研究人員發(fā)現(xiàn)一起攻擊活動(dòng)使用 Phorpiex 僵尸網(wǎng)絡(luò)通過數(shù)百萬(wàn)封網(wǎng)絡(luò)釣魚電子郵件傳播勒索軟件。與此同時(shí)，Lockbit3勒索軟件團(tuán)伙在短暫沉寂后又卷土重來(lái)，其攻擊數(shù)量占已發(fā)布勒索軟件攻擊的三分之一

2024年6月，領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼:CHKP）發(fā)布了其2024年5月《全球威脅指數(shù)》報(bào)告。上個(gè)月，研究人員發(fā)現(xiàn)了一起利用 Phorpiex 僵尸網(wǎng)絡(luò)策劃的惡意垃圾郵件攻擊活動(dòng)。發(fā)送的數(shù)百萬(wàn)封網(wǎng)絡(luò)釣魚電子郵件中帶有 LockBit Black，該勒索病毒基于 LockBit3，但與該勒索軟件團(tuán)伙無(wú)關(guān)。與此同時(shí)，雖然 LockBit3勒索軟件即服務(wù) (RaaS) 團(tuán)伙在全球執(zhí)法行動(dòng)中遭到了打擊，但經(jīng)過短暫沉寂后，其攻擊數(shù)量驟增，占已發(fā)布攻擊的33%。

Phorpiex 僵尸網(wǎng)絡(luò)的原始運(yùn)營(yíng)組織于2021年8月將其關(guān)閉并出售了源代碼。 然而，2021年12月，Check Point Research （CPR） 發(fā)現(xiàn)它化身為“Twizt”重現(xiàn)江湖，并采用一種分散化對(duì)等模式。今年4月，新澤西州網(wǎng)絡(luò)安全和通信集成小組 (NJCCIC) 發(fā)現(xiàn)，在一起 LockBit3勒索軟件攻擊活動(dòng)中，攻擊者使用 Phorpiex 僵尸網(wǎng)絡(luò)(在上個(gè)月的威脅指數(shù)推薦榜中位列第六)發(fā)送了數(shù)百萬(wàn)封網(wǎng)絡(luò)釣魚電子郵件。這些郵件隨附 ZIP 附件，其中的欺詐性 .doc.scr 文件一旦被執(zhí)行，就會(huì)觸發(fā)勒索軟件加密程序，該攻擊活動(dòng)使用了超過1，500個(gè)獨(dú)立IP 地址。

與此同時(shí)，Check Point 威脅指數(shù)報(bào)告匯總了從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的“羞辱網(wǎng)站”中獲得的洞察分析。攻擊者在這些網(wǎng)站上公布受害者信息，以向不付款的目標(biāo)施壓。5月份，LockBit3再次霸榜，其攻擊數(shù)量占已發(fā)布攻擊的33%。緊隨其后的是 Inc. Ransom 和 Play，檢出率分別為7% 和5%。Inc. Ransom 最近聲稱對(duì)造成英國(guó)萊斯特市議會(huì)公共服務(wù)中斷的重大網(wǎng)絡(luò)事件負(fù)責(zé)，稱其竊取了超過3TB 數(shù)據(jù)，并導(dǎo)致大面積系統(tǒng)癱瘓。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示:“盡管執(zhí)法機(jī)構(gòu)暫時(shí)打擊了 LockBit3網(wǎng)絡(luò)犯罪團(tuán)伙，不僅公布了超過7，000條 LockBit 解密密鑰外，而且還曝光了其中一名頭目和多個(gè)成員團(tuán)伙，但該威脅尚未比較有效消除。因此，看到他們進(jìn)行重新部署并實(shí)施新策略來(lái)持續(xù)發(fā)動(dòng)攻擊也就不足為奇了。勒索軟件是網(wǎng)絡(luò)犯罪分子采用的較具破壞性的攻擊手段之一。一旦攻擊者潛入網(wǎng)絡(luò)并竊取信息，那么擺在受害者面前的選擇就少有了，尤其是在他們無(wú)力支付贖金的情況下。因此，各企業(yè)必須對(duì)風(fēng)險(xiǎn)保持高度警惕，并優(yōu)先采取預(yù)防措施?！?/p>

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是上月最猖獗的惡意軟件，影響了全球7% 的機(jī)構(gòu)，其次是 Androxgh0st 和 Qbot，影響范圍分別為5% 和3%。

FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

Androxgh0st - Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個(gè)漏洞，特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

Qbot - Qbot（又名 Qakbot）是一種多用途惡意軟件，于2008年首 次出現(xiàn)，旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務(wù)操作，并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來(lái)阻礙分析和逃避檢測(cè)。從2022年開始，它成為最猖獗的木馬之一。

主要移動(dòng)惡意軟件

上月，Anubis 位居最猖獗的移動(dòng)惡意軟件榜首，其次是 AhMyth 和 Hydra。

Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。 自最初檢測(cè)到以來(lái)，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 （RAT） 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 （RAT），于2017年被發(fā)現(xiàn)，可通過應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

↑ Hydra – Hydra 是一種銀行木馬，可通過要求受害者啟用高危權(quán)限來(lái)在每次入侵銀行應(yīng)用時(shí)竊取銀行憑證。

主要勒索軟件團(tuán)伙

以下數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。上月，LockBit3是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的33%，其次是 Inc. Ransom 和 Play，分別占7% 和5%。

LockBit3– LockBit3是一種以 RaaS 模式運(yùn)行的勒索軟件，于2019年9月首 次發(fā)現(xiàn)。它主要瞄準(zhǔn)各個(gè)國(guó)家和地區(qū)的大型企業(yè)和政府機(jī)構(gòu)。在2024年2月因執(zhí)法行動(dòng)而長(zhǎng)期中斷之后，LockBit 現(xiàn)已恢復(fù)發(fā)布受害者信息。

Inc. Ransom - Inc. Ransom 是2023年7月出現(xiàn)的一種勒索軟件，主要實(shí)施魚叉式網(wǎng)絡(luò)釣魚攻擊，瞄準(zhǔn)易受攻擊的服務(wù)。該勒索軟件團(tuán)伙的主要目標(biāo)是北美洲和歐洲企業(yè)，危及醫(yī)療、教育和政府等多個(gè)行業(yè)。Inc. 勒索軟件有效載荷支持多個(gè)命令行參數(shù)，并使用多線程方法進(jìn)行局部加密。

Play - Play 勒索軟件又稱為 PlayCrypt，于2022年6月首 次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，到2023年10月影響了大約300家實(shí)體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞侵入網(wǎng)絡(luò)。得逞后，它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來(lái)執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

關(guān)于 Check Point 軟件技術(shù)有限公司??

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商，為全球超過10萬(wàn)家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最 新保護(hù)措施。此外，該團(tuán)隊(duì)由100多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

（推廣）