5月13日訊 最近一份研究報告指出，加密貨幣挖礦劫持活動熱潮未退，物聯網攻擊日益猖獗，勒索軟件則正在經歷“市場調整”。賽門鐵克發布的互聯網安全威脅報告顯示，加密貨幣挖礦劫持事件2017年增加了85倍，而物聯網（IoT）攻擊事件相比2016年增加了6倍。

勒索軟件充斥網絡犯罪市場

隨著網絡犯罪即服務模式的興起，勒索軟件如今在網絡犯罪市場被視為一種商品。勒索軟件工具越來越多且易于獲取，這使得2017年的平均勒索贖金下降至522美元，不及2016年平均勒索贖金的一半。盡管如此，預計2018年勒索軟件攻擊的數量會因這類工具而增多。

加密貨幣挖礦劫持事件猛增

加密貨幣劫持事件在所有互聯網安全威脅中尤為突出，數量增加了85倍。加密貨幣劫持相對容易得手，攻擊者僅僅憑借幾行代碼就能在設備上安裝挖礦軟件，在后臺秘密挖礦。

挖礦程序會耗電，耗設備的CPU，挖礦程序的設計精巧的特性使其不易被一般的威脅檢測工具發現。越來越多的網絡和物聯網設備上被安裝挖礦程序，設備性能大打折扣，電費成本會增加，云資源也會最大限度地被利用。

有媒體將加密貨幣挖礦熱比作19世紀的淘金熱，并警告稱，現有應對物聯網攻擊的新技術將不足以阻止此類活動。鑒于物聯網驅動的加密貨幣挖礦攻擊已現苗頭，企業有必要配備訓練有素的員工隊伍應對此類威脅。

供應鏈攻擊漸露鋒芒

賽門鐵克的報告顯示，供應鏈攻擊事件2017年增加了2倍，網絡犯罪分子正通過此類攻擊尋找攻擊有價值的公司系統的突破口。在供應鏈攻擊中，威脅攻擊者通常不會直接攻擊供應商。相反，他們會通過供應商繞過企業的網絡安全機制，NotPetya 就利用了烏克蘭會計軟件中的漏洞訪問更大、更有價值的系統。

供應鏈合作伙伴遭遇了攻擊，而真正的“攻擊目標”也許并未意識到自身威脅。企業必須確保供應商滿足所有可適用的安全標準。

0Day漏洞利用事件減少，針對性攻擊增多

雖然利用 0Day 漏洞發動攻擊的事件在減少，但針對性攻擊在升溫。比如，71%的網絡犯罪團伙去年就利用魚叉式網絡釣魚感染目標，這是因為竊取憑證和繞過安全系統比繞過防火墻更容易。