一年前,一切都变了,大部分人的生活完全转移到网上。事实上,不仅人们的生活和工作方式发生了变化,网络攻击者利用网络发起攻击的方法和策略也发生了变化。
从目前的发展态势来看,生活要恢复正常还有很长的路要走,而且一些变化态势,比如远程工作,看起来会一直会存在下去,随着这些变化而出现的新的网络威胁也是如此。
日前卡巴斯基专家回顾了自大流行开始以来,威胁格局是如何演变的,以及这对用户未来几年的安全防御意味着什么。
从有针对性的攻击到利用所有与新冠病毒相关的主题、垃圾邮件和网络钓鱼的最大趋势
网络钓鱼仍然是最有效的攻击类型之一,因为它利用用户的情绪、特别是他们的恐惧和焦虑。随着前两者的流行,网络钓鱼攻击被证明是网络攻击者非常有利可图的攻击媒介。
2020年,攻击者发起了各种各样的骗局,从各个角度利用了新冠疫情的主题,从广告、供不应求的口罩到政府的特殊退款。
在上述一封钓鱼邮件中,可以看到伪造的口罩购买登陆页面,提示用户输入他们的付款详细信息
攻击者经常模仿疾病预防控制中心和世界卫生组织等流行病界的主要权威人物,以新冠疫情为主题来发送一些电子邮件,利用这种钓鱼邮件,增加用户点击恶意链接的机会。一旦点击,用户最终可能会无意中被各种木马(各种恶意文件允许网络攻击者执行一切操作,比如从删除和阻止数据到破坏计算机性能)和蠕虫(具有一定功能的文件)攻击,之后攻击者就会在其计算机上下载一系列恶意程序,窃取受害者设备上的隐私数据,更有甚者,会进行勒索攻击。当然,在其他攻击场景,例如那些涉及口罩广告的情况,主要目标是窃取金钱或收集用户信息。
一封来自疾控中心的邮件,声称有关于新冠疫情的紧急更新
令人惊讶的是,被利用的最常见主题之一为“延迟交货”。攻击者发起攻击的手段通常是发送各种伪造的商业订单,攻击者利用新冠疫情期间物流的不确定性诱骗用户点击信息,下载恶意程序。他们会发送电子邮件,声称由于新冠疫情,交货时间需要不断被延迟,为了重新配送,必须要用户重新提交新的交货信息才能重新邮寄。但是,点击附件后,用户下载的却是各种恶意程序和木马。
一封网络钓鱼电子邮件,声称快递已被延迟且其中包含恶意附件
实际上,在2020年,快递服务已成为网络钓鱼的重灾区。
远程工作是网络攻击兴起的重要原因
由于许多公司在没有得到通知的情况下被迫关门,很少有公司有时间采取适当的安全措施。其结果是,随着员工开始从个人设备和不安全的网络上登录公司资源,许多公司变得容易受到攻击。其中最重要的攻击有,针对RDP协议的暴力攻击,RDP协议是微软的专有协议,使用户能够访问Windows工作站或服务器。 目前,RDP协议是公司使用的最流行的远程访问协议之一,使其成为攻击者的最爱目标。在暴力攻击中,攻击者通过尝试不同的组合来随机猜测RDP连接的用户名和密码,直到他们猜出正确的组合,从而获得对机密公司资源的访问权。
2020年春天,全球范围内针对RDP协议的暴力攻击数量都在飙升。
针对RDP协议的暴力攻击次数
如图所示,一旦封城消息被被宣布,暴力破解的RDP攻击数量就会急剧增加——从2月份的9310万起,到3月份的277.4亿起,增长了197%。虽然攻击的次数随着新冠疫情的继续而有所减少,但袭击的次数并没有回到大流行病前的水平。事实上,在冬季宣布新的封城措施后,RDP攻击再次呈现上升趋势。在2021年2月,发生了3.775亿起暴力袭击事件,与2020年初的9310万起相比简直是天上地下。
网络社交平台也成了热门攻击目标
随着社交的物理隔绝,对网络社交的需求达到了前所未有的水平。从Facebook到Netflix再到YouTube,大公司都被迫降低视频质量以满足需求。所有这些额外的用户意味着大量新的犯罪目标。截至2020年5月,卡巴斯基网络杀毒软件平均每天拦截的攻击次数增加了25%。事实上,网络攻击的数量在2020年夏天出现下降后,在12月达到了新的高峰,当时世界大部分地区正面临第二波疫情。
2020年3月至2021年2月被卡巴斯基网络杀毒软件拦截的网络攻击数量
用户在网上花费的大部分时间都用于虚拟会议和协作,这就是为什么Zoom和Teams等会议和聊天应用成为传播恶意程序的热门目标。
在检查了包括Zoom,Webex和MS Teams在内的流行会议和视频会议应用程序之后,卡巴斯基的研究人员注意到,越来越多的恶意文件以这些应用程序的名称为幌子进行传播。
以流行的会议应用(Webex,Zoom,MS Teams,HighFive,Lifesize,Join.me,Slack,Flock和Gotomeeting)为幌子传播的恶意文件数量
在今年1月,研究人员共检测到了115万个此类文件,这是自新冠疫情以来的最高数量。这些文件通常伪装成看似合法的应用程序安装程序来发起攻击,它们通常通过以下方式进行传播:伪装成平台通知或特殊优惠的网络钓鱼邮件或网络钓鱼网页来诱骗用户下载。
总结
随着人们的生活变得越来越数字化,这种攻击趋势可能会持续下去。尽管新冠疫情可能已进入最后阶段,但钓鱼攻击者仍然有新的话题可以利用,例如旅行或分发疫苗的话题。用户必须以怀疑的眼光看待任何涉及新冠疫情的电子邮件或网站,这一点很重要。更重要的是,最近发生的事件表明,攻击者很会利用危机事件的话题,尽管这种流行趋势将消退,但它肯定很有被利用的价值。
许多组织已经声明就算是没有疫情,他们也将继续使远程工作成为一种常态工作模式。这意味着RDP的安全保护毫无用处,企业需要重新评估其RDP的使用并学习如何保护远程访问。
本文翻译自:https://securelist.com/covid-19-examining-the-threat-landscape-a-year-later/101154/如若转载,请注明原文地址: