2024年12月份恶意软件之“十恶不赦”排行榜

2024 年即将结束时，一个新名字跃居网络威胁排行榜榜首：FunkSec。FunkSec 是一家领先的勒索软件即服务 (RaaS) 参与者，去年 12 月，它在其数据泄露网站 (DLS) 上发布了 85 多个受害者资料，引起了轰动。然而，在其表面上的主导地位背后隐藏着一个更复杂、更有争议的故事，正如2024 年 12 月全球威胁指数所揭示的那样。

FunkSec 的快速崛起凸显了 RaaS 运营商不断演变的策略。该组织利用人工智能来扩大运营规模，似乎严重依赖人工智能工具来生成勒索软件并管理其双重勒索活动。虽然这种创新方法表明了他们的适应性，但 CPR 的分析表明他们缺乏成熟度。FunkSec 发布的很多声明都被标记为回收、伪造或未经证实，这引发了人们对该组织的可信度和执行能力的质疑。

调查显示 FunkSec 的活动与阿尔及利亚有关，表明其活动兼具经济动机和黑客行动主义思想。这种双重动机使 FunkSec 与更成熟的勒索软件组织区别开来，因为它们介于政治破坏和以营利为目的的网络犯罪之间。

2024年12月“十恶不赦”

*箭头表示与上个月相比的排名变化

虽然 FunkSec 主导了勒索软件领域，但 12 月份的恶意软件排名揭示了针对全球组织的威胁持续演变。以下是排名前三的恶意软件家族。FakeUpdates (SocGholish) 重新夺回了最广泛恶意软件的地位，影响了全球 5% 的组织，其次是 AgentTesla (3%) 和 Androxgh0st (3%)。这些恶意软件变体采用的手段包括从凭证盗窃到跨平台僵尸网络攻击。

*箭头表示与上个月相比的排名变化。

1. ↑ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载程序。它会在启动有效载荷之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件导致进一步的攻击。
2. ↑ AgentTesla – AgentTesla 是一种先进的 RAT，可用作键盘记录器和信息窃取程序，能够监视和收集受害者的键盘输入、系统键盘、截屏以及窃取安装在受害者机器上的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。
3. ↓ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染，Androxgh0st 利用了多个漏洞，具体针对的是 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息，例如 Twilio 帐户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体，可以扫描不同的信息。
4. ↑ Remcos – Remcos 是一种 RAT，于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行分发，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
5. ↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令以下载和执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
6. ↑ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者，并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
7. ↑ Rilide –一种针对基于 Chromium 的浏览器的恶意浏览器扩展程序，模仿合法软件来渗透系统。它利用浏览器功能执行有害活动，如监视网页浏览、捕获屏幕截图以及注入脚本以窃取加密货币。Rilide 通过下载其他恶意软件、记录用户活动来运行，甚至可以操纵网络内容以欺骗用户进行未经授权的操作。
8. ↔ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动传播其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
9. ↓ Formbook - Formbook 是一款针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售，因为它具有强大的规避技术和相对较低的价格。FormBook 从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。
10. ↑ Amadey – Amadey 是一种木马机器人，于 2018 年 10 月首次发现。它的主要用途是收集有关受害者环境的信息，但它也能传播其他恶意软件。Amadey 主要通过 RigEK 和 Fallout EK 等漏洞利用工具包传播。

热门移动恶意软件

移动威胁也依然突出，银行木马 Anubis 占据了 12 月的榜首。Anubis 以其远程访问和勒索软件功能而闻名，紧随其后的是木马植入程序 Necro 和针对银行凭证的恶意软件 Hydra。

1. ↑ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来，它已获得附加功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。
2. ↑ Necro – Necro 是一种 Android 木马植入程序。它能够下载其他恶意软件、显示侵入性广告并通过收取付费订阅费来窃取资金。
3. ↑ Hydra – Hydra 是一种银行木马，通过要求受害者在每次进入任何银行应用程序时启用危险权限和访问权限来窃取银行凭证。

全球最易受攻击的行业

连续五个月，教育/研究行业成为全球受攻击最严重的行业，其次是通信和政府/军事部门。这些趋势凸显了严重依赖互联系统和敏感数据的行业持续存在的脆弱性。

1. 教育/研究
2. 通讯
3. 政府/军队

顶级勒索软件组织

勒索软件“耻辱网站”的数据显示，FunkSec 是 12 月份最活跃的勒索软件组织，占所有已发布攻击的 14%。其次是RansomHub和LeakeData，各占 9%。

1. FunkSec – FunkSec 是一个新兴的勒索软件组织，于 2024 年 12 月首次出现，以使用双重勒索手段而闻名。一些报告表明，该组织已于 2024 年 9 月开始行动。值得注意的是，他们的 DLS（数据泄露网站）将勒索软件事件报告与数据泄露报告结合在一起，导致报告的受害者数量异常高。
2. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作，是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛上引人注目，因其针对各种系统（包括 Windows、macOS、Linux，尤其是 VMware ESXi 环境）的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
3. LeakeData – LeakedData 是一家新近发现的实体，运营着一个明确的网络数据泄露网站 (DLS)。该网站列出了所谓受害者的数据，并设置了未来发布的倒计时。尽管该网站自称是一个勒索组织，但缺乏沟通渠道，因此该实体的实际性质、声称的受害者和意图尚不明确。