專注于安全的解決方案提供商Check Point以色列捷邦安全軟件科技有限公司日前發(fā)布2016下半年全球威脅情報趨勢報告，指出勒索軟件攻擊在此期間數(shù)量翻倍。在全球已確認的所有惡意軟件攻擊事件中，2016年7月至12月期間發(fā)生的勒索軟件攻擊比率從5.5% 增至10.5%。

2016 下半年全球威脅情報趨勢報告詳細解釋了網(wǎng)絡犯罪分子攻擊企業(yè)所使用的主要手段，以及幾類主要惡意軟件(勒索軟件、銀行和移動設備惡意軟件)的網(wǎng)絡威脅趨勢。該報告以取自 Check Point ThreatCloud World Cyber 2016 年 7 月至 12 月期間的威脅情報數(shù)據(jù)為基礎。

關鍵趨勢

●勒索軟件市場出現(xiàn)壟斷 - 在 2016 年下半年出現(xiàn)了數(shù)以千計的勒索軟件變種，Check Point觀察到在最近幾個月勒索軟件出現(xiàn)一個新變化，就是越來越集中化，由幾個主要的惡意軟件系列主導市場并攻擊不同大小的機構。

●通過物聯(lián)網(wǎng) (IoT) 設備進行分布式拒絕服務 (DDoS) 攻擊 – 2016 年 8 月發(fā)現(xiàn)了臭名昭著的 Mirai 僵尸網(wǎng)絡 (Botnet)，這是首例 IoT 僵尸網(wǎng)絡，主要攻擊存在弱點的聯(lián)網(wǎng)數(shù)字設備，例如錄像機 (DVR) 以及監(jiān)控攝像機(CCTV)。僵尸網(wǎng)絡會將這些設備變成BOT，并利用這些受影響的設備發(fā)動大量 DDoS 攻擊。現(xiàn)階段顯而易見的是，幾乎家家戶戶都在使用存在弱點的 IoT 設備，而以此為基礎的大規(guī)模 DDoS 攻擊也將持續(xù)發(fā)生。

●垃圾郵件攻擊所使用的新文件擴展名 – 2016 下半年，惡意垃圾郵件攻擊最常用的感染向量當屬基于 Windows 腳本引擎 (Wscript) 的下載器。以 Javascript (JS) 和 VBScript (VBS) 編寫的下載器是惡意垃圾郵件散播領域的主力軍，同時還有其他一些類似但較不常見的格式，如 JSE、WSF 和 VBE。

2016 下半年的主要惡意軟件

●Conficker (14.5%) - 該蠕蟲允許遠程操作及下載惡意軟件。受感染機器會遭到僵尸網(wǎng)絡控制，而該僵尸網(wǎng)絡會連接至其命令和控制服務器，以接收指令。

●Sality (6.1%) - 該病毒允許其操控者進行遠程操作，并將其它惡意軟件下載至受感染系統(tǒng)。其主要目標是長久寄存在系統(tǒng)中，并為遠程控制及進一步安裝惡意軟件提供途徑。

●Cutwail (4.6%) - 該僵尸網(wǎng)絡主要涉及發(fā)送垃圾電子郵件以及發(fā)動某些 DDOS 攻擊。安裝后，BOT 會直接連接至命令和控制服務器，并接收有關發(fā)送必要電子郵件的指令。完成任務后，BOT 會向垃圾郵件發(fā)送者報告精確的操作統(tǒng)計數(shù)據(jù)。

●JBossjmx (4.5%) - 該蠕蟲瞄準那些安裝存在弱點的 Jboss 應用服務器版本的系統(tǒng)。此惡意軟件會在有弱點的系統(tǒng)上創(chuàng)建一個可執(zhí)行任意命令的惡意 JSP 頁面。此外，還會創(chuàng)建一個后門程序，以接受來自遠程 IRC 服務器的指令。

●Locky (4.3%) - 該勒索軟件于 2016 年 2 月開始散播，主要傳播途徑是內(nèi)含下載器的垃圾電子郵件，其下載器通常被偽裝成 Word 或 Zip 文件附件，隨后會下載并安裝可對用戶文件進行加密的惡意軟件。

2016 下半年的主要勒索軟件

在全球已確認的所有攻擊事件中，2016 下半年的勒索軟件攻擊比率從 5.5% 增至 10.5%，幾乎翻了一倍。最常檢測到的變體為：

●Locky 41% - 上半年第三大最常見勒索軟件，下半年呈驚人增長。

●Cryptowall 27% - 該勒索軟件的雛形為 Cryptolocker doppelg?nger，但為害青出于藍。勝過 Cryptolocker 后，Cryptowall 成為至今最著名的勒索軟件之一。Cryptowall 的慣用手法是使用 AES 加密并通過 Tor 匿名網(wǎng)絡執(zhí)行 C&C 通信。通過漏洞工具包、惡意廣告以及網(wǎng)絡釣魚活動廣泛散播。

●Cerber 23% - 全球最大的勒索軟件即服務 (ransomware-as-a-service) 方案。Cerber 是一種特許經(jīng)營方案，其開發(fā)者招募會員，這些會員則通過傳播惡意軟件獲得部分利益。

2016 下半年的主要移動設備惡意軟件

●Hummingbad 60% - 該 Android 惡意軟件由 Check Point 研究團隊最先發(fā)現(xiàn)，其會在設備上建立永久性隱匿程序、安裝欺詐性應用，并可通過小幅修改執(zhí)行其他惡意活動，例如安裝鍵盤記錄程序、盜取憑證，以及繞過企業(yè)使用的加密電子郵件容器。

●Triada 9% - 針對 Android 的模塊化后門程序，可為下載的惡意軟件授予超級用戶權限，并協(xié)助將該惡意軟件嵌入系統(tǒng)進程。Triada 也會仿冒加載至瀏覽器中的 URL。

●Ztorg 7% – 該特洛伊木馬病毒會在用戶未察覺的情況下，利用 Root 權限在手機中下載并安裝應用程序。

主要銀行惡意軟件

●Zeus 33% - 該特洛伊木馬病毒主要針對 Windows 平臺，常通過記錄瀏覽器使用者 (man-in-the-browser) 按鍵輸入及抓取表單內(nèi)容的方式，竊取銀行信息。

●Tinba 21% - 該銀行特洛伊木馬病毒可利用網(wǎng)頁注入 (web-inject) 竊取受害者的憑證，即在用戶試圖登錄銀行網(wǎng)站時啟動。

●Ramnit 16% – 該銀行特洛伊木馬病毒可竊取銀行憑據(jù)、FTP 密碼、會話 Cookie 和個人數(shù)據(jù)。

Check Point 威脅情報小組經(jīng)理 Maya Horowitz 表示：“該報告闡釋當今網(wǎng)絡環(huán)境的本質，并指明勒索軟件攻擊正在迅速增多。這純粹是因為勒索軟件攻擊立竿見影，并能為攻擊者創(chuàng)造巨額利益。很多機構窮于應付這種威脅，因為它們并未采取適當?shù)姆烙胧乙部赡軟]有為員工提供相關培訓，讓他們知道如何識別傳入電子郵件中的潛在勒索軟件攻擊信號。”

Horowitz 指出：“此外，我們的數(shù)據(jù)還顯示，大多數(shù)攻擊主要由少數(shù)幾個惡意軟件系列所發(fā)起，而數(shù)以千計的其它惡意軟件系列則較為罕見。大多數(shù)網(wǎng)絡威脅呈現(xiàn)全球性、跨區(qū)域特征，但亞太地區(qū)的情況比較突出，其主要惡意軟件系列表中包含其它地區(qū)未曾出現(xiàn)的 5 個系列。”

Check Point北亞洲區(qū)總裁羅杉表示：“雖然目前勒索軟件在中國市場還不是為害最深的頭

10種威脅之一，但事實上，去年下半年與上半年相比，Zeus勒索軟件的頻率增加了260%，而Cerber及Locky更分別激增超過 1000倍和300%。在移動領域，Hummingbad在2016年是排名第八的威脅，由于新變種Hummingwhale已在2017年1月份被發(fā)現(xiàn)，因此我們提醒廣大用戶需格外小心防范。”

此報告中的統(tǒng)計數(shù)據(jù)以取自 ThreatCloud World Cyber 中的數(shù)據(jù)為基礎。Check Point 的 ThreatCloud 是對抗網(wǎng)絡犯罪最大型的協(xié)作網(wǎng)絡，可從其遍布全球的威脅偵測網(wǎng)絡遞送最新威脅數(shù)據(jù)和網(wǎng)絡攻擊趨勢。ThreatCloud 數(shù)據(jù)庫每天可識別數(shù)以百萬計的惡意軟件類型，并包含 2.5 億個經(jīng)過僵尸檢測程序分析的地址、超過 1100 萬個惡意軟件簽名和 550 萬個受感染網(wǎng)站的信息。