2024 SpyCloud 恶意软件和勒索软件防御报告

PRESENTS THE2024 MALWAREandRANSOMWARE 辩护报告 从给你带来的公司正在与 世界上最大的 收集 到2024年，计算机已成为工作场所的核心力量。昔日的打字机、文件柜和记事本早已成为过去——取而代之的是，每位办公室工作人员都成为了自己设备驱动的机器，在每天八小时的工作时间内通过键盘快速敲击，并疯狂点击以追求效率。 随着全球计算机使用量的激增，在现代组织中出现了一个新的角色——安全运营中心（SOC）。鉴于确保人与机器之间生产性关系的任务艰巨，SOC迅速意识到他们所面临的严峻挑战。频繁重用密码、不断增长的数字用户以及狡猾的网络犯罪分子在各个方面都对他们的组织构成了威胁。 并且随着世界和工作场所的不断发展，挑战愈发严峻——从高volume的数据泄露到隐秘的信息窃取恶意软件、被盗的会话cookies以及贪婪的勒索软件团伙。SOC部门收集他们能找到的所有工具，并与他们的同行共同努力，在自己与威胁生产力的敌人之间展开一场艰难的较量。这些敌人正在眼前变化莫测并迅速增多。 够了吗？ 2 MENU 状态 2024年SPYCLOUDMALWARE和RANSOMWARE防御报告 这份报告描述了当今面临的恶意软件和勒索软件挑战的状态。这些障碍、敌人的力量与狡猾。同时也介绍了为了增强组织防御所取得的进步。 胜利。 希望。 勒索软件战是一场艰难的战斗-但不是一场失败的战斗。 对于所有的人来说，这份报告是给你的。 3 2024年SPYCLOUDMALWARE和RANSOMWARE防御报告 TABLEOFCONTENTS 5 关键发现的摘要 MALWARE&RANSOMWARERESUGENCE 7 我们为什么要做这个报告10 关于调查11 随机旅行的黑暗开始12 不断发展的MALWARE景观：在哪里增加了情绪14 //隐秘窃贼活跃//恶意软件感染remediation实践：远未致命打击//第三方暴露风险：15 对手额外优势 19 20 随机景观：无限游戏的土地22 //数据，财务打击//您防御的裂缝：常见的攻击入口点//下一代对决：ra25 nsomware防御现状 27 28 进入光明：英雄的旅程30 //BOOSTINGTEAMPLAY31 //重新评估前方战斗的优先级33 寻找地平线：如何在长期游戏中击败网络罪犯34 2024年SPYCLOUDMALWARE和RANSOMWARE防御报告 4 关键发现的摘要 每年，提升勒索软件预防能力都是组织近期的top优先事项之一。即使采取了集中努力，勒索软件威胁的风险仍然很高—— 调查受访者将勒索软件列为八类中最大的威胁。调查数据验证了安全团队的担忧，并75%的组织报告受到影响1通过勒索软件不止一次在过去的12个月里-从去年的61%跃升。 将近100%的受访组织担心身份信息、会话cookie及其他数据可能从受恶意软件感染的设备中被窃取，并被用于发动后续攻击 ，如勒索软件攻击。但有一些好消息——受访者未来12-18个月的第二大优先事项是提高对受损凭证和恶意软件泄露数据的可见性和修复措施。 对于报告在过去一年中受到勒索软件影响的组织，被盗的Cookie启用了会话 劫机排名为勒索软件尝试和成功攻击的第三个最常见入口点，遵循网络钓鱼/社交工程和第三方访问。 超过一半（57.5%）的团队报告称，他们在管理设备感染恶意软件后会常规地取消或终止相关应用程序的开放会话，这表明对日益严重的会话劫持问题的高度警觉。 Nearly所有受调查的组织都担心第三方账户因恶意软件感染而被盗用带来的风险。82%的人要么极度关注，要么显著关注fi此外，参与者将第三方访问列为勒索软件的第二常见入口点。 1在这种情况下，“受影响”是指团队分配资源来解决勒索软件尝试和/或全面攻击。 按角色和行业划分的主要发现 CIO们、CISO们及其他IT安全高管对组织预防全面勒索软件攻击的能力更加自信——91%的领导者表示一般有信心，而安全运营人员、分析师和事件响应者的比例为54%，访问和身份管理专业人士的比例为71%。同样地，领导者对组织应对恶意软件和勒索软件的能力表现出更高的信心。这种认知差异反映了在组织网络安全状况共享理解方面存在差距。 身份和访问管理（IAM）总监、经理和团队负责人是最关心恶意软件感染设备以及被篡改或感染的第三方账户所带来的风险的群体。举例来说，95%的受访者对来自受恶意软件感染设备的数据被用于更恶劣的攻击行为表示极其或显著的担忧 。,相比之下，IAM专业人士中占比分别为83%，而安全主管、经理和团队负责人中占比为83%，分析师和事件响应人员中占比为69%。此外，IAM专业人士更加关注第三方账户因恶意软件感染而被盗用对组织带来的风险，并且更有可能将被盗cookie视为最具风险的勒索软件入侵点之一。 调查来自每个行业的受访者将勒索软件视为对其组织的最大威胁。然而，只有三个行业——制造、零售和技术-在未来12至18个月内，提高勒索软件预防能力是其两个主要优先事项之一。技术与制造也表达了对受损第三方账户的最高关注。有趣的是， 零售受访者将识别由恶意软件感染暴露出来的业务应用能力列为组织的顶级能力。 检查点 MALWAREandRANSOMWARERESUGENCE. 在2022年末活动短暂下降之后，在过去的18个月里，勒索软件以复仇的方式再次出现. 就像一个拥有无尽生命的恶棍，勒索软件演员不仅拒绝放弃，他们有一个前所未有的运行... 7 2024年SPYCLOUDMALWARE和RANSOMWARE防御报告 勒索软件付款飙升超过10亿美元在2023年，攻击的体积、频率、范围以及新参与者的数量也出现了激增，从单独行动者和小型团体到拥有强大附属业务模式的PowerfulSyndicates。 总的来说，这些行为者不断在各个领域造成严重破坏。在过去的12个月中，他们： 连续几天中断了数千家汽车经销商的运营 给一家大型酒店和赌场连锁店造成了1亿美元的fi财务损失 迫使美国第九大城市关闭法庭听证会和其他服务数周 偷6TB属于尽可能多的数据的价值三分之一美国消费者的身份和健康信息，并导致了整个医疗生态系统中广泛的系统故障。 这些只是勒索软件对组织造成的破坏力量的一些例子。这种破坏所导致的损失可能是巨大的——勒索软件攻击的平均成本现在是491万美元. 勒索软件的resurgence发生在一个重大转变的同时。网络罪犯转向了下一代策略，使用信息窃取恶意软件（或“信息窃取器”）从受感染用户处盗取凭证、会话cookie和身份数据，并将这些信息出售给勒索软件运营商。 玩家提示IBM安全研究人员报告称，专门从事勒索软件的团伙使用信息窃取器的比例飙升了266%。他们还指出，“信息窃取器创新方面持续投资”的迹象。 在SpyCloud，我们持续跟踪信息窃取趋势的不断上升及其对后续攻击如勒索软件的影响。结合过去几年中数字身份泄露的同样爆炸性增长，这两种趋势正在为勒索软件犯罪创造一个完美的风暴。 以下是降低有志之士和资深玩家进入网络犯罪障碍的一些组件： SPYCLOUD研究表明 恶意软件即服务(MaaS) 这种现成的模型适用于各种恶意软件，尤其是信息窃取者，甚至能让低技能的网络犯罪分子批量窃取新鲜且准确的身份数据，包括登录凭证、会话cookies和设备详情——基本上所需的一切来冒充身份。 身份暴露的大规模规模引发了新的风险 由于信息窃取者而导致的身份暴露规模巨大：去年61％的漏洞与恶意软件有关 ，并导致3.4378亿个被盗凭证。 我们重新获得的数据还显示，多达五分之一的人是信息窃取者感染的受害者，每次感染平均公开10到25个以上的第三方业务应用程序凭据。 安装经纪人 也被称为广告代理、安装服务和按安装付费 （PPI）服务，这些专业人员提供一个网站网络和广告平台，以实现大规模分发恶意软件的一种经济实惠的方式。 INFOSTEALRSLeadtoFutureRANSOMWareattacks 通过深入分析重新捕获的信息窃取者日志，我们发现信息窃取恶意软件的存在与该公司在未来短期内遭受勒索软件攻击的可能性之间存在关联。 去年经历ransomware事件的公司中，近三分之一的公司在遭受攻击的前16周内至少感染了一种信息窃取器。 初始访问经纪商(IAB) 这些个人或实体出售进入组织网络的保证访问权。IABs通常从MaaS提供商处租用信息窃取工具的访问权限，然后将访问数据出售给勒索软件运营商。 抗病毒，MFA和传统防御还不够 根据我们最近的研究，对于2024年的fi前六个月，至少54%的设备在成功感染恶意软件时已安装有反病毒或EDR解决方案且受感染于信息窃取型恶意软件 。.2 随机作为服务(RaaS) 在有信息窃取工具和会话劫持的情况下，传统的解决方案如抗病毒软件和多因素认证（MFA）并不能保证你完全安全。 这种广泛可用的商业模式提供了对运营商成熟工具和战术的访问权限——包括一切必要的内容以发起勒索软件攻击，甚至还附带了支持服务和教程——只需订阅费用或勒索支付的百分比即可。 当前的勒索软件防御措施是否能够跟上网络犯罪分子创新的步伐、战术和规模？这是我们试图揭开的问题。 254%可能偏低，因为并非所有信息窃取工具收集足够的数据来确定是否安装并运行了防病毒/端点检测与响应（EDR 9）解决方案。 MENU 检查点 我们为什么要做这个报告 这份报告中显示勒索软件的普遍性和影响的数字仅讲述了故事的一部分。每个组织都应该关注的发展发生在网络安全世界之外，在犯罪地下世界的深处。这个隐藏且sprawling的生态系统孕育着越来越多的专业化产品和服务。 网络犯罪支持。 标准化和专业化曾经临时性的活动是数字身份成为主要攻击向量的一个ContributingFactor。随着身份数据——从受恶意软件感染的用户设备中泄露出来——落入日益增多的非专业网络犯罪分子手中，他们可以劫持用户会话、发起账户接管（AccountTakeover,ATO）并获得能够发起勒索软件攻击的访问权限。 我们进行这项调查是因为我们的使命是打破网络犯罪的循环，而当前的网络犯罪问题非常严重。 10 2024年SPYCLOUDMALWARE和RANSOMWARE防御报告 调查方法：我们如何收集本报告的数据 对于这份年度报告，我们在美国和英国对至少拥有500名员工的企业中活跃从事网络安全工作的510名个人进行了调查 。 如你所见，我们问他们： 他们最担心的恶意软件和勒索软件，以及当前的防御实践现实生活中勒索软件事件的常见切入点 过去12个月勒索软件攻击对其组织的影响，包括赎金，数据恢复和累积响应成本 关键勒索软件预防策略和未来的安全优先事项 调研受访者的职业角色涵盖从网络安全分析师到首席安全执行官不等。约三分之一的参与者来自实践岗位，其余则来自非领导岗位。（图1). 按角色调查参与者 38% CIO、CISO或IT安全执行人员 1% 29% 6% 5% 5% 安全总监、经理或团队负责人 16% 16% 身份和访问管理(IAM)董事，经理或专家 38% 6% 安全建筑师或工程师 29% 5% 安全操作员、分析师或事件响应者 5% 安全管理员 图1. 1%IT安全中的其他作用 调查组织的规模从拥有500至999名员工的小型企业，到拥有1,000至9,999名员工的中型企业，再到拥有10,000名或更多员工的大型企业。中型企业是最大的两个群体：43%的企业拥有1,000至4,999名员工，26%的企业拥有5,000至9 ,999名员工。拥有10,000名及以上员工的大型企业占受访企业的总比例为15%。（图2). 按组织规模调查参与者 16% 500-999名员工 43% 16% 1,000-4,999名员工 7% 8% 26% 5,000-9,999名员工 43% 8% 10,00