勒索软件仍然是一股主导力量,RansomHub 仍是头号勒索软件组织。自从 Knight 勒索软件更名以来,这种勒索软件即服务 (RaaS) 行动迅速扩张,全球有超过 210 名受害者受到影响。与此同时,Meow 勒索软件也出现了,它从加密转向在泄密市场上出售被盗数据。
上个月,RansomHub 巩固了其作为头号勒索软件威胁的地位,正如 FBI、CISA、MS-ISAC 和 HHS 的联合公告中所述。此 RaaS 操作使用复杂的加密技术积极针对 Windows、macOS、Linux 以及特别是 VMware ESXi 环境中的系统。
8 月份,Meow 勒索软件也开始崛起,首次登上勒索软件排行榜第二名。Meow 最初是泄露的 Conti 勒索软件的一个变种,现在其重点从加密转向数据提取,将其勒索网站转变为数据泄露市场。在这种模式下,被盗数据会卖给出价最高的人,这与传统的勒索软件勒索手段不同。
RansomHub 成为 8 月份最大的勒索软件威胁,凸显了勒索软件即服务运营日益复杂化。组织需要比以往任何时候都更加警惕。Meow 勒索软件的兴起凸显了数据泄露市场的转变,标志着勒索软件运营商的货币化方法,其中被盗数据越来越多地出售给第三方,而不是简单地在线发布。随着这些威胁的发展,企业必须保持警惕,采取主动的安全措施,并不断增强对日益复杂的攻击的防御能力”。
2024年8月“十恶不赦”
*箭头表示与上个月相比的排名变化
FakeUpdates是本月最流行的恶意软件,影响了全球8%的组织,其次是Androxgh0st,全球影响率为5%,以及Phorpiex,全球影响率为5%。
- ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一个用 JavaScript 编写的下载程序。它会在启动有效载荷之前将其写入磁盘。FakeUpdates 导致通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)进一步受到攻击。
- ↔ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染,Androxgh0st 利用了多个漏洞,具体针对 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息,例如 Twilio 帐户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体,可以扫描不同的信息。
- ↑ Phorpiex – Phorpiex 是一个僵尸网络,以通过垃圾邮件活动传播其他恶意软件家族以及助长大规模性勒索活动而闻名。
- ↑ Qbot – Qbot 又名 Qakbot,是一种多用途恶意软件,于 2008 年首次出现。它旨在窃取用户凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。从 2022 年开始,它成为最流行的木马之一。
- ↓ AgentTesla – AgentTesla 是一种先进的 RAT,可用作键盘记录器和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截屏以及窃取安装在受害者机器上的各种软件的凭据(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
- ↓ Formbook - Formbook 是一款针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售,因为它具有强大的规避技术和相对较低的价格。FormBook 从各种 Web 浏览器收集凭据、收集屏幕截图、监控和记录击键,并可以根据其 C&C 的命令下载和执行文件。
- ↑ CloudEyE – CloudEye 是一个针对 Windows 平台的下载器,用于在受害者的计算机上下载并安装恶意程序。
- ↔ Vidar- Vidar 是一种以恶意软件即服务形式运行的信息窃取恶意软件,于 2018 年底首次被发现。该恶意软件在 Windows 上运行,可以从浏览器和数字钱包中收集各种敏感数据。此外,该恶意软件还被用作勒索软件的下载器。
- ↓ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行分发,旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
- ↔ NJRat – NJRat 是一种远程访问木马,主要针对中东的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
最常被利用的漏洞
- ↔ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。
- ↔ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
- ↔ HTTP 标头远程代码执行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 标头允许客户端和服务器通过 HTTP 请求传递其他信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
热门移动恶意软件
本月,Joker在最流行的移动恶意软件中位居第一,其次是Anubis和Hydra。
- ↔ Joker – Google Play 上的一款安卓间谍软件,旨在窃取短信、联系人列表和设备信息。此外,该恶意软件还会悄悄地让受害者在广告网站上获得高级服务。
- ↔ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来,它已获得附加功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。
- ↑ Hydra – Hydra 是一种银行木马,通过要求受害者在每次进入任何银行应用程序时启用危险权限和访问权限来窃取银行凭证。
全球最易受攻击的行业
本月,教育/研究行业在全球遭受攻击的行业中仍然位居第一,其次是政府/军事和医疗保健。
- 教育/研究
- 政府/军队
- 卫生保健
顶级勒索软件组织
这些数据基于双重勒索勒索软件组织运营的勒索软件“耻辱网站”的洞察,这些网站发布了受害者信息。RansomHub是本月最猖獗的勒索软件组织,占已发布攻击的15%,其次是Meow(占9%)和Lockbit3(占8%)。
- RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛上引人注目,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
- Meow - Meow 勒索软件是基于 Conti 勒索软件的变种,该勒索软件以加密受感染系统上的各种文件并在其后附加“.MEOW”扩展名而闻名。它会留下一个名为“readme.txt”的勒索信,指示受害者通过电子邮件或 Telegram 联系攻击者以协商赎金。Meow 勒索软件通过各种媒介传播,包括不受保护的 RDP 配置、电子邮件垃圾邮件和恶意下载,并使用 ChaCha20 加密算法锁定文件,但不包括“.exe”和文本文件。
- Lockbit3 - LockBit 是一种勒索软件,以 RaaS 模式运行,于 2019 年 9 月首次报告。LockBit 的目标是各个国家的大型企业和政府实体,并不针对俄罗斯或独立国家联合体的个人。