2021年最恶劣的恶意软件:仍然存在并在不断发展

安全
企业只需要培训用户不要点击这些网络钓鱼诱饵或启用附件中的宏——这些方法已被证明可以阻止这些恶意软件的活动。

[[442513]]

今年,又是新冠病毒和恶意软件持续猖獗的一年。无论是在现实世界还是在虚拟网络,世界各地的人们仍在与病毒(现实的新冠病毒和网络上的病毒程序)斗争。不过,今年的网络世界还是呈现出了一些可怕的新变化:攻击关键基础设施和供应链已成为一种新趋势。

今年,我们看到一些久负“盛”名的玩家纷纷退场,一些去了海滩度假,一些进了监狱。不过,无论如何,2021年仍然是网络威胁(尤其是勒索软件)主导新闻头条的一年。

勒索软件攻击已从一种趋势演变为一种新常态。每个主要的勒索软件活动都在使用“双重勒索”策略,这对小企业来说无疑是一种可怕的现象。在“双重勒索”中,威胁行为者不仅会窃取和锁定文件,而且如果没有达成赎金协议,他们还会以最具破坏性的方式泄露受害者数据。不过,好消息是,去年平均赎金的峰值为200000 美元,而如今的平均水平已经略低于150000美元。

坏消息是,攻击者正在扩大目标群并瞄准各种规模的企业。事实上,大多数受害者都是小企业,他们最终都支付了约50000美元的赎金。而且,勒索软件攻击者的策略正日益完善,不断招募人才并提供简化的用户体验。更重要的是,除了勒索软件攻击外,供应链攻击也正成为一个棘手的问题。

网络钓鱼仍然是这些活动的关键,它通常是恶意软件危害企业的第一步。这也凸显了用户教育的重要性。企业只需要培训用户不要点击这些网络钓鱼诱饵或启用附件中的宏——这些方法已被证明可以阻止这些恶意软件的活动。

下面就为大家盘点2021年最恶劣的恶意软件(排名不分先后):

1. LemonDuck

LemonDuck作为一个著名的僵尸网络和加密货币挖掘有效负载,仅仅存在了几年。它是最恼人的有效载荷之一,因为它将使用几乎所有的感染媒介,例如以新冠病毒为主题的电子邮件、漏洞利用、无文件powershell模块和暴力破解。在2021年,LemonDuck再次变得越来越流行,甚至添加了一些新功能,例如窃取凭证、删除安全协议等。

更糟糕的是,LemonDuck会同时攻击Linux系统和Windows,这一点既便利又罕见。而且,它还会利用受害者只专注于修补最近和流行漏洞的心态,通过旧的漏洞进行攻击。

一个有趣的怪癖是,LemonDuck还会“黑吃黑”,通过消除相互竞争的恶意软件感染,将其他黑客从受害者的设备中移除。LemonDuck希望成为最大、最恶劣的恶意软件,他们甚至通过修补用于访问的漏洞来防止新的感染。它还会挖掘门罗币(XMR),以实现最大利润。这些利润是即时的,甚至可以说是“多劳多得”的。攻击没有赎金要求,因此受害者不会了解这种攻击/破坏。

2. REvil

即便是不了解信息安全的人,想必也都听说过发生在七月份的Kaseya供应链攻击事件,致使其他企业中招,其中包括全球肉类供应商JBS。

你可能在2018年听说过名为Gandcrab的勒索软件,或在2019年听说过Sodinokibi。没错,他们都是同一个团体,今年他们的身份是REvil。他们提供勒索软件即服务(RaaS),这意味着他们制作加密有效载荷,并为暗网上的勒索泄露网站提供便利。附属公司将使用勒索软件有效载荷进行攻击,并共享所有利润。

在Kaseya攻击事件以及随后白宫和普京的会晤后不久,REvil支付和泄露网站就下线了。根据相关信息所示,REvil服务器基础设施遭到了政府的取缔,迫使REvil完全删除服务器基础设施并消失。

与此列表中的许多恶意软件一样,REvil并没有自此消失,而是于9月初在暗网上的泄露网站上重新上线。在稍作休整后,他们又重新启动了自己的基础设施。

3. Trickbot

作为一种流行的银行木马,Trickbot已经存在了10年,现在已经发展为最广为人知的僵尸网络之一。Trickbot因其多功能性和弹性被大量网络犯罪组织使用,也与许多勒索软件组织存在关联。

去年秋天晚些时候,美国国防部(DoD)、微软和其他机构对该组织的僵尸网络进行了攻击,几乎将其摧毁。但就像任何优秀的僵尸一样,它在Emotet关闭后再次崛起,发展成头号僵尸网络。

Trickbot感染几乎总是会导致勒索软件攻击。一旦进入设备,它就会在网络中横向移动,利用漏洞传播和收集尽可能多的凭据。有时,收集所有域凭据需要几周或几个月的时间。一旦他们完全控制了环境,就能确保勒索软件发挥最大威力,即便是采取缓解措施也无济于事。

4. Dridex

作为另一个流行多年的银行木马和信息窃取程序,Dridex与Bitpaymer/Doupelpaymer/Grief等勒索软件紧密相关。Dridex一直在Emotet的机器上运行,Emotet关闭后,它便开始运行自己的恶意垃圾邮件活动。

一旦进入设备,它也会通过网络横向移动,在每台机器上放置Dridex加载程序。就像Trickbot一样,Dridex也会花大量时间收集凭证,直至获得完全控制权,从而对目标网络造成最大程度的破坏,同时防止缓解策略生效。

5. Conti

这个勒索软件组织对人们来说并不陌生,它曾是Ryuk(使用Emotet和Trickbot)背后的勒索软件运营商。事实上,他们曾被美国联邦调查局评为“2019年最成功的勒索软件组织”。虽然Conti通过RDP部署,但它通常不会对不安全的RDP进行暴力破解。大多数情况下,凭据是从Trickbot或Qakbot等窃取信息的木马程序中获取。

这些勒索软件开发者还运营着一个泄露网站,以进一步恐吓受害者支付赎金。Conti在2021年登上了许多头条新闻,并入侵了许多大型组织,且至今仍在活跃。此外,研究人员还注意到,LockFile勒索软件将Conti团伙的电子邮件地址列为付款联系人,这一线索将这两个群体联系在了一起。

6. Cobalt Strike

Cobalt Strike是白帽公司设计的渗透测试工具,其目的是帮助红队模拟攻击,以便黑客可以渗透到环境中,确定它的安全漏洞并做出适当的更改。这个工具有几个非常强大和有用的功能,如进程注入、权限提升、凭证和散列获取、网络枚举、横向移动等。

所有这些对黑客来说都极具吸引力,所以我们经常看到黑客使用Cobalt Strike也就不足为奇了。在“最恶劣的恶意软件”榜单中列出一个白帽子工具,可以说是绝无仅有的,但是这个工具很容易用于可扩展的自定义攻击。也难怪如此多的攻击者将其作为武器库中的工具之一。

7. Hello Kitty

HelloKitty勒索软件运营商自2020年11月以来一直处于活跃状态,今年7月以来,他们开始使用其恶意软件的Linux变体以VMware ESXi虚拟机平台为目标实施攻击。

而它最出名的事迹还要数破坏CD Projekt RED并窃取其游戏源代码,包括著名的《CyberPunk 2077》和《Witcher 3》等。

8. DarkSide

Colonial Pipeline攻击是2021年最引人注目的攻击事件,导致了天然气短缺和恐慌性购买情绪。不过,此事也提醒我们,勒索软件攻击的破坏性有多大,就像当年的Wannacry。

该勒索软件即服务(RaaS)组织声称,他们无意攻击基础设施,并将攻击行为推给其附属机构。但就在袭击发生几周后,又出现了一种名为“Black Matter”的类似 RaaS组织,并声称将攻击除医疗和国家机构以外的所有环境。同时,他们还声称与DarkSide不是同一个人。但老实说,谁相信呢?

 

责任编辑:姜华 来源: 企业网D1Net
相关推荐

2019-12-26 21:54:12

物联网机器学习自动驾驶

2021-07-15 17:38:26

恶意软件黑客网络攻击

2021-07-16 09:20:53

数字化

2023-09-03 16:54:59

容器架构微服务

2021-03-18 15:51:22

智慧城市物联网生态系统

2018-05-18 10:10:05

开源

2011-07-21 13:31:45

云存储云计算

2020-01-18 10:04:12

开源sourceforge开发者

2022-02-24 20:56:25

物联网无人机智慧城市

2024-07-26 09:00:45

2023-05-17 15:31:03

物联网边缘计算

2021-02-28 09:36:14

勒索恶意软件网络威胁

2018-08-17 05:37:32

物联网平台物联网IOT

2023-04-13 16:30:39

物联网IoT

2020-11-11 12:49:17

SAPPLM产品管理

2021-05-19 14:46:49

数字化

2014-03-07 10:20:56

Array应用交付

2022-08-10 14:39:05

数据中心数字经济供应链

2023-11-06 14:28:47

2021-06-01 11:01:08

勒索软件发展分析反勒索软件日
点赞
收藏

51CTO技术栈公众号