Sophos 發表 2022 年威脅報告：勒索軟體如黑洞般的引力吸引了其他網路威脅，創造出一個龐大且互連的勒索軟體遞送系統

Sophos 是新一代網路安全的全球領導者，今日發布《Sophos 2022 年威脅報告》，揭露勒索軟體如黑洞般的引力如何將其他網路威脅吸入一個龐大且互連的勒索軟體遞送系統，對 IT 安全極具威脅。該報告由 SophosLabs 安全研究人員、Sophos Managed Threat Response 威脅捕獵人員和快速回應人員，以及 Sophos AI 團隊共同撰寫，針對企業在 2022 年面臨的安全威脅和趨勢提供獨特的多元視角。

《Sophos 2022 年威脅報告》分析出以下主要趨勢：

1. 在接下來的一年裡，勒索軟體的形勢將變得更加模組化和一致，會由攻擊「專家」提供「攻擊即服務」的不同組件，以及包含工具和技術在內的劇本，使不同的攻擊者團體能夠發動非常類似的攻擊。據 Sophos 研究人員研究，2021 年間由個別勒索軟體團體發動的攻擊比蓬勃發展的勒索軟體即服務 (RaaS) 產品少，專業的勒索軟體開發者大多向第三方相關組織租用惡意程式碼和基礎架構。本年度一些最引人注目的勒索軟體攻擊都和 RaaS 有關，包括 DarkSide 相關組織對美國燃油運輸公司 Colonial Pipeline 的攻擊。Conti 勒索軟體的相關組織外流了一份內部的實作指南，讓我們得知攻擊者會用於部署勒索軟體的階段性工具和技術。 

一旦他們取得所需的惡意軟體，RaaS 相關組織和其他勒索軟體營運者就會開始接觸初始存取代理 (IAB) 和惡意軟體遞送平台來尋找和瞄準潛在的受害者。這將導出 Sophos 預期的第二個大趨勢。

2. 現存的網路威脅將不斷適應環境以分發和遞送勒索軟體。包括載入程式、植入程式和其他商用惡意軟體；越來越先進並以人工操作的初始存取代理；垃圾郵件，以及廣告軟體。2021 年，Sophos 揭露了 Gootloader 使用的新型混合式攻擊，這些攻擊結合大規模活動與精細篩選的能力，可找出特定惡意軟體套件的目標。

3. 勒索軟體攻擊者使用多種形式的敲詐來迫使受害者支付贖金，Sophos 預期勒索的範圍和強度將繼續增加。在 2021 年，Sophos 事件回應人員歸類出 10 種不同類型的施壓手法，包含資料竊取與外洩、威脅電話，到分散式阻斷服務 (DDoS) 攻擊等。

4. 加密貨幣將繼續助長勒索軟體和惡意加密挖礦等網路犯罪，Sophos 預期這一趨勢將會持續，直到全球加密貨幣得到更好的監管。2021 年，Sophos 研究人員發現了如 Lemon Duck 和不太常見的 MrbMiner 等加密挖礦程式，它們利用最新被發現的弱點取得權限，鎖定已被勒索軟體營運者入侵的目標並在電腦和伺服器上安裝加密挖礦程式。 

Sophos 首席研究科學家 Chester Wisniewski 表示：「勒索軟體因其適應和創新能力而蓬勃發展。例如，雖然 RaaS 產品並非首見，但在前幾年，它們的用途主要是讓技術能力較低或資金不足的攻擊者能夠使用勒索軟體。不過這種情況已經改變了。在 2021 年，RaaS 開發者投入更多時間和精力來產生複雜的程式碼，並試圖找出方法來盡力從受害者、保險公司和談判者取得最多的贖金。他們將尋找受害者、安裝和執行惡意軟體，以及清洗被盜加密貨幣的工作轉移給其他角色。這一點正在改變網路威脅形勢。在勒索軟體出現之前就已經存在並造成破壞的常見威脅，如載入程式、植入程式和初始存取代理等，正被勒索軟體這個可以吞沒一切的『黑洞』所吸引。 

「對於企業來說，只靠安全監控工具，認為它們可以運作就認為自己安全無虞，已經不夠了。某些偵測甚至是警示，只是相當於小偷從後窗爬進來時打破了花瓶一般。防禦人員必須調查所有警示，即使是過去認為微不足道的警示，因為這些常見的入侵已經發展成為控制整個網路時使用的立足點。」

Sophos 分析的其他趨勢包括：

• 在 ProxyLogon 和 ProxyShell 漏洞在 2021 年被發現 (並修補) 之後，攻擊者利用它們的速度是如此之快，因此 Sophos 預期還會看到熟練的攻擊者和一般網路犯罪分子大規模濫用 IT 管理工具和可利用的網際網路服務  

• Sophos 還預期網路犯罪分子會更常濫用攻擊者模擬工具，例如 Cobalt Strike Beacons、mimikatz 和 PowerSploit。防禦人員應檢查與被濫用的合法工具或工具組有關的每個警示，就像檢查惡意偵測結果一樣，因為它們可能代表著網路中存在入侵者

• 2021 年，Sophos 研究人員詳細介紹了許多針對 Linux 系統的新威脅，預計到 2022 年，人們對使用 Linux 的系統會越來越感興趣，無論是在雲端、網路和虛擬伺服器中

• 我們預期包括 Flubot 和 Joker 在內的行動威脅和社交工程詐騙將繼續出現並更多樣化，以鎖定個人和企業

• 人工智慧在網路安全中的應用比例將繼續提高並加快，因為強大的機器學習模型證明了它們在威脅偵測和警示優先排序方面的價值。然而與此同時，攻擊者亦將提高使用人工智慧的比例，在未來幾年內，從人工智慧支援的假訊息活動和社交媒體詐騙，發展到水坑攻擊的網路內容、網路釣魚電子郵件，甚至是進階的深偽影片和語音合成技術等

若要詳細了解 2021 年的威脅形勢以及其對 2022 年 IT 安全的影響，請閱讀完整的《Sophos 2022 年威脅報告》。

《Sophos 2022 年威脅報告》的其他內容：

• 詳述主要發現的影片，由 Sophos 首席研究科學家 Chester Wisniewski 介紹

• 一篇回顧重點的 SophosLabs Uncut 的文章 

• 一篇 Sophos News 的觀點，Wisniewski 將介紹勒索軟體如何搶奪地盤

• 一篇 Naked Security 的介紹文章

其他資源

• SophosLab Uncut 上取得針對不同類型威脅的策略、技術和程序 (TTP) 以及更多內容，可使用 Sophos 最新的威脅情報

• 在Sophos 新聞上找到攻擊者行為、事件報告和針對安全營運專業人員的建議

• 了解 Sophos Rapid Response 服務的更多資訊，該服務可全天候遏阻、消除和調查攻擊

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹。

關於 Sophos 

Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。