近日网络安全研究人员编制了一份勒索软件漏洞利用列表,其中列出了勒索软件团伙入侵受害者网络并初始访问权限时,最常用的漏洞清单(下图)。
该列表由RecordedFuture的CSIRT(计算机安全事件响应小组)的成员AllanLiska发起,在其他几位贡献者的帮助下,该列表迅速增长,目前已经包括在来自十多个不同软件和硬件供应商的产品中发现的安全漏洞。
该列表以图表的形式出现,为防御者提供了一个起点,以保护其网络基础设施免受传入的勒索软件攻击。
01
年勒索软件组织主要针对的漏洞
仅在今年,勒索软件组织和附属机构就在他们的武器库中添加了多个漏洞利用程序,以积极利用目标漏洞。
例如,本周,一些未公开数量的勒索软件即服务附属组织已开始针对最近修补的WindowsMSHTML漏洞(CVE--)的RCE漏洞。
9月初,Conti勒索软件也开始针对MicrosoftExchange服务器,利用ProxyShell漏洞(CVE--、CVE--、CVE--)破坏企业网络。
8月,LockFile开始利用PetitPotamNTLM中继攻击方法(CVE--)接管全球的Windows域,Magniber开始利用PrintNightmare漏洞(CVE--),而eCh0raix也被发现开始针对QNAP和SynologyNAS设备(CVE--)。
HelloKitty勒索软件在7月针对易受攻击的SonicWall设备(CVE--),而REvil破坏了Kaseya的网络(CVE--、CVE--和CVE--)并进一步攻击了大约60个MSPVSA服务器和个下游业务客户。
正如Mandiant在6月报道的那样,FiveHands勒索软件正忙于利用CVE--SonicWall漏洞,然后于年2月下旬修补。
QNAP还警告说,AgeLocker勒索软件在4月份使用过时固件中的未公开漏洞对NAS设备进行攻击,就像大规模的Qlocker勒索软件活动针对未针对硬编码凭据漏洞(CVE--)修补的QNAP设备一样。
同月,在FBI和CISA联合警告威胁行为者正在扫描易受攻击的Fortinet设备后,Cring勒索软件开始加密工业部门公司网络上未打补丁的FortinetVPN设备(CVE--)。
3月,全球MicrosoftExchange服务器遭到BlackKingdom和DearCry勒索软件的攻击,这是针对ProxyLogon漏洞(CVE--、CVE--、CVE--、CVE--)。
最后,年12月至年1月Clop勒索软件团伙攻击Accellion服务器(CVE--、CVE--、CVE--、CVE--)后,直接拉高了今年前三个月的平均勒索赎金的价格。
02
如何对抗不断升级的勒索软件威胁?
除了Liska和他的贡献者正在做的抵御勒索软件攻击的工作,其他组织也在纷纷行动,例如:
上个月,作为联合网络防御协作(JCDC)合作伙伴关系的一部分,微软、谷歌云、亚马逊网络服务、ATT、Crowdstrike、FireEyeMandiant、Lumen、PaloAltoNetworks和Verizon加入了CISA,专注于保护关键基础设施免受勒索软件的侵害和其他网络威胁。
美国联邦机构还在6月发布了一种新的勒索软件自我评估安全审计工具CEST(
