<
>

2020年新闻稿

2020年11月27日

IB集团发布了对未来一年的网络威胁预测

全球威胁搜寻和情报公司Group-IB已发表年度报告 2020/2021高科技犯罪趋势 报告。在该报告中,该公司研究了国际网络犯罪世界在2019年下半年至2020年上半年之间的关键变化,并对来年做出了预测。勒索软件活动造成了最严重的经济损失。过去的一年-世界经济令人痛苦的时期-网络犯罪高峰。它还以销售公司网络的地下市场的兴起以及梳理市场的两倍以上的增长为标志。各个亲政府黑客组织之间的对峙使新玩家涌入现场,而一些先前已知的组织又恢复了运作。
 
Group-IB’s report 2020/2021高科技犯罪趋势 研究网络犯罪行业运营的各个方面,并预测金融行业,电信,零售,制造业和能源行业等各个部门威胁格局的变化。作者还分析了针对关键基础设施的运动,这些基础设施是全球情报服务越来越频繁的目标。
 
高科技犯罪趋势2020/2021适用于网络安全领域的风险管理和战略规划专家,以及负责数字化转型和对网络安全系统进行投资的董事会成员。该报告是战略和战术计划的实用指南,并提供分析工具,可帮助调整和调整IT主管,网络安全团队负责人,SOC分析人员和事件响应专家的公司安全系统。
 
预测和建议载于 2020-2021年高科技犯罪趋势 寻求防止财务损失和制造停机。其目的还在于帮助公司采取预防措施,以针对性地打击攻击,网络间谍活动和网络恐怖活动。
 
勒索软件瘟疫给全球造成的损失超过10亿美元
2019年底和2020年全年的特征是勒索软件攻击前所未有地激增。事实证明,私营部门公司和政府机构都无法幸免于勒索软件灾难。在报告期内, 超过500次成功的勒索软件攻击 在以上 45个国家 被报道。由于攻击者仅出于经济利益的动机,因此任何公司,无论规模和行业如何,都可能成为勒索软件攻击的受害者。同时,如果没有必要的技术工具集和数据恢复功能,勒索软件攻击不仅会导致制造中的停机时间,而且会使运营陷入停顿。勒索软件操作造成的总财务损失超过 10亿美元 ( $ 1,005,186,000 ),但根据Group-IB的保守估计,实际损失可能要高得多。受害者通常对事件保持沉默,并悄悄地支付赎金,而攻击者并不总是从受感染的网络中发布数据。
 
在恶意软件中检测到重大勒索软件“瘟疫”爆发 美国 ,约占所有已知事件的60%。美国紧随其后的是欧洲国家(主要是英国,法国和德国),它们总共构成了所有勒索软件攻击的20%。北美和南美国家(不包括美国)为10%,亚洲各州为7%。受攻击最频繁的五个行业包括制造业(94个受害者),零售业(51个受害者),国家机构(39个受害者),医疗保健(38个受害者)和建筑业(30个受害者)。
 
迷宫 魔鬼 被认为有最大的胃口:这两种菌株的操作者被认为落后于所有成功攻击的一半以上。 Ryuk,NetWalker和DoppelPaymer位居第二。
 
勒索软件大流行是由私有和公共会员计划的积极发展引发的,这些计划将勒索软件运营商和参与破坏公司网络的网络犯罪分子聚集在一起。勒索软件运营商购买访问权,然后对网络上的设备进行加密。在收到受害者的赎金后,他们根据会员计划向其伴侣支付固定的费用。获取企业网络访问权限的主要方法包括对远程访问接口(RDP,SSH,VPN)的暴力攻击,恶意软件(例如下载器)和新型僵尸网络(暴力僵尸网络)。后者用于来自大量受感染设备(包括服务器)的分布式暴力攻击。
 
在2019年末,勒索软件运营商采用了一项新技术。他们开始从受害者组织下载所有信息,然后勒索他们以勒索的方式增加了支付赎金的机会。迷宫(据称不久前就退出了游戏)开创了发布敏感数据作为勒索金钱的策略。如果受害者拒绝支付赎金,他们不仅有失去所有数据的风险,而且有泄漏的风险。 2020年6月,REvil开始拍卖被盗的数据。 
 
该报告提供了针对勒索软件攻击的建议,包括针对公司网络安全团队的技术措施和增强网络安全团队的专业知识。 
 
七个新的APT组加入了全球情报服务僵局
由各种情报部门进行的军事行动变得越来越普遍。 IB集团已经发现了一种持续的趋势,即基础设施的物理破坏正在取代间谍活动。攻击者工具包正在更新,用于攻击气隙网络的工具。核工业正成为国家赞助威胁者的第一大目标。与之前的报告期间(未观察到袭击)不同,本报告所述期间的特点是袭击了伊朗和印度的核能设施。以色列曾试图进行公然袭击,那里的威胁行动者获得了以色列某些水处理系统的使用权,并试图改变水氯含量。如果成功的话,袭击将导致水资源短缺甚至平民伤亡。由国家赞助的APT团体对电信行业并没有失去兴趣。在审查期间,至少有11个隶属于情报服务的小组将其作为目标。威胁参与者的主要目标仍然是监视电信运营商或试图破坏基础设施。威胁参与者还创造了DDoS攻击能力的新记录:每秒2.3 Tb和每秒8.09亿个数据包。 BGP劫持和路由泄漏也仍然是一个严重的问题。在过去的一年中,已经公布了九起重大案件。
 
大多数由国家赞助的威胁行为者来自中国(23个),其次是伊朗(8个APT组),朝鲜和俄罗斯(每个4个APT组),印度(3个)以及巴基斯坦和加沙(每个2个)。据报道,韩国,土耳其和越南每个国家只有一个APT组。
 
亚太 根据IB集团分析的数据,它成为了由国家赞助的威胁者最活跃的攻击区域。总共 34个活动 是在该地区开展的,来自中国,朝鲜,伊朗和巴基斯坦的APT团体最为活跃。至少 22个战役 记录在欧洲大陆,来自中国,巴基斯坦,俄罗斯和伊朗的APT团体进行了袭击。中东和非洲是 18个战役 由来自伊朗,巴基斯坦,土耳其,中国和加沙的亲政府攻击者进行。

网络安全研究人员还发现了七个以前未知的APT组,即 玳瑁 (伊朗), 鲤鱼 (中国), 东久 (韩国), 航空 (中国), 诺冲狮子 (沙特阿拉伯)以及 奇美拉 野性压力 ,其地理隶属关系仍然未知。此外,近年来仍未引起注意的六个已知团体恢复了运作。

入侵企业网络的访问量增长了四倍
受到侵害的公司网络的访问权限的销售逐年增加,并在2020年达到顶峰。但是,很难评估销售访问权限的市场规模,因为在地下论坛上发布的报价通常不包括价格,而有些交易不公开进行。尽管如此,Group-IB的监视地下论坛的技术(可以查看已删除和隐藏的帖子)帮助该公司的专家评估了在审查期间(2019年下半年至2020年上半年)出售的访问权的总市场规模: 620万美元 。 这是一个 四倍增长 与上一审查期(2018年下半年至2019年上半年)相比 160万美元。
 
出人意料的是,由国家资助的攻击者加入了网络犯罪市场的这一部分,以寻求更多收入。因此,在2020年夏季,卖方在一个地下论坛上提供了访问多个网络的权限,其中包括一些属于美国政府部门,国防承包商(空客,波音等),IT巨头和媒体公司的网络。访问上市公司的成本接近500万美元。

仅在2020年上半年,就在地下论坛上出售了277个访问公司网络的要约。卖家数量也有所增加。在此期间,有63个卖家活跃,其中有52个卖家在2020年开始出售访问权限。相比之下,在2018年全年,只有37个访问卖家处于活动状态,而在2019年,有50个卖家提供了对130个公司网络的访问权限。总体而言,公司网络访问的销售额增长了 162% 与前一时期相比(138个报价对362个报价)。在分析了访问公司网络的机会后,Group-IB专家发现了与勒索软件攻击的相关性:大多数威胁参与者提供了对美国公司的访问权(27%),而制造业是2019年受攻击最频繁的行业(10.5%)。到2020年,对国家机构网络(10.5%),教育机构(10.5%)和IT公司(9%)的访问需求很大。应当指出,访问公司网络的卖方越来越少提及公司名称,其地理位置和行业,这使得几乎不可能在不与攻击者联系的情况下识别受害者。
出售公司网络的访问权限通常只是攻击的一个阶段:获得的特权可能会同时用于启动勒索软件和窃取数据,目的是以后在地下论坛上出售或进行间谍活动。

信用卡数据被盗市场近20亿美元
回顾期内,梳理市场增长 减少116% ,来自 8.8亿美元至19亿美元。快速增长适用于文本数据(银行卡号,有效期,持有人姓名,地址,CVV)和转储(磁条数据)。出售的文字数据数量增加了 133%,从12.5张增加到2830万张 55%,从41增至6370万。卡文本数据的最高价格为150美元,转储最高价格为500美元。

转储主要是通过用特殊的特洛伊木马感染连接了POS终端的计算机,然后从随机存取存储器中收集数据而获得的。在审查期内,发现有14个用于收集转储的木马处于活动状态。网络犯罪分子寻求获取与美国银行发行的信用卡和借记卡有关的数据:这些数据占所有被盗银行卡的92%以上。印度和韩国的银行客户的银行卡数据是网络犯罪分子的第二和第三大目标。在审查期间,所有出售的银行卡转储的总价为15亿美元,而文字数据为3.617亿美元。

通过网络钓鱼网站和PC / Android银行木马,破坏电子商务网站以及使用JS嗅探器来收集文本数据。后者是过去一年窃取大量付款数据的主要工具之一。鉴于在地下论坛上转而访问各种网站和组织的趋势,JS嗅探器也变得越来越流行。

IB集团目前正在监视 96 JS嗅探器家庭。与上一报告期(该报告涵盖38个家庭)相比,该数字增长了2.5倍。在过去的一年中, 460,000银行 根据Group-IB的调查结果,使用JS嗅探器破坏了卡片。

对于拥有在线销售渠道的零售公司,在线提供商品和服务的电子商务公司以及不经意间卷入事件的银行而言,银行卡数据泄漏的威胁最为严重。非法收集银行卡数据的主要场景和受攻击最频繁的国家(美国,印度,韩国)将保持不变。由于拉丁美洲已经有成熟的黑客社区在使用特洛伊木马程序方面拥有丰富的经验,因此拉丁美洲可能成为对刷卡机越来越有吸引力的目标。

网络钓鱼增长118%
在2019年下半年至2020年上半年之间,Group-IB发现和阻止的网络钓鱼Web资源数量比上一个报告期增加了118%。分析师提到全球流行和封锁是主要原因:网络钓鱼是吸引网络犯罪的最简单方法之一,它吸引了那些失去收入的人。在线购买需求的增加为网络钓鱼者创造了有利的环境。他们迅速适应了这一趋势,并开始对以前没有太大经济吸引力的服务和单个品牌进行网络钓鱼攻击。
 
骗子也改变了他们的战术。在过去的几年中,攻击者在欺诈性网站被撤下并迅速切换到其他品牌后终止了其活动。今天,他们改为自动执行攻击,并用新页面替换被阻止的页面。  
 
自今年年初以来,高级社会工程学有所增加,即在网络钓鱼攻击中使用多阶段方案的情况。作为这种日益流行的网络钓鱼计划的一部分,威胁行为者首先将受害人放逐出去。他们与目标个人建立联系(例如通过信使),营造信任氛围,然后才将受害者引导到钓鱼页面。一次性链接被证明是过去一年的另一种网络钓鱼趋势。用户收到链接并至少单击一次之后,将无法再次获得相同的内容以收集证据。这极大地减少了网络钓鱼资源的处理过程。
 
大多数网络钓鱼页面都模仿在线服务(39.6%)。网络钓鱼者尤其从Microsoft,Netflix,Amazon,eBay,Valve Steam等用户帐户中收集登录凭据。在线服务之后是电子邮件服务提供商(15.6%),金融组织(15%),云存储系统(14.5%) ,付款服务(6.6%)和博彩公司(2.2%)。