Check Point 的威脅指數(shù)報(bào)告揭示了勒索軟件即服務(wù) （RaaS） 領(lǐng)域發(fā)生的變化，其中 RansomHub 躍居榜首，取代 LockBit3成為了最猖獗的勒索軟件團(tuán)伙。

2024年7月，領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商?Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼:CHKP）發(fā)布了其2024年6月《全球威脅指數(shù)》報(bào)告。

上月，研究人員注意到勒索軟件即服務(wù) （RaaS） 領(lǐng)域發(fā)生了變化:后來(lái)者 RansomHub 取代 LockBit3成為了最猖獗的勒索軟件團(tuán)伙。與此同時(shí)，研究人員還發(fā)現(xiàn)了一個(gè)名為BadSpace?的 Windows 后門，它利用受感染的 WordPress 網(wǎng)站通過(guò)虛擬瀏覽器更新進(jìn)行傳播。

此外，研究人員還著重提及了最近發(fā)生的一起?FakeUpdates 攻擊活動(dòng)（又稱 SocGholish）。FakeUpdates 是近期最猖獗的惡意軟件之一，現(xiàn)在提供了一個(gè)名為 BadSpace 的新后門。第三方聯(lián)盟網(wǎng)絡(luò)為 FakeUpdates 的傳播提供了便利，該網(wǎng)絡(luò)將受感染網(wǎng)站的流量重定向到 FakeUpdates 登陸頁(yè)面。然后，這些頁(yè)面會(huì)提示用戶下載看似瀏覽器更新的程序。但是，該程序?qū)嶋H上包含一個(gè)基于 JScript 的加載器，隨后會(huì)下載并執(zhí)行 BadSpace 后門。BadSpace 采用復(fù)雜的混淆和反沙盒技術(shù)來(lái)逃避檢測(cè)，并通過(guò)計(jì)劃任務(wù)確保持久性。它的命令和控制通信經(jīng)過(guò)加密，因此很難截獲。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示:“針對(duì) LockBit3采取的執(zhí)法行動(dòng)似乎取得了預(yù)期成效。不過(guò)，同以往一樣，該勒索軟件肆虐程度下降之后，其他犯罪團(tuán)伙立刻補(bǔ)上，繼續(xù)針對(duì)全球企業(yè)與機(jī)構(gòu)發(fā)起勒索軟件攻擊活動(dòng)?！?/p>

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates?是本月最猖獗的惡意軟件，全球?7%?的機(jī)構(gòu)受到波及，其次是?Androxgh0st?和?AgentTesla，分別影響了全球?6%?和?3%?的機(jī)構(gòu)。

?FakeUpdates?– FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過(guò)許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

?Androxgh0st -?Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個(gè)漏洞，特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

↑?AgentTesla?– AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高 級(jí) RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

最常被利用的漏洞?

↑ Check Point V P N 信息泄露 （CVE-2024-24919） -?該信息泄露漏洞存在于其中，可能允許攻擊者在啟用遠(yuǎn)程訪問(wèn)V P N或移動(dòng)訪問(wèn)的聯(lián)網(wǎng)網(wǎng)關(guān)上讀取某些信息。

?Web 服務(wù)器惡意 URL 目錄遍歷漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）- 不同 Web 服務(wù)器上都存在目錄遍歷漏洞。這一漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤所致，沒(méi)有為目錄遍歷模式正確清理 URI。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用漏洞泄露或訪問(wèn)易受攻擊的服務(wù)器上的任意文件。

↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）?- HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請(qǐng)求的其他信息。遠(yuǎn)程攻擊者可能會(huì)使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運(yùn)行任意代碼。

主要移動(dòng)惡意軟件

上月，Joker?位居最猖獗的移動(dòng)惡意軟件榜首，其次是?Anubis?和?AhMyth。

↑?Joker?– 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊(cè)付費(fèi)服務(wù)。

↓ Anubis –?Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測(cè)到以來(lái)，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問(wèn)木馬 （RAT） 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

↓ AhMyth?– AhMyth 是一種遠(yuǎn)程訪問(wèn)木馬 （RAT），于2017年被發(fā)現(xiàn)，可通過(guò)應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

主要勒索軟件團(tuán)伙?

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。上月，RansomHub?是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的?21%，其次是?Play?和?Akira，分別占?8%?和?5%。

RansomHub?– RansomHub 以勒索軟件即服務(wù) （RaaS） 模式運(yùn)行，據(jù)稱是已知 Knight 勒索軟件的翻版。2024年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對(duì)各種系統(tǒng)(包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境)發(fā)起的破壞性攻擊活動(dòng)，以及采用的復(fù)雜加密方法而臭名昭著。

Play -?Play 勒索軟件又稱為 PlayCrypt，于2022年6月首 次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，到2023年10月影響了大約300家實(shí)體。Play 勒索軟件通常通過(guò)被盜的有效賬戶或利用未修補(bǔ)的漏洞侵入網(wǎng)絡(luò)。得逞后，它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來(lái)執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

Akira?– Akira 勒索軟件于2023年初首 次發(fā)現(xiàn)，主要針對(duì) Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom（） 和 Chacha2008對(duì)文件進(jìn)行對(duì)稱加密，類似于曝光的 Conti v2勒索軟件。Akira 通過(guò)多種途徑傳播，包括受感染的電子郵件附件和 V P N 端點(diǎn)漏洞。感染后，它會(huì)加密數(shù)據(jù)，并在文件名后添加“.akira”擴(kuò)展名，然后留下勒索信，要求支付解密費(fèi)用。

關(guān)于?Check Point?軟件技術(shù)有限公司??

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端?AI 網(wǎng)絡(luò)安全平臺(tái)提供商，為全球超過(guò)?10萬(wàn)家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的?AI 技術(shù)通過(guò)?Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于?Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最 新保護(hù)措施。此外，該團(tuán)隊(duì)由100多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

（推廣）