攻擊者不用花時間設計複雜方案來入侵企業，只需利用已知實體即可發起攻擊，比如使用被盜憑證登錄；要保障企業網絡永續安全和確保用戶數據的安全和隱私性，採用多因子認證、單點登錄等保護措施至關重要。」

IBM X-Force 在 130 多個國家或地區每天監測到了 700 億宗安全事件，並根據對這些事件的洞察和觀察開展了分析。此外，還從多個來源收集數據並開展分析，包括 X-Force IRIS、X-Force Red、IBM Managed Security Services 及公開披露的數據洩露信息。同時，IBM X-Force 每天在全世界運行數千個垃圾郵件陷阱，監控數千萬個垃圾郵件和釣魚攻擊，同時分析數十億個網頁和圖像，以檢測欺詐活動和品牌濫用情況。

報告揭示的部分要點如下：

• 配置十分關鍵 — IBM 分析發現，在 2019 年報告的超過 85 億條洩露記錄中，有 70 億條記錄（佔總數的 85% 以上）源於雲服務器配置錯誤及其他系統配置不當。這與 2018 年的情況截然不同，當時此類記錄所佔的比例還不及總數的一半。
• 銀行業備受勒索軟件困擾 — 今年的報告顯示，一些極為活躍的銀行木馬程序（如 TrickBot）為全面勒索軟件攻擊搭建了舞台。事實上，與報告中討論的其他惡意軟件變體相比，銀行木馬程序和惡意軟件使用的新奇代碼位居榜首。
• 網絡釣魚濫用科技信任 — IBM X-Force 的報告發現，技術、社交網絡和內容流媒體家喻戶曉的品牌進入了網絡攻擊者在實施網絡釣魚時爭相模仿的「十大」被仿冒品牌行列。這一轉變似乎表明，人們對於技術提供商的信任度越來越高，超越過去信賴的零售和金融品牌。攻擊中冒用的主要品牌包括 Google、YouTube 和 Apple。

勒索軟件攻擊不斷演變

報告揭示了全球公私領域的勒索軟件攻擊趨勢。據報告顯示，2019 年勒索軟件活動呈上升趨勢。IBM X-Force 面向全球 13 個不同行業部署惡意軟件事件響應團隊，用實際行動再次印證此類攻擊與行業並不存在關聯。

IBM X-Force 發現，去年，有 100 家美國政府機構 遭受勒索軟件攻擊，零售業、製造業和運輸業同樣遭到巨大衝擊 — 這些行業要麼持有大量具有盈利價值的數據，要麼依賴過時技術運轉，因而導致安全漏洞肆意蔓延。實際上，在監測到的勒索軟件攻擊中，80% 的攻擊者利用 Windows Server Message Block 漏洞，即 WannaCry 傳播戰術。2017 年，WannaCry 攻擊曾使 150 個國家或地區的企業遭受重創。

2019 年，勒索軟件攻擊造成的 經濟損失 超過 75 億美元，犯罪分子斂取了巨額財富，他們在 2020 年絕不會就此偃旗息鼓。通過與 Intezer 的合作，IBM 報告稱，45% 的銀行木馬程序和 36% 的勒索軟件中發現了新的惡意軟件代碼。這表明，攻擊者正在積極開發新的代碼，繼續大力規避監測。

IBM X-Force 還發現，勒索軟件與銀行木馬程序存在著緊密的聯繫，銀行木馬程序常被用來為有針對性、高風險的勒索軟件攻擊開路，從而豐富了勒索軟件的部署模式。例如，報告稱 TrickBot 是目前最活躍的金融惡意軟件，涉嫌在企業網絡中部署了 Ryuk，同時很多銀行木馬程序（如 QakBot、GootKit 和 Dridex）衍生出了大量不同的勒索軟件變種。

在網絡釣魚攻擊中，犯罪分子冒充科技企業和社交媒體企業

隨著消費者對網絡釣魚電子郵件的瞭解日漸深入，網絡釣魚攻擊手段的針對性越來越強。IBM 通過與 Quad9 的合作，除為全球各界免費提供DNS轉址服務以阻擋惡意網站外，更發現網絡釣魚活動出現了冒用趨勢：攻擊者利用誘人的鏈接冒充消費技術品牌 — 通過科技、社交媒體和內容流媒體企業，誘導用戶點擊網絡釣魚攻擊活動提供的惡意鏈接。

在公認的十大被仿冒品牌中，Google 和 YouTube 域名的被仿冒比例佔近 60%，同時 Apple (15%) 和 Amazon (12%) 域名也常被攻擊者用於竊取具有盈利價值的用戶數據。IBM X-Force 評論稱，這些品牌之所以成為被仿冒目標，是因為它們掌握著大量具有盈利價值的數據。

Facebook、Instagram 和 Netflix 同樣躋身十大被仿冒品牌行列，只不過被仿冒比例低得多。原因可能在於，這些服務通常並不直接掌握具有盈利價值的數據。由於攻擊者常常重用憑證來訪問帳戶，力求攫取更多的利益，IBM X-Force 表示頻繁重用密碼可能是導致這些品牌成為攻擊目標的潛在原因。事實上，IBM 未來身份研究 發現，41% 的千禧一代多次重復使用同一密碼，而 Z 世代平均僅使用五個密碼，種種跡象表明重用率較高。

識別欺騙性域名可能極為困難，攻擊者篤定用戶無法正確識別。報告中列出的十大被仿冒品牌總計擁有近百億個帳戶 ，這對攻擊者來說意味著巨大的目標池，而毫無戒備的用戶點擊看似無害的被仿冒品牌鏈接的概率也會隨之增加。

報告還有另外一些主要發現，包括：

• 零售業在攻擊目標行業中的排名回升： 在今年的報告中，零售業在攻擊最嚴重的行業排名中躍升至第二位，與排名首位的金融業十分接近。金融業已連續四年蟬聯榜首。Magecart 攻擊是零售業面臨的最嚴重的攻擊之一，2019 年夏季有 80 個電子商務網站 報告 因此受到影響。網絡犯罪分子似乎將目光轉向消費者 PII、支付卡數據乃至高價值的會員計劃信息。據 IBM 事件響應計劃洞察顯示，廣大零售商還遭受了大規模勒索軟件攻擊。
• 工業控制系統 (ICS) 和運營技術 (OT) 攻擊激增：2019 年，ICS 和 OT 基礎架構攻擊較前三年有所增加，與上一年同期相比增長 2000%。監測結果顯示，大多數攻擊既利用已知 SCADA 和 ICS 硬件漏洞，又實施密碼噴灑技術。
• 北美和亞洲是遭受攻擊最嚴重的區域：在过去的一年中，這些地區監測到的攻擊次數最多，報告的數據丟失量最大，洩露的記錄分別高達 50 億條和 20 億條。

該報告使用了 IBM 在 2019 年期間收集的數據，發佈關於全球威脅領域的深層洞察，告知安全專家與他們的企業最相關的威脅。要下載 2020 年 IBM X-Force 威脅情報指數報告的副本，請瀏覽：https://ibm.biz/BdqXMS

登記收看 2020 年 IBM X-Force 威脅情報指數網絡研討會：https://ibm.biz/BdqExS