北京 — 2022年1月26日 —

近日，为从云端到边缘的IT资产提供检测、管理、保护和服务的自动化平台提供商Ivanti发布了2021年《勒索软件指数聚焦年终报告》。该报告由 Ivanti 与 认证编号机构（CNA）Cyber Security Works和 Cyware（下一代SOAR和威胁情报解决方案 Cyber Fusion 的领先供应商）共同完成。报告显示，2021年勒索软件种类新增32个，总数达到157个，比上一年增加了26%。

报告还指出，这些勒索软件集团在短时间内将零日漏洞武器化并针对未修补的漏洞进行破坏性攻击。同时，他们还会扩大攻击范围，寻找新的方式来破坏企业网络，肆无忌惮地发起影响恶劣的攻击。

以下是《勒索软件指数聚焦年终报告》中的一些主要观察结果和趋势：

• 未修补的漏洞依然是勒索软件集团利用的最主要攻击载体。该分析发现去年有65个新漏洞与勒索软件相关，与前一年相比增长了29%，使勒索软件相关的漏洞总数达到了288个。 令人担忧的是，这些新增的漏洞中，有三分之一（37%）正在暗网上流传并被多次反复利用。此外，在2021年之前发现的223个旧漏洞中，有56%仍在被勒索软件集团频繁利用。 因此，企业必须优先重视并修补勒索软件集团所针对和利用的漏洞，无论是新发现的还是较早的。

• 勒索软件集团会持续寻找和利用零日漏洞，甚至会抢在CVE被添加到国家漏洞数据库和补丁发布之前。 QNAP（CVE-2021-28799）、Sonic Wall（CVE-2021-20016）、Kaseya（CVE-2021-30116）和最近的Apache Log4j（CVE-2021-44228）漏洞都在录入国家漏洞数据库（NVD）之前就已被勒索软件集团利用。这种危险的趋势强调了一点，供应商必须更迅速地披露漏洞以及根据优先程度发布补丁。更重要的是，除了NVD之外，企业还应该关注漏洞趋势、利用实例、供应商公告和安全机构警报，以及确定漏洞的修补优先次序。

• 勒索软件集团越来越频繁地攻击供应链网络，以期造成重大损失和大规模混乱。单个供应链受破坏可以为威胁者打开多个途径，导致整个系统和数百个受害者网络受到劫持。去年，威胁者就曾通过第三方应用程序、供应商特定产品和开源库入侵过供应链网络。例如，REvil集团针对Kaseya VSA远程管理服务的CVE-2021-30116漏洞，发布了一个恶意更新包，导致所有使用VSA平台的本地和远程版本的客户都受到了危害。

• 勒索软件集团之间互相分享服务变得越来越普遍，就像合法的SaaS产品一样。“勒索软件即服务”成为了一种商业模式，勒索软件开发者向其他恶意行为者提供服务、变种、工具包或代码，以换取报酬。“漏洞即服务”则允许威胁者向开发者租用零日漏洞。此外，“植入即服务”允许新手威胁者通过程序散播恶意软件，这些程序可在运行时在受害者的计算机上执行恶意载荷。 而“木马即服务”，也称为“恶意软件即服务”，可使任何联网的人都能获得并部署定制的云端恶意软件，且无需安装。

157个勒索软件类型，288个可利用漏洞，意味着勒索软件集团完全有可能在未来几年肆意发动攻击。 根据Coveware的数据，遭受勒索软件攻击的企业平均要支付220,298美元，并承受23天的停机时间，这一项数据也提醒企业要更加重视网络安全。 未来，在网络环境日趋复杂的情况下，自动化的网络安全会变得越来越重要。

Ivanti 安全产品高级副总裁 Srinivas Mukkamala 表示：“勒索软件集团正变得越来越狡猾，其攻击的影响力也越来越大。 这些威胁者越来越多的借助自动化工具包来利用漏洞，并深入到被攻击的网络中。同时， 他们还扩大了目标面，对关键部门发起更多攻击，扰乱日常生活，造成前所未有的破坏。 企业需要格外警惕，第一时间修补武器化漏洞。 这就需要利用基于风险的漏洞优先排序和自动化补丁智能，以识别和优先处理漏洞弱点，进而加速修复。”

Cyware公司首席执行官Anuj Goel说：“我们观察到的勒索软件领域的一个根本变化是，攻击者正在企图渗入补丁部署等流程，就像他们企图通过安全保护的漏洞来渗入系统一样。漏洞发现后必须要跟进行动，把漏洞数据作为情报来处理，以推动快速响应决策。勒索软件集团正在把他们的工具、方法和目标清单程序化，安全运维团队也必须实现流程自动化，自我修复易受攻击的资产和系统，通过实时情报的程序化操作来降低风险。”

Cyber Security Works首席执行官Aaron Sandeen也说道：“勒索软件对每个行业的客户和员工都会造成严重破坏！2022年将出现更多的新漏洞、利用方式、APT团体、勒索软件类型、CWE类别，以及利用旧漏洞来攻击企业的情况。行业领导者需要创新性和预见性的协助，以确定勒索软件威胁的优先处理次序并加以补救。”

《勒索软件指数聚焦报告》采用的数据收集自多种来源，包括Ivanti和CSW的专有数据、公开访问的威胁数据库以及威胁研究人员和渗透测试团队。 点击这里阅读完整报告。

关于 Ivanti

Ivanti让无处不在的工作空间成为可能。通过“无处不在的工作空间”，员工可以在任何地方，使用多种设备，连接各种网络来访问IT应用和数据，同时保证工作效率。Ivanti Neurons神经元自动化平台为企业连接业界领先的统一端点管理、零信任安全和企业服务管理解决方案，统一的IT平台使设备能够自我治疗、自我安全，而用户则能够自助服务。 已经有4万多位客户，包括96家《财富》百强企业，选择了Ivanti为他们检测、管理、保护和服务从云端到边缘的IT资产，同时为员工提供卓越的终端用户体验，无论他们在哪里、使用何种方式工作。更多信息请访问 http://www.ivanti.com.cn并关注@GoIvanti。

关于 Cyware

Cyware 帮助企业网络安全团队建立平台不可知论虚拟网络融合中心。Cyware 正在通过提供下一代 SOAR（安全编排、自动化和响应）技术来改变安全运营，这是网络安全行业唯一的虚拟网络融合中心平台。藉此，各组织可以提高速度和准确性，同时可降低成本和减轻分析师工作量。Cyware 的虚拟网络融合解决方案可使企业、共享社区（ISAC/ISAO）、MSSP 以及各种规模和需求的政府机构实现安全协作、信息共享和获得更好的威胁可见性。https://cyware.com/

关于 CSW

CSW是一家专注于攻击面管理和渗透测试即服务的网络安全服务公司。 凭借创新的漏洞和利用研究，我们在多款流行产品中发现了45个以上的零日漏洞，包括Oracle、D-Link、WSO2、Thembay、Zoho等。 我们加入了CVE编号机构，鼓励了数以千计的漏洞赏金猎人，在全球漏洞管理中发挥了重要作用。 作为公认的漏洞研究和分析领导者，CSW引领行业前沿，帮助世界各地的企业保护业务免受不断变化的威胁。 更多信息请访问www.cybersecurityworks.com，或在LinkedIn和Twitter上关注我们。