X
广告
首页 > 传媒 > 关键词  > 安全漏洞最新资讯  > 正文

IBM X-Force:2019年被盗凭证和安全漏洞成为犯罪分子攻击企业的武器

2020-02-13 17:00 · 稿源: 厂商

2019数据泄露量同比增长200%,消费科技品牌陷入网络钓鱼攻击旋涡;配置错误是 85% 以上攻击的主因;银行木马程序和勒索软件沆瀣一气

近日,IBM (NYSE: IBM) Security发布了 2020 年 IBM X-Force 威胁情报指数报告。报告重点阐述了数十年来犯罪技术经历了怎样的演变,在此期间网络犯罪技术非法访问了数百亿条企业记录和个人记录,并利用了数十万个软件缺陷。报告显示,在首次遭受攻击的受害者中,有 60% 是源于过往被盗凭证或已知软件漏洞,攻击者无需大费周章实施诈骗就能获得访问权限。

IBM X-Force 威胁情报指数报告重点介绍了促成这一演变的因素,包括最主要的三大初始攻击媒介:

- 网络钓鱼是一种成功概率较高的初始入侵媒介,占被监测事件的近 1/3,而 2018 年,这一比例更是高达一半。

- 漏洞的扫描和利用占被监测事件的 30%,而2018 年的占比仅为 8%。事实上在2019 年,年代久远的已知 Microsoft Office 和 Windows Server Message Block 的漏洞被利用率依然很高。

- 过往被盗凭证也逐渐成为首选“突破口”,占全年被监测事件的 29%。报告指出,仅 2019 年泄露的记录就超过 85 亿条 — 报告的数据泄露量同比增长 200%,被盗凭证数量随之增加,这为网络犯罪分子带来了可乘之机。

“我们发现,被泄露的记录数量众多,这意味着网络犯罪分子掌握的信息量越来越大,如同手握进入我们住宅和企业的钥匙一般。攻击者不用花时间设计复杂方案来入侵企业,只需利用已知实体即可发起攻击,比如使用被盗凭证登录。”IBM X-Force 威胁情报部门副总裁 Wendi Whitmore 表示。“要保障企业网络永续安全和确保用户数据的安全和隐私性,采用多因子认证、单点登录等保护措施至关重要。”

IBM X-Force 在 130 多个国家或地区每天监测到了 700 亿起安全事件,并根据对这些事件的洞察和观察开展了分析。此外,还从多个来源收集数据并开展分析,包括 X-Force IRIS、X-Force Red、IBM Managed Security Services 及公开披露的数据泄露信息。同时,IBM X-Force 每天在全世界运行数千个垃圾邮件陷阱,监控数千万个垃圾邮件和钓鱼攻击,同时分析数十亿个网页和图像,以检测欺诈活动和品牌滥用情况。

报告揭示的部分要点如下:

- 配置十分关键— IBM 分析发现,在 2019 年报告的超过 85 亿条泄露记录中,有 70 亿条记录(占总数的 85% 以上)源于云服务器配置错误及其他系统配置不当。这与 2018 年的情况截然不同,当时此类记录所占的比例还不及总数的一半。

- 银行业备受勒索软件困扰— 今年的报告显示,一些极为活跃的银行木马程序(如 TrickBot)为全面勒索软件攻击搭建了舞台。事实上,与报告中讨论的其他恶意软件变体相比,银行木马程序和恶意软件使用的新奇代码位居榜首。

- 网络钓鱼滥用科技信任— IBM X-Force 的报告发现,技术、社交网络和内容流媒体家喻户晓的品牌进入了网络攻击者在实施网络钓鱼时争相模仿的“十大”被仿冒品牌行列。这一转变似乎表明,人们对于技术提供商的信任度越来越高,超越过去信赖的零售和金融品牌。攻击中冒用的主要品牌包括 Google、YouTube和Apple。

勒索软件攻击不断演变

报告揭示了全球公私领域的勒索软件攻击趋势。据报告显示, 2019 年勒索软件活动呈上升趋势。IBM X-Force面向全球 13 个不同行业部署恶意软件事件响应团队,用实际行动再次印证此类攻击与行业并不存在关联。

IBM X-Force 发现,去年,有 100 家美国政府实体遭受勒索软件攻击,零售业、制造业和运输业同样遭到巨大冲击 — 这些行业要么持有大量具有盈利价值的数据,要么依赖过时技术运转,因而导致安全漏洞肆意蔓延。实际上,在监测到的勒索软件攻击中,80%的攻击者利用Windows Server Message Block漏洞,即WannaCry传播战术。 2017 年,WannaCry攻击曾使 150 个国家或地区的企业遭受重创。

2019 年,勒索软件攻击造成的经济损失超过 75 亿美元,犯罪分子敛取了巨额财富,他们在 2020 年绝不会就此偃旗息鼓。通过与Intezer的合作,IBM 报告称,45% 的银行木马程序和 36% 的勒索软件中发现了新的恶意软件代码。这表明,攻击者正在积极开发新的代码,继续大力规避监测。

IBM X-Force还发现,勒索软件与银行木马程序存在着紧密的联系,银行木马程序常被用来为有针对性、高风险的勒索软件攻击开路,从而丰富了勒索软件的部署模式。例如,报告称TrickBot是目前最活跃的金融恶意软件,涉嫌在企业网络中部署了Ryuk,同时很多银行木马程序(如QakBot、GootKit和Dridex)衍生出了大量不同的勒索软件变体。

在网络钓鱼攻击中,犯罪分子冒充科技企业和社交媒体企业

随着消费者对网络钓鱼电子邮件的了解日渐深入,网络钓鱼攻击手段的针对性越来越强。通过与 Quad9 的合作,IBM 发现网络钓鱼活动出现了冒用趋势:攻击者利用诱人的链接冒充消费技术品牌 — 通过科技、社交媒体和内容流媒体企业,诱导用户点击网络钓鱼攻击活动提供的恶意链接。

在公认的十大被仿冒品牌中,Google和YouTube域名的被仿冒比例占近 60%,同时Apple(15%)和 Amazon(12%)域名也常被攻击者用于窃取具有盈利价值的用户数据。IBM X-Force 评论称,这些品牌之所以成为被仿冒目标,是因为它们掌握着大量具有盈利价值的数据。

Facebook、Instagram 和 Netflix 同样跻身十大被仿冒品牌行列,只不过被仿冒比例低得多。原因可能在于,这些服务通常并不直接掌握具有盈利价值的数据。由于攻击者常常重用凭证来访问帐户,力求攫取更多的利益,IBM X-Force表示频繁重用密码可能是导致这些品牌成为攻击目标的潜在原因。事实上,IBM 未来身份研究发现,41% 的千禧一代多次重复使用同一密码,而 Z 世代平均仅使用五个密码,种种迹象表明重用率较高。

识别欺骗性域名可能极为困难,攻击者笃定用户无法正确识别。报告中列出的十大被仿冒品牌总计拥有近百亿个帐户,这对攻击者来说意味着巨大的目标池,而毫无戒备的用户点击看似无害的被仿冒品牌链接的概率也会随之增加。

报告还有另外一些主要发现,包括:

- 零售业在攻击目标行业中的排名回升:在今年的报告中,零售业在攻击最严重的行业排名中跃升至第二位,与排名首位的金融业十分接近。金融业已连续四年蝉联榜首。Magecart攻击是零售业面临的最严重的攻击之一, 2019 年夏季有 80 个电子商务网站报告因此受到影响。网络犯罪分子似乎将目光转向消费者 PII、支付卡数据乃至高价值的会员计划信息。据IBM事件响应计划洞察显示,广大零售商还遭受了大规模勒索软件攻击。

- 工业控制系统 (ICS) 和运营技术 (OT) 攻击激增: 2019 年,ICS和OT基础架构攻击较前三年有所增加,与上一年同期相比增长2000%。监测结果显示,大多数攻击既利用已知SCADA和ICS硬件漏洞,又实施密码喷洒技术。

- 北美和亚洲是遭受攻击最严重的区域:在过去的一年中,这些地区监测到的攻击次数最多,报告的数据丢失量最大,泄露的记录分别高达 50 亿条和 20 亿条。

该报告使用了IBM在 2019 年期间收集的数据,发布关于全球威胁领域的深层洞察,告知安全专家与他们的企业最相关的威胁。要下载2020 年IBM X-Force威胁情报指数报告的副本,请访问IBM官网

注册参加 2020 年 IBM X-Force 威胁情报指数网络研讨会(北美东部时间 2020 年 2 月 18 日,星期二,上午 11:00)

关于 IBM Security

IBM Security 打造世界领先的集成式企业安全系列产品和服务。系列产品由享誉世界的 IBM X-Force® 研究团队支持,帮助企业高效管理风险,无惧突发威胁。IBM 运营着全球最广泛的安全研究、部署和交付机构之一,客户遍布全球,每天为全球超过 130 个国家或地区监控 700 亿个安全事件,在全球范围已获得超过 10,000 项安全专利。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 苹果仍在调查iOS15中未修复的安全漏洞

    据外媒appleinsider报道称,苹果公司回应了一名安全研究人员,该研究人员声称苹果公司忽略了他的几份漏洞报告,并表示它仍在调查这些问题。

  • 苹果“仍在调查”iOS 15中未修补的三个安全漏洞

    9 月初,安全研究员 Denis Tokarev 撰写了一篇博文,其中无奈地吐槽了与苹果漏洞赏金计划的一些互动。事情源于通过 Bug Nounty Program 向苹果提交的四个安全漏洞,然而等待许久之后,他发现只有一个得到了修复。最新消息是,苹果已就此事给出了回应,声称其“仍在调查”相关问题。Tokarev 在接受 Motherboard 采访时称,在早前推出的 iOS 15 更新中,其它三个漏洞未能得到及时修复。现在,苹果方面已就延迟沟通致歉,并补充说明该

  • Apple Pay被爆安全漏洞 可绕过锁屏进行欺诈性支付

    英国的一个研究小组近日发现了和 Visa 卡和 Apple Pay 相关的安全问题,可能导致攻击者绕过锁屏并进行欺诈性支付。根据该研究,当 Visa 卡在 iPhone 上被设置为苹果的 Express Transit 模式时,该缺陷可能允许攻击者绕过 iPhone 锁屏,在没有密码的情况下进行非接触式支付。苹果的 Express Transit 模式允许用户在不解锁设备的情况下,使用信用卡、借记卡或交通卡快速支付交通费用。研究人员说,该漏洞只影响存储在 Wallet 应用中?

  • 研究人员称苹果忽略了iOS15中仍然存在的三个零日安全漏洞

    2019年,苹果向公众开放了其安全赏金计划,向与苹果共享关键iOS、iPadOS、macOS、tvOS 或 watchOS 安全漏洞的研究人员提供高达100万美元的奖金,包括用于利用它们的技术。该计划旨在帮助苹果尽可能保证其软件平台的安全。

  • 最新的Chrome和Edge稳定版双双修复了关键的内存UAF安全漏洞

    微软和Google都发布了新的稳定通道版本,修补了一个基于Chromium的Use-After-Free(UAF)的关键漏洞,该漏洞可能允许攻击者在成功利用后执行任意代码。Edge的版本是94.0.992.31,而Google浏览器的版本是94.0.4606.61。新的构建版本是基于Chromium版本94.0.4606.54。

  • AirTag“丢失模式”存安全漏洞:能引导用户跳转到恶意/钓鱼网站

    根据 KrebsOnSecurity 分享的一份最新安全报告,苹果允许任何智能手机用户扫描丢失的 AirTag 以定位所有者的联系信息,该功能可能被滥用于网络钓鱼诈骗。当一个 AirTag 被设置为丢失模式时,它会生成一个 URL“https://found.apple.com”,它让 AirTag 所有者输入联系电话或电子邮件地址。任何扫描该 AirTag 的人都会被自动引导到有主人联系信息的 URL,查看所提供的联系信息不需要登录或个人信息。据 KrebsOnSecurity 称,丢失模?

  • 美媒合规披露教职网站安全漏洞 却遭密苏里州长法律威胁

    在媒体记者发现并负责任地披露了安全漏洞之后,密苏里州州长 Mike Parson 却威胁要对其采取法律行动。《圣路易斯邮报》指出,该漏洞使得教师教育工作者的社保号码暴露无遗且易于访问,于是他们很快向有关部门进行了通报。视频截图(来自:KMBC 9)遗憾的是,尽管该报一直等到处于危险状态的 HTML 页面被官方撤下才刊登相关文章,Mike Parson 还是无理地将报道记者称作“黑客”,甚至要求县检察官对其发起调查。由该报(Post-Dispat

  • 研究人员怒斥苹果:长期无视iOS 15中三个重大漏洞

    2019年,苹果向公众开放了安全赏金计划,以鼓励研究人员向官方提交影响 iOS、iPadOS、macOS、tvOS 或 watchOS 的安全漏洞。通过高达百万美元的奖金,苹果希望此举能够确保自家软件平台的安全性。即便如此,还是有不少安全研究人员吐槽官方执行不力,长期漠视iOS 15中仍然存在的三个零日漏洞。Kosta Eleftheriou 在一篇博客文章中指出:这位不愿透露姓名的安全研究人员称,他们在今年 3~5 月期间向苹果上报了四个零日漏洞。但除了已

  • 账号租售成为了防沉迷的漏洞

    ​10月19日,腾讯游戏对外披露,在“腾讯守护者计划”安全团队的协助下,南京建邺警方近日在江苏、河南、安徽、湖南等地捣毁了多个通过非法买卖个人信息进行游戏账号非法租赁的犯罪团伙,涉案人数达40多人,平台涉案金额超过百万元。

  • 研究人员怒斥苹果长期漠视iOS 15中仍然存在的三个零日漏洞

    2019年,苹果向公众开放了安全赏金计划,以鼓励研究人员向官方提交影响 iOS、iPadOS、macOS、tvOS 或 watchOS 的安全漏洞。通过高达百万美元的奖金,苹果希望此举能够确保自家软件平台的安全性。即便如此,还是有不少安全研究人员吐槽官方执行不力,比如近日 illusionofchaos 分享的一段“让人感到沮丧”的经历。

这篇文章对你有价值吗?

  • 热门标签