2025年第五期威胁情报执行报告:勒索软件、MFA漏洞与遗留系统风险解析

本报告深入分析2025年7-8月全球威胁态势,重点关注勒索软件生态演变、多因素认证缺失导致的安全风险,以及遗留漏洞持续被利用的现状,为企业安全防护提供实用建议。

威胁情报执行报告 - 2025年第5卷

反威胁部门(CTU)研究团队通过分析7-8月的安全观察,发现全球威胁态势出现以下重要变化:

勒索软件持续构成波动性威胁

尽管执法行动对勒索软件生态产生了影响,但并未减少攻击数量。即使2025年3月达到历史峰值后泄露网站公布的受害者数量有所下降,7-8月的数字仍高于2024年同期。虽然Scattered Spider和ShinyHunters的高调攻击获得媒体关注,但Qilin和Akira才是7-8月最高产的两个勒索软件组织。

2024-2025年针对主要勒索软件运营者的执法行动导致该领域出现碎片化和波动性。通常每次执法打击都会激发新组织创建的临时高峰:2025年上半年出现37个新组织,7月和8月各出现4个。2025年7-8月期间,多个曾被认定休眠的组织也重新活跃。8月共有52个勒索软件组织活跃,这个月活跃量在过去两年中仅被超越过三次。

新组织很可能并非由新网络犯罪分子组建,而是受打击行动的附属团队加入或启动新计划。新组织也可能是旧行动的改头换面。附属团队也可能转向已建立的行动(如Akira),这些行动因获得更多资源而提高攻击节奏。这些 rebrand 行为和附属团队在现有或新组织间的流动使得攻击链难以识别,归因更加困难。

尽管这些发展增加了监控勒索软件生态的整体难度,但并未显著改变防御大多数勒索软件攻击的关键措施:及时修补(尤其是面向互联网的设备)、防网络钓鱼的多因素认证(MFA),以及端点和网络的全面监控。此外,随着威胁行为者转向云环境,监控云和混合环境中的恶意活动变得越来越重要。

后续行动建议 监控政府在推进云安全方面的举措。

MFA缺失导致被盗凭证被利用

实施MFA可阻止威胁行为者利用被盗凭证获利。

CTU研究人员观察到多起事件中,网络犯罪分子或国家支持的威胁行为者通过滥用VPN凭证获得对受害者环境的初始访问权限。例如,GOLD LEAPFROG威胁组织在2025年初的一次攻击中滥用了VPN凭证,最终部署了SafePay勒索软件。

此类未经授权的访问使威胁行为者能够绕过传统安全措施,直接进入内部系统,即使设备已完全修补已知漏洞。其他常被滥用的访问类型包括远程桌面登录或管理账户。换句话说,旨在保护远程员工授权访问的方法,如果保护不够强大,也可能给攻击者提供访问权限。

威胁行为者经常在地下市场购买凭证。信息窃取器恶意软件从受感染系统中窃取凭证和其他数据,然后将被盗数据打包成日志在线出售给其他威胁行为者。目前有数百万条日志可供购买,且数量每年持续急剧上升。因此,保护系统免受信息窃取器感染是防御后续勒索软件或数据勒索攻击的关键部分。

获得部分凭证的威胁行为者还可能尝试暴力破解VPN账户访问权限。如果成功获得访问权限,几乎总是因为VPN不需要MFA进行身份验证。仅靠MFA无法阻止所有未经授权的访问,但确实减少了最机会主义网络犯罪的威胁。在所有面向互联网的服务和设备上实施防网络钓鱼的MFA可进一步降低风险级别。此类MFA使用硬件支持的方法来防止令牌盗窃。

后续行动建议 查阅美国网络安全和基础设施安全局(CISA)发布的关于实施防网络钓鱼MFA的指南。

遗留漏洞保持其价值

即使漏洞已存在多年,修补也几乎永远不会太晚。

8月,联邦调查局(FBI)警告称,与俄罗斯联邦安全局(FSB)第16中心有关的俄罗斯国家支持威胁行为者,通过积极针对未修补2018年漏洞的思科设备,对美国和其他实体进行网络间谍攻击。CTU研究人员在2023年观察到俄罗斯国家支持威胁行为者的类似活动。

FBI还是美国及境外多个机构之一,就中国国家支持威胁行为者为间谍目的危害全球网络发出警告。文件中涉及攻击者如何获得初始访问权限的部分指出,“他们在利用公开已知的常见漏洞方面取得了相当大成功”,而非利用先前未知的零日漏洞。文件列出了2018年的思科漏洞,以及2023年和2024年影响边缘设备的其他漏洞。

组织可能因多种原因未及时修补。预算限制和人员有限只是影响修补计划的两个因素。员工可能缺乏对漏洞的认识,或未意识到正在使用受影响的设备。某些修补程序可能需要额外评估,或需要用变通方案替代,以避免对其他业务关键操作造成潜在影响。在某些情况下,设备过于老旧,供应商不再发布安全更新。尽管如此,未修补的边缘设备使组织面临风险。在CTU研究人员2024年观察的事件响应活动中,面向互联网设备中的漏洞是最常见的初始访问向量。

未修补设备带来的风险不会下降。使用免费提供的扫描系统和公开可用的漏洞利用代码来查找和利用易受攻击的系统已经很容易,AI可能会进一步自动化这一过程。根据业务风险计算及时修补或更换生命周期结束的系统比以往任何时候都更加重要。

后续行动建议 监控政府和供应商咨询以及其他威胁情报来源关于威胁行为者行为的信息,并在您的环境中适当遵循修补建议。

结论

尽管威胁组织构成发生变化且攻击数量增加,但网络威胁的某些方面保持不变。网络犯罪分子和国家支持的威胁行为者继续利用轻松访问组织环境的机会。幸运的是,良好网络防御的基础也保持不变:及时修补、防网络钓鱼的MFA,以及全面监控和响应。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次