勒索軟件組織正不斷將新漏洞武器化，根據(jù)Ivanti/Securin/Cyware聯(lián)合發(fā)布的最新報告，2023年第一季度安全研究人員發(fā)現(xiàn)了12個與勒索軟件相關的新漏洞，并更新了正在跟蹤的與勒索軟件相關的關鍵指標，為企業(yè)的安全團隊提供了寶貴的見解。

勒索軟件漏洞報告的五個關鍵發(fā)現(xiàn)：

1.2023年第一季度，有12個新漏洞與勒索軟件相關。

在過去的一個季度中，73%的新勒索軟件漏洞在互聯(lián)網(wǎng)和深網(wǎng)/暗網(wǎng)中呈上升趨勢。121個廠商的7444個產(chǎn)品存在易受攻擊的新漏洞，其中微軟以135個勒索軟件相關漏洞位居榜首。

2.有59個漏洞覆蓋完整的MITRE ATT&CK殺傷鏈，其中兩個漏洞是全新的。

覆蓋MITRE ATT&CK殺傷鏈的漏洞使攻擊者能夠端到端地利用它們(從初始訪問到竊取數(shù)據(jù))，因此極其危險。然而，流行的漏洞掃描器目前無法檢測到其中三個漏洞。

3.流行的漏洞掃描器未檢測到與勒索軟件相關的18個漏洞，使企業(yè)面臨重大風險。

4.開源漏洞有所增加，目前有119個與勒索軟件相關的開源漏洞存在于多個供應商和產(chǎn)品中，這是一個非常緊迫的問題，因為開源代碼在許多工具中得到廣泛使用。

5.兩個高級持續(xù)威脅(APT)組織最近開始使用勒索軟件作為首選武器，包括DEV-0569和Karakurt，使利用勒索軟件的APT組織總數(shù)達到52個。

Securin首席執(zhí)行官Aaron Sandeen認為，風險每個季度都在升級但安全人才短缺和IT預算緊縮限制了企業(yè)應對這些挑戰(zhàn)的能力。

Ivanti首席產(chǎn)品官Srinivas Mukkamala則指出：“IT和安全團隊面臨的最大挑戰(zhàn)之一是確定漏洞的優(yōu)先級并修復漏洞，尤其是那些與勒索軟件相關的漏洞?！?/span>

他還指出：“我們剛開始看到攻擊者使用AI發(fā)起攻擊。隨著多態(tài)惡意軟件攻擊和攻擊性計算的AI副駕駛技術成為現(xiàn)實，情況只會變得更加復雜和糟糕。雖然尚未在野外發(fā)現(xiàn)，但勒索軟件作者使用AI來大規(guī)模利用漏洞只是時間問題。”

來源：GoUpSec