Huntress在2023年11月发布了一份关于中小企业网络威胁情况的报告,报告深入分析了2023年的网络安全威胁趋势,特别关注了中小企业(SMBs)和托管服务提供商(MSPs)所面临的风险,基于对数百万终端的监控分析,识别了关键趋势。
威胁类型与趋势:
- 传统恶意软件在入侵中的使用减少,攻击者趋向于使用“本地存活”二进制(LOLBins)和恶意脚本对象。
- 合法软件工具的使用增加,例如远程监控和管理(RMM)软件,代替定制的远程访问工具(RATs)。
- 勒索软件威胁景观多样化,多个实体在企业勒索软件事件中频繁出现。
远程访问滥用:
- 攻击者持续滥用RMM工具实现远程访问和控制系统,ScreenConnect和Atera是最常被非法使用的RMM工具。
云存储在攻击中的应用:
- 攻击者通过云存储服务逃避检测,云存储被用作攻击的传递机制或数据泄露的存放点。
凭证转储工具:
- 攻击者尝试转储凭证以便在目标网络内移动到其他端点和资源。
勒索软件供应链中的中断:
- 2023年底,Qakbot基础设施被拆除,导致网络犯罪者行为的重大变化,包括勒索软件攻击的激增。
勒索软件活动增加:
- Qakbot拆除后,勒索软件活动显著增加,小型企业和MSP因准备和网络安全基础设施水平较低而特别脆弱。
勒索软件变种与扩散:
- 2023年,勒索软件家族的多样性增加,特别是Qakbot拆除后,DarkGate、Akira、LockBit和Play等勒索软件活动的显著增加。
商业电子邮件泄露:
- 报告还讨论了商业电子邮件泄露(BEC)威胁,以及在医疗保健、工业等行业中的威胁景观。
其他潜在的新兴问题:
- 报告指出,攻击者利用云服务、凭证转储和BEC等手段,这些策略越来越复杂,难以检测。
结论:
- 报告强调,小型和中型企业面临的威胁景观独特,这些企业既脆弱又有价值,吸引了各种技能和动机的威胁行为者。
- 无论行业如何,都存在一些共同问题,如远程监控和管理(RMM)和本地存活二进制(LOLBins)的挑战。
- 报告建议,企业应采取更先进的安全措施,例如能够检测不寻常活动和行为的监控工具。
