去年同期，攻击者已将矛头从企业基础设施设备转向家庭网络和消费级设备。不过如今，他们开始双管齐下大肆攻击。IPS排名检测结果表明，虽然网络犯罪分子仍然紧紧盯着小企业和消费级技术寻找居家工作员工的网络漏洞，但是他们又卷土重来重新开始瞄准企业网络、内容管理和应用开发平台 （CMS）。

　　根据FortiGuard Labs上半年记录显示的另一个趋势则是攻击数量正在急剧增加。截止2021年六月，检测到的受僵尸网络攻击的组织数量从35%跃升至51%。

　　这一激增是由TrickBot的迅速蔓延而造成的，TrickBot是一种高度复杂、模块化的多阶段套件，从最初的银行木马演变而成进行一系列非法攻击。Mirai 曾是最猖獗的僵尸网络，在2020年初超过了Gh0st后高速增长。Mirai一直都在向其武器库添加新的网络武器，其主导地位部分归功于“吸收利用”了那些用于 WFA或远程学习者的物联网（IoT）设备的漏洞。同时，Gh0st在僵尸网络攻击事件中也不容小觑。

　　网络威胁增加最多的仍是勒索软件，在过去的12个月中激增了十倍以上。一定程度上是因为持续增长的勒索软件即服务 （RaaS）。除了租用勒索软件外，一些不法分子进而出售受感染企业的网络访问权限，吸引更多技术含量较低的犯罪分子加入。

　　2021年上半年，电信类组织是遭受攻击数量最多的行业，其次为政府机构、托管安全服务供应商、汽车和制造行业。许多轰动的黑客袭击事件直接导致一些极为重要的部门瘫痪，同时影响到日常生活、生产力和商业运作。其中就包括中断美国东海岸石油和汽油输送的Colonial Pipeline攻击事件、引发全球肉类短缺恐慌的JBS Foods攻击事件，以及殃及整个下游客户群体的Kaseya VSA的供应链攻击事件。

　　当然勒索软件攻击不仅数量增幅快，其危害程度也日趋严重。网络犯罪分子正不断加大勒索力度，迫使受害者付款。包括结合加密劫持与doxing（威胁公开暴露内部数据），添加DDoS攻击制造更多的混乱和恐慌，甚至直接与受害者的客户或利益攸关者联系，向受害者进一步施加压力以求获得赎金。

　　全球威胁态势报告其他要点摘要

　　运营技术（OT）可能不像IT那样受到同等的关注，但它与包括关键基础设施在内的物理世界的联系意味着它的中断会在工作日结束后的很长时间里依然影响人们的生活。FortiGuard实验室的数据表明，攻击者对于识别OT漏洞并将其构建到漏洞利用工具中一直保持持续的兴趣。也就是说现在，使用脚本新手找到暴露的OT设备的机会，和那些专业利用无保护和未修补ICS的APT组织相差不多。

　　网络安全是一场漫长的角逐游戏，不是所有行动都能立竿见影。不过批评的声音越大，压力越大，产生的影响也就越大。与此同时，国际刑警组织和世界经济论坛网络安全中心等组织已就克服地缘政治限制展开国际对话，寻求更多更好的合作，共同防御网络犯罪组织、检测并遏制威胁。2021年上半年采取的公私合作行动可能会改变这场游戏的规则。政府机构现在正在与行业生产商、威胁情报组织和全球性企业协作，融合资源和实时威胁情报对网络犯罪分子采取直接行动。

　　这场大规模协调行动的成果之一就是取缔了Emotet，它是近代历史上最多产的恶意软件之一，以及中断了Egregor、NetWalker和Cl0p勒索软件的运作，这代表着全球政府和执法部门在遏制网络犯罪方面取得的重大胜利。同样令人鼓舞的还有，DarkSide、Avaddon和Ziggy等网络犯罪组织相继自愿退出，以及一些地下论坛在美国石油管道遭受袭击后拒绝交易勒索软件。此外，TrickBot的原开发者在6月份因多项指控被提审。这种对关键参与者不断增加的压力的做法，代表着政府和执法部门在遏制网络犯罪方面迈出了重要的一步。

　　当然这种合作还需要与先进的技术和威胁情报相结合。FortiGuard实验室已开始通过引爆威胁样本来解读检测到的恶意软件的预期目标，从而分析其内置特定功能。种种结果表明，当前的恶意软件设置了一系列目标结果：包括特权升级、逃避防御、跨内部系统横向移动以及泄露受损数据。

　　详细记录这些威胁情报可以揭示相关攻击技术当前的发展趋势，有助于公司和机构利用这些信息加强其关键数字资源保护。例如，据观察到的特权升级功能，有55%使用了Hooking挂钩，而40%则采用了进程注入。由此可见，网络犯罪分子对于防御性逃避和特权升级策略有着明显的偏向。

　

　　最新全球威胁态势报告是FortiGuard实验室的工作结晶。本报告从全球和区域视角出发，提供了2021年上半年威胁趋势和网络安全观点。根据MITRE ATT&CK框架对攻击策略和技术进行分类，描述了攻击者如何发现漏洞、构建恶意基础设施并实施攻击的过程。这些可以帮助安全人员更好地识别和应对那些影响他们参与全球经济的现有和新兴威胁。