在过去的一年里，网络犯罪出现了空前增长。Fortinet研究表明，在2020年7月至2021年6月之间的12个月内，勒索软件数量增加了近11倍。然而，未来面临的挑战远不止这些。

FortiGuard Labs研究发现，2022年将成为网络犯罪分子的标志性年份，勒索软件呈上升趋势，并且数量空前的攻击者排队寻找受害者。攻击将继续跨越整个攻击面，让IT团队争先恐后地覆盖所有可能的攻击途径。这将非常具有挑战性，因为随着组织过渡到更多混合环境和工作空间、采用更多基于AI和机器学习技术、开发新的连接选项、以及将更多关键业务应用程序和设备部署到云中，攻击面将同时扩大。通过了解与网络威胁相关的未来可能会发生的事情，为企业提供了击败网络威胁的最佳机会。

一、攻击框架

在MITRE的ATT&CK框架下,网络犯罪通常分为攻击链的“左侧”或“右侧”。右侧是更常见的攻击，例如构建和启动恶意软件以破坏系统、窃取数据或劫持网络。这些攻击是大多数网络犯罪分子的传统领域。左侧是获得初始访问权限、执行侦察和漏洞武器化等内容。高级持续威胁(APT)位于左侧，因为其大部分工作都发生在攻击之前，包括规划、开发和武器化战略，例如识别易受攻击的网络、获得未经授权的访问、以及长时间未被发现。APT通常与拥有大量资源的恶意组织有关，例如民族国家或国家资助的参与者。

随着网络犯罪事件的增加，越来越多的犯罪组织争夺利润，研究人员预计网络犯罪分子将进行更多的“左侧”投资。与国家资助的APT组织一样，网络犯罪分子将在侦察和发现零日漏洞上花费更多的时间和精力，以利用新技术和扩展网络环境，这将刺激未来CVE的增加。

除了发现更多漏洞之外，利用这些漏洞进行攻击将更容易被其他攻击者利用，并整合到其他攻击工具包中。新漏洞的增加自然会与恶意软件即服务的增长相融合。因此，网络犯罪分子不仅会发现更多的零日漏洞并将其武器化，而且由于众多威胁行为者附属机构同时发起攻击的倍增因素，这些漏洞攻击也会以指数级的速度启动。

除了关注于攻击链“左侧”，由于犯罪即服务市场的扩大，研究人员预计“右侧”发起新攻击的速度显著增加。除了勒索软件和其他恶意软件即服务产品的销售之外，也可能还会看到新的犯罪解决方案，包括网络钓鱼和僵尸网络即服务，以及对预先泄露目标的访问。

二、攻击目标

Fortinet研究人员预计，明年将看到针对卫星网络的新漏洞利用。目前已经有六个主要的卫星互联网提供商。卫星基站作为卫星网络的入口点，基本上将每个地方的每个人（包括网络犯罪分子）连接到他们的目标，因此这里将潜伏着许多威胁。但是也会有数百万个终端可以发起攻击。研究人员已经开始看到针对基于卫星的网络的新威胁，例如ICARUS，这是一种概念验证DDoS攻击，利用全球卫星直接访问从多个位置发起攻击。

最大的攻击目标将是依靠基于卫星的连接来经营业务的组织、向偏远地区提供关键服务的组织、以及向移动中的客户提供服务的组织，例如游轮、货船和商业航空公司。其他攻击，如勒索软件攻击，肯定会随之而来。

研究人员还预计，攻击者针对加密钱包的数字盗窃会增加。虽然银行在很大程度上能够使用加密和多因素身份验证来抵御针对电汇的攻击，但许多数字钱包在笔记本电脑和智能手机上没有受到保护。研究人员已经看到针对数字钱包的新攻击层出不穷。一款新的假冒亚马逊礼品卡生成器专门针对数字钱包，将受害者的钱包替换为攻击者的钱包。ElectroRAT通过将社交工程与自定义加密货币应用程序以及新的远程访问特洛伊木马（RAT）相结合，将Windows、Linux和macOS等多种操作系统为作为攻击目标。研究人员预计将看到更多旨在针对存储的加密凭证和耗尽数字钱包的恶意软件，尤其是随着越来越多的企业采用数字钱包进行购买。

三、威胁演变趋势

传统的攻击目标仍然占据着重要位置。刚刚推出的Windows 11操作系统自然会有与此相关的新漏洞，威胁行为者会利用这些漏洞进行攻击。但这只是开始，在来年，还将看到正在发展的新趋势。

目标较少的系统：Linux在大多数网络中运行许多后端系统，但直到最近才在很大程度上被黑客社区所忽视。Vermilion Strike是臭名昭著的Cobalt Strike工具中关键功能Beacon的恶意实现。Cobalt Strike是红队和威胁行为者用来证明网络破坏风险的“威胁模拟”软件程序，Beacon旨在提供恶意负载，并在Windows环境中建立命令和控制(C2)连接。Vermilion Strike以具有远程访问功能的Linux系统为目标，因为它在Linux环境中运行时完全不被检测到。

Linux僵尸网络：威胁行为者正在为Linux平台编写新的僵尸网络恶意软件，这些恶意软件既可以将设备武器化，又可以降低性能。这进一步将威胁面扩展到网络边缘，并增加了需要防御的威胁。研究人员预计会有更多此类活动，针对网络犯罪分子传统上忽视的边缘设备，例如边缘计算设备和服务器。

Windows上的新恶意Linux二进制文件：研究人员已检测到针对Microsoft的Windows下的Linux子系统(WSL)的新恶意二进制文件，WSL是在Windows 10、Windows 11和Windows Server 2019上本地运行Linux二进制可执行文件的兼容层。2021年该领域已经发生了一些变化，检测到的恶意测试文件充当加载程序，其中许多包含恶意负载。随着微软积极将WSL 2与Windows 11集成，2022年还会有更多，使Linux成为针对Windows设备的潜在新攻击向量。

运营技术（OT）网络和其他非传统目标：2022年将看到针对非传统目标的攻击增加，例如运营技术（OT）系统。根据美国网络安全和基础设施安全局(CISA)最近的一份报告，勒索软件攻击越来越多地针对关键基础设施，并且“已经证明勒索软件对运营技术(OT)资产和控制系统的威胁越来越大”。美国国家安全局(NSA)一份类似的网络安全公告表示，“随着OT组件继续与信息技术(IT)连接，IT开发越来越多地成为OT破坏性影响的支点。”该机构还建议防御网络的所有者对其OT进行详细的风险分析。传统上，对OT系统的攻击是高度专业化的威胁行为者的领域，但此类功能越来越多地包含在可在暗网上购买的攻击工具包中，从而使其可供更多的攻击者使用。

量子目标：明年将开始看到量子计算机的武器化，尤其是量子加密。与任何新技术一样，会有很多研究人员在寻找bug、漏洞和绕过。虽然这项技术仍然主要掌握在大公司、大学和政府手中，但这并不意味着它不能被利用。民族国家已经从其他感兴趣的国家和行业收集了大量数据，其中大部分是加密的。很快，量子系统的力量将被用来打破保护数据的传统加密，揭示将用于执行未来/额外攻击的关键信息。

机器学习(ML)目标：明年也可能会看到第一次尝试篡改或逃避基于机器学习(ML)的系统，尤其是在面向互联网的外部系统上。犯罪分子将瞄准位于网络边缘的面向互联网的ML学习节点。一个基于机器学习的漏洞利用的例子是暗中训练安全系统忽略某些类型的攻击。这一类威胁非常严重，以至于MITRE宣布了一个名为ATLAS（人工智能系统的对抗性威胁格局）的新威胁矩阵，旨在帮助组织识别和分类针对ML系统的攻击。

犯罪即服务(CaaS)的增长：勒索软件即服务为开发人员和附属机构赚取了数十亿美元。利用这种商业模式的新产品包括一系列勒索软件服务，包括向预先受损的组织出售访问权限、帮助设置和协商赎金费用、以及洗钱（包括加密货币）。预计这种模型在其他地方应用，扩展CaaS产品组合以包括网络钓鱼即服务和僵尸网络/短信即服务。

2022年将继续看到这种犯罪软件的扩张，尤其是使用破坏性勒索软件。网络犯罪分子已经认识到，他们可以通过在线转售恶意软件（尤其是作为一项服务）来赚很多钱。但是，与其直接与提供类似工具的其他公司竞争，还将看到犯罪组织将其产品组合扩展到包括Linux、OT和其他非传统目标，以及针对非常规（通常安全性较低）系统的产品。持有此类系统以获取赎金是有利可图的，但当OT和关键基础设施成为目标时，也会产生可怕的后果，包括影响个人的生命和安全。这些也将成为一个新的攻击网关，因为随着网络日益互联，几乎任何接入点都可以被利用来进入IT网络。

四、漏送利用

虽然大多数攻击继续利用已知漏洞，但网络犯罪分子也在加倍努力瞄准新漏洞。例如一月份，黑客组织Hafnium开始利用微软Exchange Server中的七个新漏洞，比补丁发布时间早了两个多月。虽然微软之前已经发现了其中三个漏洞，但有四个是未知的零日漏洞。Hafnium的自动化攻击主要针对未打补丁的Exchange服务器，然后使用设计好的Webshell远程控制恶意软件、窃取数据、并未经授权访问关键系统。全球数以万计的组织受到影响，包括总部位于美国的组织，如律师事务所、国防承包商、进行传染病研究实验室和非政府组织。

到2022年，Fortinet研究人员预期，对新漏洞的狂热将继续超越Hafnium。为应对过去备受瞩目的攻击，许多组织终于将时间用于基本的网络卫生。随着漏洞补丁的陆续发布，大多数网络犯罪分子试图利用一到三年的CVE，2022年很可能成为CVE报告数量最多的一年，可能首次突破20000个，攻击者将开始利用这些新的或零日漏洞来攻击没有做好准备的组织。

五、勒索软件

勒索软件一直依靠其加密、破坏和泄露数据的能力来迫使组织付款。早期迹象表明，除非满足赎金要求，否则他们开始加大赌注，将Wiper擦除恶意软件添加到武器库中，以删除数据并破坏关键系统，例如OT或制造设备和服务器。讽刺的是，Wiper恶意软件已有近十年的历史，例如DarkSeoul和Shamoon是2012年臭名昭著的擦除器变种，因此作为当今更复杂威胁的一部分卷土重来。

网络犯罪分子已经在勒索软件活动中增加了敲诈勒索。他们窃取关键数据并威胁将其发布到公共服务器上。一些威胁行为者甚至开始联系受害者的客户，向受害者施压，以迫使其付款。勒索非常有效，以至于一些犯罪分子，例如SnapMC，已经开始完全绕过加密元素。他们只是窃取数据，然后要求公司付款，否则他们将公开内部数据。

勒索软件攻击者还通过将勒索软件与分布式拒绝服务(DDoS)相结合来增加噪音，希望压倒IT团队，使他们无法做出决定来减轻初始攻击的损害。加上擦除恶意软件，不仅会破坏数据，还会破坏系统和硬件，为公司快速付款而不是拖延事件创造了额外的紧迫感，这有时可能是受害者用来为执法部门提供发现攻击者的更大窗口的一种策略。

今年夏天，擦除恶意软件已经明显卷土重来，攻击目标是东京奥运会，并中断伊朗的火车服务。鉴于攻击方法和APT之间的融合程度，研究人员认为，将Wiper恶意软件等破坏性功能添加到大多数勒索软件中只是时间问题。

六、人工智能武器化

一段时间以来，研究人员已经预测，网络犯罪分子将开始利用人工智能来增强其恶意活动。人工智能已经用于防御性地检测可能表明攻击的异常物联网行为，通常是僵尸网络。现在，网络攻击者正在利用人工智能来阻止用于检测异常活动的复杂算法。

Deepfakes越来越受到关注，因为其利用AI来模仿人类活动，并可用于增强社会工程攻击。GPT-3是一个基于人工智能的系统，使用深度语言学习来生成听起来令人信服的电子邮件。利用它，攻击者可以通过破坏邮件服务器或运行中间人攻击来利用被劫持的电子邮件，来生成电子邮件和电子邮件回复，模仿经理或高管的写作风格、用词选择和语气，例甚至引用以前的通信。

这只是一个开始，已经有在线软件工具可以克隆人类的声音。只需几秒钟的音频就可以创建一个人的声音指纹，然后实时生成任意语音。8月份发布了一段Deepfake概念验证视频，展示了一位扮演的NVIDIA首席执行官的形象。尽管仍处于初始开发阶段，但随着CPU/GPU的性能变得更强大且更便宜，这种类型的支持AI的Deepfake将成为问题。通过高级应用程序的商业化，也将降低创建Deepfake的门槛。这最终可能导致对可以通过生物特征分析的语音和视频应用程序进行实时模拟。这种可能性是无限的，包括消除声纹作为一种身份验证形式。

刚刚发布了一款名为Counterfit的开源工具，用于对人脸识别、图像识别和欺诈检测等AI系统进行渗透测试，以确保所使用的算法是可信的。组织还可以利用此工具进行红蓝对抗模拟。预计攻击者也会这样做，使用此工具来识别人工智能系统中的漏洞。

七、防御措施

了解典型的网络犯罪攻击技术可以有效的改善组织的整体安全态势。建立零信任访问及分段等有效的安全策略，可有助于防止勒索软件攻击并保护数据。此外，定期备份数据、离线和非网络存储可以在需要时提供快速恢复备份。同时，关注攻击趋势，并使用共享数据来识别行为模式。网络犯罪分子有时会使用相同的技术，利用一些没有打补丁或未被注意到的漏洞。

- END -