Sophos在其2024年的活跃对手报告中表示，它在2023年调查的大多数网络攻击涉及勒索软件，而90%的事件都包含了对远程桌面协议的滥用。

这家安全供应商在周三发布了其2024年的活跃对手报告，该报告基于它在2023年进行的150多起事件响应（IR）调查的数据。数据集的分析显示，88%的调查来自于员工数少于1000人的组织，而55%涉及的公司员工数不超过250人。代表了26个行业，制造业连续第四年成为最多寻求Sophos IR团队帮助的行业。

报告追踪了攻击类型、初始访问向量和根本原因，并发现这些趋势在过去两年中保持一致。虽然攻击者经常滥用远程桌面协议（RDP）和凭证访问来渗透受害者的网络，但企业仍然让RDP暴露在外，而且通常缺乏多因素认证（MFA）协议。

Sophos补充说，企业在确保足够的日志可见性方面也做得不够，这可能会妨碍IR调查。

报告指出：“通常，被侵犯和未被侵犯的组织之间唯一的区别在于1) 选择并部署合适工具的准备工作，以及2) 在需要时具备的知识和准备采取行动的能力。报告中描述的大多数工具和技术都有解决方案，或至少有减轻其危害的缓解措施，但防御措施简直没法跟上。”

就像许多其他供应商一样，Sophos发现在2023年，勒索软件是最常见的攻击类型；这种威胁占其调查的70%。供应商响应了108起勒索软件攻击。网络入侵排在第二，但仅占调查的19%。然而，Sophos推测这两种攻击类型之间可能存在联系。报告说：“虽然我们不能在所有情况下都肯定，但有越来越多的证据表明，许多网络入侵实际上是失败的勒索软件攻击。”

Sophos确认已知的勒索软件团伙进行了它调查的五次网络入侵。供应商还将网络入侵与勒索软件攻击按季度进行了比较，发现当勒索软件活动减少时，入侵增加。尽管44%的勒索软件攻击案例涉及数据泄露，Sophos发现72%的网络入侵调查“没有数据泄露的证据”。

Sophos还追踪了勒索软件部署的时间线，并发现了一个一致的模式。去年，91%的勒索软件有效载荷是在传统工作时间之外部署的，与2022年相比仅下降了3%。Sophos将“传统工作时间”定义为周一至周五的上午8点至下午6点，但报告指出，这些数据也考虑了不遵循该时间表的国家。

Sophos追踪了它在2023年事件响应调查中看到的主要攻击类型。Sophos的2024年活跃对手报告发现，去年勒索软件超过了所有其他攻击类型。另一个一致的趋势是勒索软件家族的分布。报告发现，LockBit勒索软件组织去年仍是最活跃的团伙。报告将24起勒索软件攻击，即22%的IR调查归因于LockBit。很难说LockBit是否会继续在2024年主宰这一领域。这个臭名昭著的团伙在2月份被国际执法行动暂时打乱。虽然LockBit操作者迅速恢复了他们的服务器，但该团伙的复出尝试遭遇了挫折。

Sophos的威胁情报领域首席技术官John Shier告诉TechTarget Editorial，这次称为“克罗诺斯行动”的执法行动成功地阻止了加盟LockBit的附属成员。Shier说，在扰乱之后，经纪人和附属成员在地下论坛上表达了这种情绪。“LockBit部分因其规模而蓬勃发展。没有了犯罪伙伴合作和信任的侵蚀，我们希望看到LockBit继续其走向无关紧要的下滑。”

LockBit是自Sophos在2021年发布第一份活跃对手报告以来调查的许多勒索软件团伙之一，包括Cuba和Snatch。

去年3月出现的勒索软件团伙Akira排在第二位，共发动了12次攻击。Sophos对Akira超过Alphv/BlackCat勒索软件团伙感到惊讶，后者排在第三位。

操作者以瞄准医疗保健组织而闻名，并声称对去年的MGM度假村进行了

一次显著攻击。12月，美国司法部宣布FBI暂时扰乱了Alphv/BlackCat，并开发了一个解密工具来帮助受害组织，但该团伙仍然活跃。Alphv/BlackCat行动者在2月份对UnitedHealthcare的Change Healthcare发动了一次大规模攻击。

报告说：“关于勒索软件攻击的流行程度、工具和时间线已达到一个平衡点。不幸的是，我们每年仍然看到防御者犯着同样的错误。考虑到这一点，我们认为组织迫切需要参与自救。”

Sophos列出了防御者继绀犯的许多错误，例如暴露VPN和RDP。Sophos警告说，攻击者利用这些错误获得受害者环境的初始访问。例如，Cisco在8月详细描述了一次攻击活动，其中Akira和LockBit行动者针对使用其VPN但未启用MFA的组织。

报告强调，外部远程服务一直是Sophos发布的每份活跃对手报告中的首要初始访问方法。

Sophos在其8月发布的年中活跃对手报告中敦促企业保护RDP。供应商警告说，这个协议在2023年上半年涉及的攻击中占了95%。然而，这个威胁向量在一年中的剩余时间里仍然给组织带来了问题。报告强调，去年RDP仍然是“所有Microsoft LOLBins（借地生存的二进制文件）中被滥用最多的”。

报告说：“RDP滥用已达到新高度，90%的攻击利用它进行内部横向移动，20%用于外部远程访问。对于仍然将RDP暴露在互联网上的18%的组织，你应该问问自己，‘我的天，我做了什么？’”

Shier详细说明了为什么企业继续努力保护RDP。基于IR数据，他说组织分为两类。“一类是组织不知道将RDP暴露在互联网上可能带来的危害，并且长期保护不足，另一类是他们根本就不在乎。”

企业在确保凭证的安全方面也继续面临挑战。Sophos将被盗凭证归为攻击的第一大根本原因，这一比例几乎是2022年的两倍。“更糟糕的是，凭证加固的状态令人痛心。在43%的调查中，没有配置多因素认证（MFA）。”报告说。

Sophos补充说，MFA技术现在已经有三十年的历史了。

报告敦促企业还要保护它们的Active Directory（AD），攻击者越来越多地将目标对准了AD。Sophos在2023年开始追踪时间至Active Directory的指标，并发现所有攻击的中位数时间至AD为0.64天。

关于AD威胁，报告建议企业运行工具以检测可疑活动，更重要的是，持续监控并响应可疑信号。在IR调查期间，Sophos还发现日志可见性是一个问题。在供应商调查的54%的攻击中，遥测数据缺失。

“虽然日志不可用的原因有几个，但在大多数情况下，这是因为组织没有采取必要措施确保在最需要时它们会在那里。”报告说。

报告补充说：“在事件响应上下文中最重要的是如何攻击者侵入了组织以及为什么他们成功了。”