今年,我們看到一些久負“盛”名的玩家紛紛退場,一些去了海灘度假,一些進了監獄。不過,無論如何,2021年仍然是網絡威脅(尤其是勒索軟件)主導新聞頭條的一年。
勒索軟件攻擊已從一種趨勢演變為一種新常態。每個主要的勒索軟件活動都在使用“雙重勒索”策略,這對小企業來說無疑是一種可怕的現象。在“雙重勒索”中,威脅行為者不僅會竊取和鎖定文件,而且如果沒有達成贖金協議,他們還會以最具破壞性的方式泄露受害者數據。不過,好消息是,去年平均贖金的峰值為200000 美元,而如今的平均水平已經略低于150000美元。
壞消息是,攻擊者正在擴大目標群并瞄準各種規模的企業。事實上,大多數受害者都是小企業,他們最終都支付了約50000美元的贖金。而且,勒索軟件攻擊者的策略正日益完善,不斷招募人才并提供簡化的用戶體驗。更重要的是,除了勒索軟件攻擊外,供應鏈攻擊也正成為一個棘手的問題。
網絡釣魚仍然是這些活動的關鍵,它通常是惡意軟件危害企業的第一步。這也凸顯了用戶教育的重要性。企業只需要培訓用戶不要點擊這些網絡釣魚誘餌或啟用附件中的宏——這些方法已被證明可以阻止這些惡意軟件的活動。
下面就為大家盤點2021年最惡劣的惡意軟件(排名不分先后):
1. LemonDuck
LemonDuck作為一個著名的僵尸網絡和加密貨幣挖掘有效負載,僅僅存在了幾年。它是最惱人的有效載荷之一,因為它將使用幾乎所有的感染媒介,例如以新冠病毒為主題的電子郵件、漏洞利用、無文件powershell模塊和暴力破解。在2021年,LemonDuck再次變得越來越流行,甚至添加了一些新功能,例如竊取憑證、刪除安全協議等。
更糟糕的是,LemonDuck會同時攻擊Linux系統和Windows,這一點既便利又罕見。而且,它還會利用受害者只專注于修補最近和流行漏洞的心態,通過舊的漏洞進行攻擊。
一個有趣的怪癖是,LemonDuck還會“黑吃黑”,通過消除相互競爭的惡意軟件感染,將其他黑客從受害者的設備中移除。LemonDuck希望成為最大、最惡劣的惡意軟件,他們甚至通過修補用于訪問的漏洞來防止新的感染。它還會挖掘門羅幣(XMR),以實現最大利潤。這些利潤是即時的,甚至可以說是“多勞多得”的。攻擊沒有贖金要求,因此受害者不會了解這種攻擊/破壞。
2. REvil
即便是不了解信息安全的人,想必也都聽說過發生在七月份的Kaseya供應鏈攻擊事件,致使其他企業中招,其中包括全球肉類供應商JBS。
你可能在2018年聽說過名為Gandcrab的勒索軟件,或在2019年聽說過Sodinokibi。沒錯,他們都是同一個團體,今年他們的身份是REvil。他們提供勒索軟件即服務(RaaS),這意味著他們制作加密有效載荷,并為暗網上的勒索泄露網站提供便利。附屬公司將使用勒索軟件有效載荷進行攻擊,并共享所有利潤。
在Kaseya攻擊事件以及隨后白宮和普京的會晤后不久,REvil支付和泄露網站就下線了。根據相關信息所示,REvil服務器基礎設施遭到了政府的取締,迫使REvil完全刪除服務器基礎設施并消失。
與此列表中的許多惡意軟件一樣,REvil并沒有自此消失,而是于9月初在暗網上的泄露網站上重新上線。在稍作休整后,他們又重新啟動了自己的基礎設施。
3. Trickbot
作為一種流行的銀行木馬,Trickbot已經存在了10年,現在已經發展為最廣為人知的僵尸網絡之一。Trickbot因其多功能性和彈性被大量網絡犯罪組織使用,也與許多勒索軟件組織存在關聯。
去年秋天晚些時候,美國國防部(DoD)、微軟和其他機構對該組織的僵尸網絡進行了攻擊,幾乎將其摧毀。但就像任何優秀的僵尸一樣,它在Emotet關閉后再次崛起,發展成頭號僵尸網絡。
Trickbot感染幾乎總是會導致勒索軟件攻擊。一旦進入設備,它就會在網絡中橫向移動,利用漏洞傳播和收集盡可能多的憑據。有時,收集所有域憑據需要幾周或幾個月的時間。一旦他們完全控制了環境,就能確保勒索軟件發揮最大威力,即便是采取緩解措施也無濟于事。
4. Dridex
作為另一個流行多年的銀行木馬和信息竊取程序,Dridex與Bitpaymer/Doupelpaymer/Grief等勒索軟件緊密相關。Dridex一直在Emotet的機器上運行,Emotet關閉后,它便開始運行自己的惡意垃圾郵件活動。
一旦進入設備,它也會通過網絡橫向移動,在每臺機器上放置Dridex加載程序。就像Trickbot一樣,Dridex也會花大量時間收集憑證,直至獲得完全控制權,從而對目標網絡造成最大程度的破壞,同時防止緩解策略生效。
5. Conti
這個勒索軟件組織對人們來說并不陌生,它曾是Ryuk(使用Emotet和Trickbot)背后的勒索軟件運營商。事實上,他們曾被美國聯邦調查局評為“2019年最成功的勒索軟件組織”。雖然Conti通過RDP部署,但它通常不會對不安全的RDP進行暴力破解。大多數情況下,憑據是從Trickbot或Qakbot等竊取信息的木馬程序中獲取。
這些勒索軟件開發者還運營著一個泄露網站,以進一步恐嚇受害者支付贖金。Conti在2021年登上了許多頭條新聞,并入侵了許多大型組織,且至今仍在活躍。此外,研究人員還注意到,LockFile勒索軟件將Conti團伙的電子郵件地址列為付款聯系人,這一線索將這兩個群體聯系在了一起。
6. Cobalt Strike
Cobalt Strike是白帽公司設計的滲透測試工具,其目的是幫助紅隊模擬攻擊,以便黑客可以滲透到環境中,確定它的安全漏洞并做出適當的更改。這個工具有幾個非常強大和有用的功能,如進程注入、權限提升、憑證和散列獲取、網絡枚舉、橫向移動等。
所有這些對黑客來說都極具吸引力,所以我們經常看到黑客使用Cobalt Strike也就不足為奇了。在“最惡劣的惡意軟件”榜單中列出一個白帽子工具,可以說是絕無僅有的,但是這個工具很容易用于可擴展的自定義攻擊。也難怪如此多的攻擊者將其作為武器庫中的工具之一。
7. Hello Kitty
HelloKitty勒索軟件運營商自2020年11月以來一直處于活躍狀態,今年7月以來,他們開始使用其惡意軟件的Linux變體以VMware ESXi虛擬機平臺為目標實施攻擊。
而它最出名的事跡還要數破壞CD Projekt RED并竊取其游戲源代碼,包括著名的《CyberPunk 2077》和《Witcher 3》等。
8. DarkSide
Colonial Pipeline攻擊是2021年最引人注目的攻擊事件,導致了天然氣短缺和恐慌性購買情緒。不過,此事也提醒我們,勒索軟件攻擊的破壞性有多大,就像當年的Wannacry。
該勒索軟件即服務(RaaS)組織聲稱,他們無意攻擊基礎設施,并將攻擊行為推給其附屬機構。但就在襲擊發生幾周后,又出現了一種名為“Black Matter”的類似 RaaS組織,并聲稱將攻擊除醫療和國家機構以外的所有環境。同時,他們還聲稱與DarkSide不是同一個人。但老實說,誰相信呢?
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號