与新冠肺炎疫情相关的网络钓鱼和恶意软件攻击急剧增加,从2月份的每周不足5,000次激增至4月下旬的每周超过20万次。此外,在5月和6月,随着各国开始解除防疫封禁措施,攻击者随之加大了与新冠肺炎疫情相关的攻击。与3月和4月相比,6月底全球所有类型的网络攻击增加了34%。
报告中揭示的主要趋势包括:
网络战升级:随着世界各国试图收集有关疫情的情报或破坏竞争对手对的疫情防控工作,今年上半年,国家级网络攻击的强度和严重程度均出现飙升。这种攻击扩展到了医疗和人道主义组织,例如世界卫生组织,该组织报告称攻击数量增加了500%。
双重勒索攻击:2020年,一种新型勒索软件攻击被广泛使用,攻击者在窃取大量数据之后会对其进行加密。如果受害者拒绝支付赎金,则会遭到数据泄露威胁,从而被迫满足网络犯罪分子的要求。
移动攻击:攻击者一直在寻找新的移动感染媒介,改进其技术以绕过安全防护措施并将恶意应用植入官方应用商店中。在另一种创新攻击中,攻击者利用大型国际公司的移动设备管理(MDM)系统来将恶意软件分发到其托管的75%的移动设备中。
云暴露:疫情期间向公有云的快速迁移导致针对敏感云工作负载和数据的攻击有所增加。攻击者也在利用云基础设施来存储其恶意软件攻击中使用的恶意有效载荷。今年1月,CheckPoint研究人员在MicrosoftAzure中发现了业界首个严重漏洞,该漏洞允许黑客破坏其他Azure租户的数据和应用,这表明公有云并非天生安全。
CheckPoint产品威胁情报与研究总监MayaHorowitz表示:“今年上半年,在全球奋力抗击新冠肺炎疫情之际,攻击者惯常的攻击模式发生改变并加速发展,利用人们对疫情的恐惧心理来为其攻击活动提供掩护。我们还发现新型重大漏洞和攻击向量,严重威胁着各个部门的组织安全。安全专家需要了解这些快速发展的威胁,以确保其组织在2020下半年能够得到最高保护。”
2020年上半年最常见的恶意软件变体
1.2020年上半年的主要恶意软件
Emotet(影响全球9%的组织)–Emotet是一种能够自我传播的高级模块化木马。Emotet最初是一种银行木马,但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
XMRig(8%)-XMRig是一种用于挖掘门罗币加密货币的开源CPU挖矿软件。攻击者经常滥用此开源软件,并将其集成到恶意软件中,从而在受害者的设备上进行非法挖矿。
AgentTesla(7%)-AgentTesla是一种高级远程访问木马(RAT),常被用作键盘记录器和密码窃取器,自2014年以来一直活跃至今。AgentTesla能够监控和收集受害者的键盘输入与系统剪贴板,并能够记录截图和窃取受害者设备上安装的各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)的证书。AgentTesla在各种在线市场和黑客论坛上均有出售。
2.2020年上半年的主要加密货币挖矿软件
XMRig(全球46%的加密货币挖矿活动均与其有关)-XMRig是一种开源CPU挖矿软件,用于门罗币加密货币的挖掘,于2017年5月首次出现。攻击者经常滥用此开源软件,并将其集成到恶意软件中,从而在受害者的设备上进行非法挖矿。
Jsecoin(28%)-Jsecoin是一种基于Web的加密货币挖矿软件,可在用户访问特定网页时执行门罗币加密货币在线挖掘操作。植入的JavaScript会利用最终用户设备上的大量计算资源来挖矿,从而影响系统的性能。JSEcoin已于2020年4月停止活动。
Wannamine(6%)-WannaMine是一种利用“永恒之蓝”漏洞进行传播的复杂的门罗币加密挖矿蠕虫。WannaMine通过利用WindowsManagementInstrumentation(WMI)永久事件订阅来实施传播机制和持久性技术。
3.2020年上半年的主要移动恶意软件
xHelper(24%的移动恶意软件攻击与其有关)-xHelper是一种Android恶意软件,主要显示侵入式弹出广告和通知垃圾邮件。由于其具有重新安装功能,安装之后将难清除。xHelper于2019年3月首次发现,到目前为止已感染了超过4.5万台设备。
PreAMo(19%)-PreAMo是一种针对Android设备的点击器恶意软件,于2019年4月首次发现。PreAMo通过模仿用户并在用户不知情的情况下点击广告来产生收入。该恶意软件是在GooglePlay上发现的,在六个不同的移动应用中被下载超过9,000万次。
Necro(14%)-Necro是一种Android木马植入程序,它可下载其他恶意软件、显示侵入性广告,并通过收取付费订阅费用骗取钱财。
4.2020年上半年的主要银行恶意软件
Dridex(27%的银行恶意软件攻击与其有关)-Dridex是一种针对WindowsPC的银行木马。它由垃圾邮件活动和漏洞利用工具包传播,并依靠WebInjects拦截银行凭证并将其重定向到攻击者控制的服务器。Dridex不仅能够联系远程服务器,发送有关受感染系统的信息,而且还可以下载并执行其他模块以进行远程控制。
Trickbot(20%)-Trickbot是一种针对Windows平台的模块化银行木马,主要通过垃圾邮件活动或其他恶意软件家族(例如Emotet)传播。
Ramnit(15%)-Ramnit是一种模块化银行木马,于2010年首次发现。Ramnit可窃取Web会话信息,支持攻击者窃取受害者使用的所有服务的帐户凭证,包括银行帐户以及企业和社交网络帐户。
