Mandiant：2023 年攻击者停留时间减少，勒索软件增加

与其他网络安全公司一样，Mandiant 观察到 2023 年勒索软件活动有所增加。去年涉及勒索软件的调查上升至 23%，而 2022 年为 18%。“这使勒索软件相关入侵的百分比回到了 2021 年的水平，”报告写道。

许多网络安全供应商观察到 2022 年勒索软件活动有所下降，专家普遍将暂时下降归因于俄罗斯入侵乌克兰以及制裁和取缔行动等执法行动等因素。

除了攻击数量略有增加之外，Mandiant 还报告称，识别涉及勒索软件的入侵比识别不涉及勒索软件的攻击需要更长的时间。 该公司指出，在 70% 的勒索软件入侵中，目标组织是由外部各方通知的，主要来自攻击者的赎金要求。

然而，Mandiant 也报告了一些积极的趋势。 报告称：“当内部来源发出通知时，涉及勒索软件的入侵在 6 天内就被检测到，而 2022 年则需要 12 天。” “2023 年，防御者会在 5 天内收到来自外部方的与勒索软件相关的入侵通知，比 2022 年观察到的情况快了两天。”

谷歌云 Mandiant Intelligence 高级经理 Nick Richard 表示，勒索软件攻击者不一定会改进他们的规避技术。 但他们正试图加快进攻速度，以领先于防守者。

“勒索软件相关入侵的流行率在 2023 年增加了 5%，再加上全球勒索软件的停留时间从 9 天变为 5 天，这可能更表明攻击者由于风险增加而试图加快勒索执行时间Mandiant 观察到所有调查类型和通知来源的停留时间都有所改善，”他告诉 TechTarget 编辑。

尽管数据令人鼓舞，Mandiant 警告说，各种类型的威胁行为者都更加关注规避技术，主要是通过利用零日漏洞。 “2023 年，当识别出最初的入侵向量时，有 38% 的时间发现了漏洞利用。Mandiant 继续观察到网络间谍活动和出于经济动机的攻击者利用零日漏洞进行操作。”

Mandiant 表示，2023 年最流行的零日漏洞是 CVE-2023-34362，这是 Progress Software 的 MoveIt Transfer 托管文件传输产品中的一个关键漏洞。 Emsisoft 估计，此次攻击影响了 2,000 多名 MoveIt Transfer 客户。

尽管中国网络间谍组织在 2023 年利用了最多的零日漏洞，但 Mandiant 警告称，此类威胁“不再是仅限于民族国家行为者的小众能力”。 “勒索软件和数据盗窃勒索团体对零日漏洞利用的兴起、国家资助的持续利用以及可从商业监控供应商处购买的交钥匙或现成功能的增长将继续推动零日漏洞的识别天的漏洞和针对它们的利用，”报告称。

除了零日漏洞之外，“M-Trends 2024 特别报告”指出，攻击者还采用其他方法来逃避检测，例如“陆上战术”。 其中涉及威胁行为者在目标环境中使用合法产品和现有工具进行横向移动并获取敏感数据的访问权限。

Richard 指出，过去三年来，威胁行为者已不再使用 Cobalt Strike Beacon 等流行后门。 他说：“这可能与攻击者从明确的恶意软件使用转向利用内存驻留恶意软件、滥用第三方远程管理工具以及采用更多的陆上技术有关，这些技术通常会让攻击者更成功地逃避端点安全技术。” 。

此外，攻击者越来越多地瞄准边缘网络设备和其他可能不受检测和响应产品保护的技术。 Mandiant 还警告称，通过 MFA 绕过攻击而遭到破坏的云身份数量有所增加。 “最值得注意的是越来越多地采用网络代理或中间对手网络钓鱼页面，这些页面能够通过窃取敏感的登录会话令牌来使大多数 MFA 实现失效。”

Rob Wright 是 TechTargetEditorial 安全团队的资深记者和高级新闻总监。 他推动重大信息安全新闻和趋势报道。 有小费吗？ 给他发电子邮件。