根據 Ivanti 2021 年第三季度勒索軟體指數聚焦報告顯示，與 2021 年第二季度相比，與勒索軟體相關的 CVE 增加了 4.5%，勒索軟件家族增加了 3.4%。

其中五個漏洞可被用於實現遠端代碼執行 (RCE)、兩個可用於利用 Web 應用程序並發起拒絕服務 (DoS) 攻擊。此外，研究人員還發現，勒索組織都會在 CVE 被修補及發現之前利用零時差漏洞，譬如 REvil 勒索組織之前發現並利用了 Kaseya VSA 軟件中的缺陷來發動攻擊。不僅如此，2020 年或更早的三個漏洞，也與 2021 年第三季度的勒索軟體有所關聯，使與勒索軟件相關的舊漏洞總數達到 258 個（佔與勒索軟件相關的所有漏洞的 92.4%之高）。

此外，勒索軟件攻擊中使用的技術也變得越來越複雜。 Ivanti 分析中提到一種 dropper as-a-service 的服務，允許技術上不精通但又有犯罪傾向的惡意行為者能透過在受害者計算機上執行惡意負載的 dropper 程序分發惡意軟件。

從這些調查數據我們可以看出，勒索軟體正在急速發展，並且日後有可能演變成更危險及可怕的軟體。而對許多企業組織而言，如何以易於操作的方式在攻擊發生前做好防禦是很重要的。這意味著公司需要尋求一種集體及動態的防禦策略，以便持續了解攻擊面和風險面。當資訊團隊與自動化流程的連結越多，在對抗勒索軟體方面的能力就越好越有效。

關鍵智慧所研發之 Key-Reporter 關鍵弱掃報告管理系統，在弱點報告產出以後，透過持續動態進行的過程，結合自動化的方式，來讓弱點的管理變得更有效率，降低駭客入侵的機會。若想提升資安防護，弱點管理是必不可少的方式，歡迎聯繫我們們來了解更多 Key-Reporter 的詳情！

參考資料：
https://threatpost.com/12-new-flaws-used-in-ransomware-attacks-in-q3/176137/