2022X-Force威胁情报指数报告

2022报指数2022目录执行摘要 03最主要的攻击类型 07主要入侵媒介 16对运营技术和物联网的威胁 242021年的主要威胁实施者 29恶意软件发展趋势 31地理区域趋势 35行业趋势 42风险缓解建议 53关于IBMSecurity57贡献者 59IBMSecurity 2执行摘要执行摘要PAGE4PAGE4报告要点勒索软件再次占据2021X-Force修复9%Rvl-oe也将其称为Sodinokib是-Fore击的37Ryuk占比只有13%2021年勒索软件和物联网僵尸网络攻击2022年死灰复燃的可能性。CISANIST-oe在整个2021年密切跟踪网络犯罪分子如何使用网络钓MicosofAppleGoogle2121勒索软件的攻击份额17勒索软件是X-Force去年观察到的数量最多的攻击类型，但占比从前年的23%下降到去年的21%REvil（又名Sodinokibi要为37%的勒索软件17勒索软件团体改头换面或偃旗息鼓之前的平均生存时间41X-Force研究的勒索软件团体在改头换面或偃旗息鼓之前的平均生存期为17个月。REvil3120211041利用网络钓鱼获得初始访问权限的攻击的百分比33在2021X-Force332020年至2021年间由漏洞利用攻击导致的安全事件数量有所增加3在2021Log4j漏洞CVE-2021-44228123增加了电话通话功能的针对性网络钓鱼攻击活动的点击有效性明显提高146有针对性的网络钓鱼活动的平均点击率为17.853.2146使用新代码的Linux勒索软件显著增加IneerLinux146Linux业受到最多的攻击612021X-Force去年修复的攻击数量的23.22361连接的组织在制造业受到的攻击中所占的比例2,204T连接的组织发生的安全事件占总数的61%T连2,2047420211月至20219SCADAModbus74MziIT2626全球攻击中针对亚洲的比例在所有攻击中，有26%以亚洲为目标。亚洲是2021年受攻击最多的地理区域。IBMSecurity7最主要的攻击类型 IBMSecurity7问。击BE利用。以下部分介绍了我们的数据在2021年揭示的最多产攻击类型的详细信息和数据。勒索软件根据X-Force2021年也不例外。X-Force事件响应团队在2021年修复的攻击中有21%X-Force团队修复的攻击中有23%最主要的攻击类型2021202120202020-202IBMSecurity-o

27%23%

10%14%10%

13%8%8%9%8%

7%7%6%凭证收集

6%5%5%

5%5%5%配置错误

5%23%其他5%23%其他恶意内部人员21%勒索软件21%

服务器访问

BEC

数据盗窃

2021 2020WebwebshellWebwebshell8最主要的攻击类型最主要的攻击类型X-Force5月和6月的攻击频率往往较120218月和10DarkSideBabuk5addon6Rvil10202020202021IR-oe2020-202IBMSecurity-o）43%36%43%36%33%35%27%27%30%29% 22%24%25%25%19%10%6%0%0%5%6%14%15%18%13%40%30%20%10%

50% 0 1月 2

3月 4月 5

月2020

月 82021

9月 10

月9最主要的攻击类型最主要的攻击类型根据-ore17个月是勒索软件团伙更名或关18而一旦面临被执法部门逮捕或查处的威胁，他们通常就会更X-ForceGandCab更名为REvilMaze更名EgoDoppelaymerGrief。执法活动可能是降低X-Force在2021年观察到的勒索软件2022也仍将继续。

1010最主要的攻击类型最主要的攻击类型PAGE11PAGE11已关闭的勒索软件团伙图3已关闭的勒索软件团伙2017-202IBMSecurity���-

��

��

��

��

52-�2�

�9�1

���

��-�

������������20222021202020192018

��

��

��

���

�Maze

NemtyDoppelPaymer

Dark

Egregor

Babuk

��������20172017

GandCrab

Avaddon

REvil/Sodinokibi在-oe于2021Rvil在我们团队所修复的全部勒索软件事件中占到了37超过三分之一Ryuk了13%2021年10Rvil实施者似乎已永久关停运营。RyukREvil201942018820212021-oe2021IBMSecurity-o）refilimedusakingarkSiderystalryptoLockerontilackMatteritLocker

vilt勒索软件如何发起攻击

IR)开发一个五阶勒索软件攻击的阶段图5勒索软件攻击的阶段-oeIBMSecurity-o）指挥控制密钥、RAT等指挥控制密钥、RAT等互联网的服务电子邮件或利用面向�阶段：后漏洞利用系统的访问权限立对后漏洞利用工具包/�阶段：理解和展开第�阶段：数据收集和渗漏

第1阶段：初始访问勒索软件攻击最常见的访问媒介仍然是网络钓鱼、漏洞利用和远程服务，例如远程桌面协议。第2阶段：后漏洞利用根据初始访问媒介，第二阶段可能涉及中间远程访问工具(RAT（例如CobaltStrikeasploi建立交互式访问。第3阶段：理解和展开的凭证来实现横向移动。第4阶段：数据收集和渗漏·收集数据源列表·标收集凭证侦查跟踪SMB横向移动·收集数据源列表·标收集凭证侦查跟踪SMB横向移动器列表·AtieDrctr：·用户、收集凭证第5阶段：部署软件部署在X-ForceIR团队响应的几乎每一个勒索软件事件中，勒索软件运营商都锁定了域控制器，将其作为勒索软件有效负载的分发点。获得域管理员权限获得域管理员权限数CP、Rclone）凭证部署勒索软件组凭证部署勒索软件组PEe/B员分发勒索软件勒索软件的一个令人担忧的新趋势就是“三重勒索策略的扩展。在这种类型的攻击(DDoS则会进一步加重其受害程度。止因勒索软件攻击而造成的数据泄露或业务中断。服务器访问服务器访问攻击——攻击者获得对服务器的未经授权的访问，但最终目标未知——是第二常见的攻击类型，在X-ForceIR团队于2021年修复的所有事件中占到了11%。ChinaChopperWebshellsBlackOrificeMimikatz。VE-2020-796MicrosoftExchange服务器中的2021年十大漏洞中。在X-Force的IR们进一步发起更具破坏性的操作。

是服务器访问商务电子邮件泄露在2020年商务电子邮件泄露(BEC)X-Force观察到这类攻击数量在2021BEC是我们的IR多因素身份验证(MFA)的广泛实施使得BEC威胁实施者成功执行的攻击数量日渐减少。这一理论在2021BEC攻击者可能已通过将重心转移到并未广泛实施的地区取得了更大的成功。IRBECBECBEC201920202021BEC19%20%。20212021BEC2021BECIBMSecurity-o）��.�%5.9%��.�%5.9%�.�%�.�%中东和非洲�

5%

��.�%�5% ��%主要入侵媒介 队e的团P)其次202120212020-oe2020-202IBMSecurity-o）被盗的凭证密码喷洒�

��%

��%��%��%�5%��%��%�5%�%��%�%�%�% �% �%�%�%2�2� 2�2�IBMSecurity 16主要入侵媒介主要入侵媒介PAGE17PAGE17网络钓鱼网络钓鱼成为20212020412021202120212021IBMSecurity-o）47%42%47%42%30%31%1季度2340%7%5%23%22%36%37%40%30%

52%20%10%0%

用 被盗的凭证Red的部分重点领域包括2020年和2021-oeed17.8%电话添53.2BEC2021-oe发现勒索软件实2021年观察到的多起Rvil勒索软件事件都始于QakBt一经打开，该文档便将指示收件人启用宏，这将植入QakBot银行木马，从而在系统上初步获得立足之地。随后，操作权便会转交给REvil勒索软件实施者，他们会暗中进行侦察，并由此继续执行操作。图9中包含了一个QakBot网络钓鱼电子邮件样本。QakBQakBtQakBtIBMSecurity-o）参见图1启用编辑启用软件。0

QakBot网络钓鱼附件的弹出消息样本IBMSecurity-o）滥用技术且波及众多品牌IBM7875接近100电子邮件/I/密码组合61请求)(40%)(22%)(17%(15%(14%)PIN(3%)。-oe11位的品牌如下所示。2021112021111.Microsoft2.Apple3.Google4.BMOHarrisBank(BMO)5.Chase6.Amazon7.Dropbox8.DHL9.CNN10.Hotmail11.Facebook222,12网络钓鱼攻击次数高达次，创下历史新高反网络钓鱼工作组(APG)2021年仅6网络钓鱼攻击次数到222,127-oe使用专门用于保障数据隐私的DNS如Quad9钓鱼攻击的风险。IBMSecurityX-Force是Quad9合作伙伴。主要入侵媒介主要入侵媒介2121漏洞利用尽管在2021击事件数量与2020年相比仍增加了33-oeVE-2021-3546Jaa）VE-2019-1978CitrixKaseya和MicrosoftExchangeServer等主要攻击中利用零日漏洞来访问受害者的网络和设备。临近2021Log4j漏洞CVE-2021-442282021年X-Force缓解措施来避免成为该漏洞的受害者。主要入侵媒介主要入侵媒介漏洞数量再创新高与物联网和工业控制系统(ICS)16%500.4%。2011-2021年每年发现的漏洞数量12011-2021年每年发现的漏洞数量2011-2021年每年新识别的漏洞数量和累计漏洞数IBMSecurity-o）50K45K40K16,62117,85916,62117,85917,99719,13719,64911,2127,3808,4608,6619,6669,87530K25K20K15K10K5K0 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 年 总数量

200K180K160K140K120K10K80K60K40K20K022主要入侵媒介主要入侵媒介2021年的十大漏洞IR团队观察到的威胁实施者在2021-oe建议您优先对这些漏洞加以修补。CVE-2021-34523–MicrosoftExchange服务器ProxyLogon。CVE-2021-44228ApacheLog4jCVE-2021-26857–MicrosoftExchangeServer远程代码执行漏洞CVE-2020-1472NetlogonCVE-2021-27101–易受SQL注入影响的AccellionCVE-2020-7961–LiferayPortal对不可信数据JSON网络服务远程执行代码CVE-2020-15505MobileIron行代码CVE-2018-20062–NoneCMSThinkPHP码执行漏洞CVE-2021-35464–ForgeRockAM服务器JavaCVE-2019-19781Citrix2323对运营技术和物联网的威胁 相当可观。网(I)()0001()识别的漏洞数量增长幅度相当可观。设备的侦察速度在分析了2021-Fore发现攻击者正在开2021SCADAModbus2021年针对CP2021SCADAModbus此端口使用Modbu于在工业网络中连接的总线、网络和可编程逻辑控制器(PLC监视控制系统通常会使用502Modbus

图122021SCAAModbusIBMSecurity-o）�� ��% ��在2021年1月至9-oe观察到针对502端口的对抗性侦察活动增加了2204%。 威胁实施者可能已经加强了Modbus侦察活动，开始寻找目标实施勒索或者夺取控制权并造成伤害。鉴 于Modbus缺乏安全功能一旦攻击者找到可访问的Modbus设他们就可以向设备发出有害命并影响 连接的ICS或系统。尽管SCADAModbus位于ICS环境中Purdue模型的第 2之但在某些情况可以通过开放的互联网直接访问

�%�%�%

4%

�%

��%

��%4%SCADAModbus502乏身份验证和纯文本消息传输则让Modbus的危险程度又增加一分。

�月�月�月

4月�月

�月 �月�月�月��月��月��月IBMSecurity 2425对运营技术和物联网的威胁25主要是就拥有T-oe观察到在2021X-Force协助修复的事件中占到了61对运营技术和物联网的威胁20212021-oeIR2021IBMSecurity-o）61%61%制造业1% 7% 10% 10% 11%重型和土木工程 采矿 公用事业 输 石油和天然气行业26对运营技术和物联网的威胁对运营技术和物联网的威胁PAGE27PAGE27对于X-Force在2021年发现遭受攻击的所有具有OT击总量的36ITDDoS202120212021IBMSecurity-o）虫尸网络AT鬼证收集oS

器访

软件MziITT2019-oeIT20192020幅度已接近3000%ITMzi僵尸网络仍在IT202174%。2018-20212018-20212018-2021ITIBMSecurity-o）20%

19%17%13%17%13%10%11%9%6%6% 6%1%1%1%0% 0%Q3Q4Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q42018 2019 2020 202110%5%0Mozi能够持久OT和ICS网MziT络的攻击。MoziMozi202168Mozi20212021年的主要威胁实施者 场景01I施者的2021-oe21%的攻击活动是由黑客组织发起的。以下部分介绍了X-Force在2021年观察到的一些更有趣的活跃威胁组织的更多详细信息。20212021进黑客2021-oeIRIBMSecurity-o进黑客族国家分子IBMSecurity 292021年的主要威胁实施者ITG17Aclip2021IBMSecurity-oe发现一个威胁实施者-oe“AclipIG1又名Muddye疑似一个伊朗IG2rickbtGanContiX-Force分析师一直在密切跟踪Trickbot银行木马背后的网络犯罪集团——我们将其称为IG2WiadSpiderrickbtGangrickbtConti-oeIG23rickbtConti该团伙主要依赖电子邮件活动发送恶意BazarCallBazarLoaderHive01092021在2021-Force发现了多起Hive010也称为LemonDucProxyLogonMicrosoftExchangeLemonDuckLinuxWindowsLemonDuck2018年起LemonDuckIBMIBMThreatGroup(ITG)ITG表示IBMThreatGroupIBMX-Force）HiveIBMIBMThreatGroup(ITG)30恶意软件发展趋势 察到的一些恶意软件发展趋势。更re21观察到的一些恶意软件发展趋势。更高的检测规避能力X-Force的恶意软件逆向工程团队在去年发现，恶意软件的规避技术已实现了重大升级。指挥与控制(C2进行隧道C2C2活动伪装成合法恶意软件开发者使用越来越复杂的打包和代码混淆技术来隐藏恶意软件的真正意图并阻止PueBasicNi的就是加大逆向工程的难度。恶意软件着重关注Docker-oeIRLinuxDocker显示这一转变的部分恶意软件家族包括XorDDoSGroundhog和Tsunami恶意软件(KaijiXantheKinsing)和除DockerSiloscape恶破坏了易受攻击的WindowsKubernetesSiloscapeaTNTaTNTIBMSecurity 31恶意软件发展趋势恶意软件发展趋势3232勒索软件着重关注ESXi通过分析影响Linux-oe向基于Linux的VMWareESXi(VM)2020-ForeIR团队发现了针对ESXi服务器部署的SFile勒索软件的Linux2021REvilHelloKittyBabuk和BlackMatterESXi自有的命令行管理工具esxcliNim日渐流行2020Golang2021GolanNimNim编译了Nimar后门以及ZebrocyIG0AT2使用的一种恶意软件类型。恶意软件发展趋势恶意软件发展趋势PAGE33PAGE33Linux威胁仍不断演变据IBMSecurityX-ForceThreatIntelligence合作伙伴IntezerLinux

120212020Linux2020-2021LinuxIn20212020Linux��.�%施者对该领域仍然虎视眈眈。Intezer通过分析恶意软件种族的代码唯一性来到了以下结果。自去年以来，在多种类别的Linux恶意软件中，高达五分之四的恶意软件类别都增加了特有的

恶意银

�.�%�.�%

�.�%

�.�%

��.�%��.�%��.�%��.�%�.�%升了十倍以上。Linux目标的增多可能与组织

�

��% ��%正日益迁移到云环境有关，这些环境经常依赖Linux执行操作。Linux恶意软件的创新水平与基于Windows的Linux2022肯定还会看到这一趋势仍保持上涨势头。

���� ����2021LinuxWindows2021LinuxWindows2021LinuxWindwsInee）恶意软

��.�%

��.�%�5.3%�3.9%马

��.�%挖掘者僵尸网络

��.9%9.3%

�3.�%��.3%� 5% ��% �5%Linux Windows威胁实施者以云环境为目标IBM三分之二的事件涉及API云中的无文件恶意软件X-Force施者现在还使用EzurGolang动未经检测的恶意软件更加轻而易举。X-Force的研究还强调了一种名为VermillionStrike的新恶意软件套件的发展状况。VermillionStrike基于流行的渗透测试工具CobaltStrike目的是在LinuxLinuWindwsIBMSecurity35地理区域趋势 IBMSecurity35一攻击趋势。本报告开始攻击总量226可能与一攻击趋势。24%和2314%13%。地理区域趋势地理区域趋势PAGE36PAGE362021202020212020IBMSecurity-oe亚洲 欧洲 北美 中东和非洲 拉丁美洲9%13%9%14%27%23%31%24%26%

25%

2021 2020亚洲遭受攻击最多的行业金融与保险制造业专业与商业服务30%29%遭受攻击最多的行业金融与保险制造业专业与商业服务30%29%13%岛屿。服务器访问攻击(20%)和勒索软件(11%)是亚洲组织在2021(10%9REvil在X-Force所观察到的勒索软件攻击中占到了33BitlockerNefilimMedusaLocker和RagnarLocker漏洞利用和网络钓鱼并列成为亚洲组织在2021年的主要感43%的攻击都由这两者引发而来。暴力破解(7%)和使用被盗凭证(7%)偶尔也会被用来获得网络的初始访问权限。X-Force修复的事件中占到了30(29%和商业服务(13%)以及运输行业(10%X-Force2015到2020年间遭受日本、澳大利亚和印度是亚洲地区遭受攻击最多的国家。欧洲遭受攻击最多的行业制造业金融与保险专业与商业服务遭受攻击最多的行业制造业金融与保险专业与商业服务25%18%15%击在X-Force事件响应团队所观察到的攻击中占到了24%。欧洲在全球最易遭受攻击地区排行榜上位列第二，遭受的攻击在X-Force事件响应团队所观察到的攻击中占到了24%。勒索软件是欧洲面临的最主要的攻击类型，在2021年该地26(12%)(10%(8%(6%(6%2021vil38Ryuk25%DarkSideLockBit2.0Crystal“大型猎物漏洞利用是针对欧洲组织主要使用的感染媒介，占据了-oe464212%。制造业是202125(18%业服务行业(15%英国、意大利和德国是欧洲地区遭受攻击最多的国家。北美遭受攻击最多的行业制造业专业与商业服务零售批发遭受攻击最多的行业制造业专业与商业服务零售批发28%15%11%击在击在事件响应团队所观察到的攻击中占到了23击总量的302021在-ForceREvil攻击占到了43-Fore还发现了LockBit2.0ContiCrytoLocer和EkingBEC是仅次于勒索软件攻击的最常见攻击类型，12BEC(9%)在北美地区组织最易遭受的攻击排行榜上位列第三。年X-Force在该地区修复的事件中占到了4729%的(12%(9%)和被盗凭证(9%)20202021者可能会专注于网络钓鱼活动。X-Force修复的攻击总量28%——1511中东和非洲遭受攻击最多的行业金融与保险医疗卫生能源部48%遭受攻击最多的行业金融与保险医疗卫生能源部48%15%10%勒索软件和服务器访问攻击是中东和非洲最常遭遇的事件1814DDoS在X-Force于中东和非洲地区修复的已知初始感染媒介的事件中，50%的事件都是由漏洞利用所引发的。使用被盗凭证和网络钓鱼也经常被用来访问感兴趣的中东和非洲地区网络，密码喷洒和使用可移动介质偶尔也会被用来获得初始访问权限。在202148%，这表明该地区遭受的攻击可能已从由民族国家支持的以能源为重点的攻击转变为以金融组织为重点的网络犯罪攻击。沙特阿拉伯从利用原油收入发展经济转向实现经济多元化能也影响了这一趋势。医疗保健组织遭受的攻击占该地区所遭遇攻击总量的1510%的攻击有关。沙特阿拉伯、阿拉伯联合酋长国和南非是中东和非洲地区遭受攻击最多的国家。拉丁美洲遭受攻击最多的行业金融与保险医疗卫生能源部遭受攻击最多的行业金融与保险医疗卫生能源部48%15%10%量的29量的29BE2121REvil是我们在拉丁美洲观察到的最常见的勒索软件-oe修复的勒索软件攻击量的50Ryuk和omSiloBECBEC攻击者正在集中更多精力在拉丁美。“猎物X-Force在该地区所修复攻击量的47的大量BEC凭证导致的攻击占拉丁美洲的组织所遭受攻击量的29MFA有助于减少该地区的凭证被盗事件和BEC18%的攻击事件是6%202122(20%11商业服务以及能源行业也遭到了相当严重的攻击。勒索软件攻击者和BEC些行业遭受的攻击率。巴西、墨西哥和秘鲁是拉丁美洲地区遭受攻击最多的国家。行业趋势 2021BECCOVID-192021202120202021202010IBMSecurity-o）金融与保险媒体

�.�%�.�%�.�倍

�.�%�.�%

�.�%�.�%

�.�%�.�%�.�%�.�%

�.�%�.�%

��.�%��.�%��.�%

��.�%

��.�%��.�%��.�%�

��% ��% ��% ��%���� ����IBMSecurity 42行业趋势行业趋势PAGE43PAGE43#1|制造业总量的自2016202123.2%。总量的2312%的占比位BECBECBEC攻击者控制的漏洞利用是20214740X-Force在2021年观察到的整体初始感染媒介的发展趋势。可移动介质(7%(3%)和暴力破解(3%)2021年，对制造业组织发起的攻击中，近三分之一(32%)的攻击活动发生在亚(27%(26%(13%(5%)

占攻击23.2%#2|金融与保险总量的金融和保险组织也是攻击者追逐的目它们所遭受的攻击在2021年修复攻击中占到了22.4在-oe的行业排名中稳居第二位在这些攻击70%的击针对银16%针对保险机14%则是针对其他金融机构。 总量的占主导地2021量的1410%的占比并列第202146%的攻击都是由网络31VPN访问也是威胁实施者藉以对金融和保险公司发起攻击的感染媒介。20213429(19%)(9%)(9%)2021

占攻击22.4%#3|专业与商业服务总量的2022总量的在202212.7%24%76%29%是专门以信息技术为重点的专业服务提供商。勒索软件攻击是2021X-Force在这些行业观察到的攻击总量的32%19，20212021年，在X-Force对专业和商业服务公司实施补救的事件中，漏洞利用占到了5020%了202021年初披露的MicrosoftExchange

占攻击12.7%#4|能源总量的到了8.2DarkSide于2021年5月对ColonialPipeline尤其是勒2021-oe6785（ColonialPipeline于当月遭到了勒索软件攻击9总量的勒索软件攻击(25%)是2021BE(17%)2021产生了一定的影响。网络钓鱼是威胁实施者用于访问能源组织网络的最常见感染媒介，约占攻击总量的60%，而漏洞利用则占剩下的40%。312817%7%

占攻击8.2%#5|零售与批发总量的202220217.3%35%65%总量的BEC网络钓鱼是2021在该行业修复的已知初始感染媒介的攻击中占到了3831%的23%8些攻击中发挥了作用。20213531%。

占攻击7.3%#6|医疗保健总量的医疗保健行业在今年遭受攻击最多行业榜单中位列第六，占X-Force在2021年观察到的攻击总量的5.138%omSilo、AvosLocker和REvilBEC(25%)总量的漏洞利用是2021年威胁实施者藉以对医疗保健组织发起攻击的最主要感染媒介，X-Force