Crypto-Mining：2018年物聯網攻擊成頂級互聯網安全威脅

根據國外報道，最近的研究，加密挖掘礦工針對物聯網（IoT）攻擊日益猖獗，勒索軟體正在經歷根據「市場」進行「策略性調整」。正如TechRepublic所指出的那樣，互聯網安全威脅的新數據顯示，加密挖掘礦工工作量增加了8,500％，物聯網的被攻擊則比前一年增加了600％。

根據Security Boulevard的說法，勒索軟體現在被認為是一種商品服務，隨著作為一種網路犯罪選項的出現，這使得沒有技術經驗的黑客，也可以租用到流行勒索軟體。

由於勒索軟體工具的可用性增加，致使2017年的平均贖金費降至522美元，不到2016年平均網路犯罪分子要求的一半。儘管如此，人們應該能夠預計到2018年勒索軟體攻擊的數量會隨著通用工具的增加而增加。

根據賽門鐵克的「2018年互聯網安全威脅報告」，去年Crypto-mining對互聯網安全威脅提升幅度最大，提升率高達8500％。攻擊者只需幾行代碼，就可以在被攻擊者不知情的設備上安裝加密挖掘軟體，在後台消耗計算機算力，挖掘產生加密數字硬幣。

加密挖掘代碼的輕量級特性，使其能夠在躲過大部分典型威脅檢測工具的掃描，即使它周期的消耗中央處理單元（CPU）算力。隨著越來越多的惡意挖掘礦工軟體被安裝在網路和物聯網設備上，網路或設備的性能必然受到影響，而電力能源成本亦上升。

TechRepublic的文章將加密挖掘的興起比作19世紀淘金熱帶來的誘惑，並警告稱對抗物聯網攻擊的新技術「不足以阻止所有攻擊。」認識到這一點很重要，作為抵抗物聯網加密挖掘攻擊，訓練有素的員工可能是抵禦物聯網網路攻擊的最佳防禦手段。

正如賽門鐵克報告中指出的那樣，供應鏈攻擊正在增加。這些事件在2017年增加了200％，因為網路犯罪分子正在尋找攻陷企業系統的方法。在供應鏈攻擊中，威脅主體通常不直接針對供應商。相反，他們使用方法來繞過企業網路安全。例如，NotPetya利用烏克蘭會計軟體的缺陷，進行更大，更有價值的系統訪問。

更重要的是，主要目標可能不知道供應鏈合作夥伴已經受到影響，直到發現時已為時已晚。最後，儘管零日漏洞有所減少，但有針對性的攻擊正在上升。例如，根據賽門鐵克的數據，去年71％的網路犯罪組織採用的技術是魚叉式網路釣魚，因為可以有效的竊取憑證和更容易繞過安全系統、防火牆，現在它是最大的威脅形式之一。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！