2021年又是COVID-19和恶意软件在头条新闻中猖獗的一年。无论是线下还是线上,世界仍在与病毒作斗争。当攻击关键基础设施和供应链成为一种新趋势时,今年又发生了可怕的转变。可能是因为流行的僵尸网络已关闭,或者只是简单的老式民族国家支持的攻击。
勒索软件勒索已从一种趋势演变为一种新常态。每个主要的勒索软件活动都在使用双重勒索方法,这对小企业来说是一个可怕的势头。他们不仅会窃取和锁定文件,而且如果没有达成赎金协议,恶意行为者会以最具破坏性的方式泄露数据。
好消息是去年20万美元的平均赎金,而今天的平均水平略低于15万美元。坏消息是黑客正在瞄准各种规模的企业。事实上,大多数受害者是最终支付约5万美元的小企业。
勒索软件攻击者的策略越来越好,他们招募人才并提供简化的用户体验,整个过程非常简单。最重要的是,供应链攻击正成为一个大问题。
网络钓鱼仍然是这些攻击活动的关键,通常是恶劣的恶意软件危害企业的第一步。这突显了用户教育的重要性。毕竟每个怪物都有弱点,您只需要放置一个吸血鬼、砍下僵尸的头部,训练用户不要点击这些网络钓鱼诱饵或启用附件中的宏,这些方法已被证明可以阻止这些生物(和恶意软件)的踪迹。
以下列出了2021年最恶劣的恶意软件:
一、僵尸网络Lemonduck(柠檬鸭)
LemonDuck作为著名的僵尸网络和加密挖掘有效负载,仅存在了几年。它是最烦人的有效载荷之一,因为它将使用几乎所有感染手段,如COVID主题的电子邮件、漏洞利用、无文件powershell模块和暴力破解。但在2021年,LemonDuck变得越来越流行,甚至增加了一些新功能,例如窃取凭据、删除安全协议,甚至为后续攻击放弃了更多工具。更糟糕的是,LemonDuck会攻击Linux系统和Windows系统,这既方便又罕见。当受害者只专注于修补最近流行的漏洞时,它将使用较旧的漏洞进行破坏,而这些漏洞可以保持未修补。
一个有趣的怪癖是,LemonDuck通过消除相互竞争的恶意软件感染,将其他黑客从受害者的设备中移除。LemonDuck希望成为最大、最恶劣的恶意软件,他们甚至通过修补用来获取访问权限的漏洞来防止新的感染。它挖掘XMR是因为这是消费级硬件最友好的散列算法,因此可以确保网络犯罪分子的最大利润。这些利润是即时的,是由受害者的电费随时间产生。攻击不需要赎金,因此受害者不需要同意或了解攻击/违规行为,这非常令人讨厌。
二、勒索软件REvil
几乎每人,即使是那些不了解信息安全的人,都听说过7月的Kaseya供应链攻击事件,主要针对的是美国公司。他们还攻击了无数其他企业,包括全球肉类供应商JBS。这个名为REvil的团体每年都进入这个名单也就不足为奇了。
您可能在2018年听说过名为Gandcrab的勒索软件,或在2019年听说过Sodinokibi。它们都是同一个组织,今年它们是REvil。他们提供勒索软件即服务 (Raas),这意味着他们制作加密有效载荷,并在暗网上提供勒索泄露网站。
附属公司将进行攻击,使用勒索软件负载,并分享所有利润。在Kaseya攻击事件以及随后白宫与普京的会议后不久,REvil支付和泄露网站出现故障,洋葱链接不再有效。
“根据未经证实的信息,REvil服务器基础设施收到了政府的法律要求,迫使REvil完全清除服务器基础设施并消失。但是,这尚未得到证实。”
与此列表中的许多令人讨厌的恶意软件一样,REvil可能还没有死(他们在暗网上的泄露站点于9月初重新上线)。在度过了一段美好的假期之后,他们正在重新开启基础设施。
三、银行木马Trickbot
Trickbot作为一种流行的银行木马已经存在了十年,现在已经发展成为现存最广为人知的僵尸网络之一。Trickbot被大量网络黑社会使用,由于其多功能性和弹性,它与许多勒索软件组织有关联。去年秋天,美国国防部、微软和其他机构对该组织的僵尸网络进行了攻击,几乎将其摧毁。但就像任何优秀的僵尸一样,它们在Emotet关闭后再次崛起,成为头号僵尸网络。
Trickbot感染几乎总是导致勒索软件。一旦进入机器,它就会通过网络横向移动,利用漏洞来传播和收集尽可能多的凭据。有时,收集所有域的凭据需要数周或数月的时间。一旦他们完全控制了环境,他们就会确保勒索软件造成最大的破坏,而缓解措施可能会失败。
四、银行木马和信息窃取程序Dridex
另一个非常流行的银行木马和信息窃取程序已经存在多年,Dridex与Bitpaymer/Doppelpaymer/Grief等勒索软件紧密相关。Dridex一直在Emotet的机器上运行,直到它们关闭,但现在运行自己的恶意垃圾邮件活动。
一旦进到一台机器上,它还会通过网络横向移动,在每台机器上放置dridex加载程序以创建持久性。就像Trickbot一样,Dridex花时间收集凭据,直到获得完全控制权。从那里,它们可以造成最大的破坏,同时防止缓解策略将它们关闭。
Dridex的作者被称为“Evil Corp”,其领导人被美国联邦调查局(FBI)通缉,最高悬赏500万美元。
五、勒索软件Conti
这个勒索软件组织对我们的恶意软件列表并不陌生,它以前作为Ryuk(使用Emotet和Trickbot背后的勒索软件运营商)而出彩。事实上,他们是美国联邦调查局(FBI)认为 2019 年最成功的勒索软件组织。虽然Conti是从RDP部署的,但它通常不进行不安全的 RDP 暴力破解。大多数情况下,凭据是从诸如Trickbot或Qakbot之类的信息窃取木马程序中抓取或钓鱼得到。
这些勒索软件作者还运营着一个泄漏网站,以进一步恐吓受害者支付赎金。Conti在2021年登上了大量头条新闻,并攻破了许多大型组织,但这还没不是最黑暗的时刻。我们还注意到,LockFile勒索软件将Conti团伙的电子邮件地址列为付款联系人,将这两个群体联系起来。
六、渗透测试工具Cobalt Strike
Cobalt Strike是白帽设计的渗透测试工具。其目的是帮助红队模拟攻击,以便红队黑客可以渗透到环境中,确定其安全漏洞并进行适当的更改。这个工具有几个非常强大和有用的功能,如进程注入、权限提升、凭证和哈希收集、网络枚举、横向移动等。
所有这些对黑客都很有吸引力,所以我们经常看到坏人使用Cobalt Strike也就不足为奇了。在最讨厌的恶意软件中列出一个白帽子工具对我们来说是独一无二的,但该工具容易用于可扩展的自定义攻击。难怪这么多攻击者将其作为武器库中的工具之一。
七、不光彩的提名
. Hello Kitty – 该组织因使用漏洞利用对VMWare ESXI的独特攻击而受到不光彩的提及。它因攻破CD Projekt RED并窃取他们的游戏源代码而闻名,其中最著名的是《CyberPunk 2077》和《Witcher 3》。
. DarkSide – Colonial管道攻击是2021年最引人注目的攻击事件,导致天然气短缺和恐慌性购买加剧。这提醒我们,勒索软件攻击的破坏性有多大,其围绕的炒作让人想起 Wannacry。据RaaS组织声称,无意攻击基础设施,并将管道攻击归咎于附属机构。但就在攻击发生几周后,出现了一个名为Black Matter的类似 RaaS,并声称可以攻击除医疗和国家机构之外的所有环境。他们还声称与DarkSide不是同一群人。但老实说,谁相信呢?
八、如何保持安全
是时候提高、学习如何防范可怕的恶意软件了。随着攻击者每年都变得越来越老练,拥有多层保护策略非常重要。
1、企业用户
. 锁定远程桌面协议 (RDP):使用加密数据并使用多重身份验证的RDP解决方案。当远程连接到其他机器时,需要增加安全性以防止漏洞。
. 教育最终用户:防止攻击始于增强最终用户的意识。定期进行网络安全意识培训和网络钓鱼模拟可确保数据安全。此外,确保员工知道何时以及如何报告可疑消息。
. 安装信誉良好的网络安全软件:选择使用实时、全球威胁情报和机器学习来阻止威胁的解决方案。寻求具有多层屏蔽的保护,以检测和防止多种不同攻击阶段的攻击。
. 建立强大的备份和灾难恢复计划:企业不能没有强大的备份。定期测试备份并设置警报,以便管理员可以轻松查看是否有问题。
2、个人用户
. 对消息的怀疑。像对待恐怖电影中的墓地一样对待你的电子邮件。不要点击电子邮件中的链接或附件。警惕任何要求提供个人信息的电子邮件、短信、电话或社交媒体消息。
. 使用防病毒软件和 VPN 保护您的设备。确保不仅要保护计算机,还要保护智能手机和平板电脑。当您丢弃旧设备时,请务必先将其擦拭干净。
. 使防病毒软件和其他应用程序保持最新。黑客使用过时的软件和操作系统将恶意软件植入您的系统,并窃取您的信息。要经常安装应用的更新。
. 使用安全的云备份。我们建议同时使用以加密格式存储数据的在线备份,和不使用时拔下的物理备份驱动器。
. 创建强大的、唯一的密码(并且不要共享它们)。长度 = 强度。使用密码短语增加密码字符数,防止暴力破解。可以使用密码管理器来帮助您创建和存储好的密码。这样,您就不必全部记住或写下来。
. 如果您下载的文件要求您启用宏,请不要这样做。这是文件感染了恶意代码的强烈迹象。尽管宏具有合法用途,但它们在普通家庭用户环境中极为罕见。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:https://community.webroot.com/
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照