2021年又是COVID-19和惡意軟件在頭條新聞中猖獗的一年。無論是線下還是線上，世界仍在與病毒作斗爭。當(dāng)攻擊關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈成為一種新趨勢時(shí)，今年又發(fā)生了可怕的轉(zhuǎn)變?？赡苁且?yàn)榱餍械慕┦W(wǎng)絡(luò)已關(guān)閉，或者只是簡單的老式民族國家支持的攻擊。
    勒索軟件勒索已從一種趨勢演變?yōu)橐环N新常態(tài)。每個主要的勒索軟件活動都在使用雙重勒索方法，這對小企業(yè)來說是一個可怕的勢頭。他們不僅會竊取和鎖定文件，而且如果沒有達(dá)成贖金協(xié)議，惡意行為者會以最具破壞性的方式泄露數(shù)據(jù)。
    好消息是去年20萬美元的平均贖金，而今天的平均水平略低于15萬美元。壞消息是黑客正在瞄準(zhǔn)各種規(guī)模的企業(yè)。事實(shí)上，大多數(shù)受害者是最終支付約5萬美元的小企業(yè)。

    勒索軟件攻擊者的策略越來越好，他們招募人才并提供簡化的用戶體驗(yàn)，整個過程非常簡單。最重要的是，供應(yīng)鏈攻擊正成為一個大問題。
    網(wǎng)絡(luò)釣魚仍然是這些攻擊活動的關(guān)鍵，通常是惡劣的惡意軟件危害企業(yè)的第一步。這突顯了用戶教育的重要性。畢竟每個怪物都有弱點(diǎn)，您只需要放置一個吸血鬼、砍下僵尸的頭部，訓(xùn)練用戶不要點(diǎn)擊這些網(wǎng)絡(luò)釣魚誘餌或啟用附件中的宏，這些方法已被證明可以阻止這些生物（和惡意軟件）的蹤跡。

以下列出了2021年最惡劣的惡意軟件：

一、僵尸網(wǎng)絡(luò)Lemonduck（檸檬鴨）
LemonDuck作為著名的僵尸網(wǎng)絡(luò)和加密挖掘有效負(fù)載，僅存在了幾年。它是最煩人的有效載荷之一，因?yàn)樗鼘⑹褂脦缀跛懈腥臼侄?，如COVID主題的電子郵件、漏洞利用、無文件powershell模塊和暴力破解。但在2021年，LemonDuck變得越來越流行，甚至增加了一些新功能，例如竊取憑據(jù)、刪除安全協(xié)議，甚至為后續(xù)攻擊放棄了更多工具。更糟糕的是，LemonDuck會攻擊Linux系統(tǒng)和Windows系統(tǒng)，這既方便又罕見。當(dāng)受害者只專注于修補(bǔ)最近流行的漏洞時(shí)，它將使用較舊的漏洞進(jìn)行破壞，而這些漏洞可以保持未修補(bǔ)。

一個有趣的怪癖是，LemonDuck通過消除相互競爭的惡意軟件感染，將其他黑客從受害者的設(shè)備中移除。LemonDuck希望成為最大、最惡劣的惡意軟件，他們甚至通過修補(bǔ)用來獲取訪問權(quán)限的漏洞來防止新的感染。它挖掘XMR是因?yàn)檫@是消費(fèi)級硬件最友好的散列算法，因此可以確保網(wǎng)絡(luò)犯罪分子的最大利潤。這些利潤是即時(shí)的，是由受害者的電費(fèi)隨時(shí)間產(chǎn)生。攻擊不需要贖金，因此受害者不需要同意或了解攻擊/違規(guī)行為，這非常令人討厭。

二、勒索軟件REvil
幾乎每人，即使是那些不了解信息安全的人，都聽說過7月的Kaseya供應(yīng)鏈攻擊事件，主要針對的是美國公司。他們還攻擊了無數(shù)其他企業(yè)，包括全球肉類供應(yīng)商JBS。這個名為REvil的團(tuán)體每年都進(jìn)入這個名單也就不足為奇了。

您可能在2018年聽說過名為Gandcrab的勒索軟件，或在2019年聽說過Sodinokibi。它們都是同一個組織，今年它們是REvil。他們提供勒索軟件即服務(wù) (Raas)，這意味著他們制作加密有效載荷，并在暗網(wǎng)上提供勒索泄露網(wǎng)站。

附屬公司將進(jìn)行攻擊，使用勒索軟件負(fù)載，并分享所有利潤。在Kaseya攻擊事件以及隨后白宮與普京的會議后不久，REvil支付和泄露網(wǎng)站出現(xiàn)故障，洋蔥鏈接不再有效。
“根據(jù)未經(jīng)證實(shí)的信息，REvil服務(wù)器基礎(chǔ)設(shè)施收到了政府的法律要求，迫使REvil完全清除服務(wù)器基礎(chǔ)設(shè)施并消失。但是，這尚未得到證實(shí)。”

與此列表中的許多令人討厭的惡意軟件一樣，REvil可能還沒有死（他們在暗網(wǎng)上的泄露站點(diǎn)于9月初重新上線）。在度過了一段美好的假期之后，他們正在重新開啟基礎(chǔ)設(shè)施。

三、銀行木馬Trickbot
Trickbot作為一種流行的銀行木馬已經(jīng)存在了十年，現(xiàn)在已經(jīng)發(fā)展成為現(xiàn)存最廣為人知的僵尸網(wǎng)絡(luò)之一。Trickbot被大量網(wǎng)絡(luò)黑社會使用，由于其多功能性和彈性，它與許多勒索軟件組織有關(guān)聯(lián)。去年秋天，美國國防部、微軟和其他機(jī)構(gòu)對該組織的僵尸網(wǎng)絡(luò)進(jìn)行了攻擊，幾乎將其摧毀。但就像任何優(yōu)秀的僵尸一樣，它們在Emotet關(guān)閉后再次崛起，成為頭號僵尸網(wǎng)絡(luò)。

Trickbot感染幾乎總是導(dǎo)致勒索軟件。一旦進(jìn)入機(jī)器，它就會通過網(wǎng)絡(luò)橫向移動，利用漏洞來傳播和收集盡可能多的憑據(jù)。有時(shí)，收集所有域的憑據(jù)需要數(shù)周或數(shù)月的時(shí)間。一旦他們完全控制了環(huán)境，他們就會確保勒索軟件造成最大的破壞，而緩解措施可能會失敗。

四、銀行木馬和信息竊取程序Dridex
另一個非常流行的銀行木馬和信息竊取程序已經(jīng)存在多年，Dridex與Bitpaymer/Doppelpaymer/Grief等勒索軟件緊密相關(guān)。Dridex一直在Emotet的機(jī)器上運(yùn)行，直到它們關(guān)閉，但現(xiàn)在運(yùn)行自己的惡意垃圾郵件活動。

一旦進(jìn)到一臺機(jī)器上，它還會通過網(wǎng)絡(luò)橫向移動，在每臺機(jī)器上放置dridex加載程序以創(chuàng)建持久性。就像Trickbot一樣，Dridex花時(shí)間收集憑據(jù)，直到獲得完全控制權(quán)。從那里，它們可以造成最大的破壞，同時(shí)防止緩解策略將它們關(guān)閉。

Dridex的作者被稱為“Evil Corp”，其領(lǐng)導(dǎo)人被美國聯(lián)邦調(diào)查局（FBI）通緝，最高懸賞500萬美元。

五、勒索軟件Conti
這個勒索軟件組織對我們的惡意軟件列表并不陌生，它以前作為Ryuk（使用Emotet和Trickbot背后的勒索軟件運(yùn)營商）而出彩。事實(shí)上，他們是美國聯(lián)邦調(diào)查局（FBI）認(rèn)為 2019 年最成功的勒索軟件組織。雖然Conti是從RDP部署的，但它通常不進(jìn)行不安全的 RDP 暴力破解。大多數(shù)情況下，憑據(jù)是從諸如Trickbot或Qakbot之類的信息竊取木馬程序中抓取或釣魚得到。

這些勒索軟件作者還運(yùn)營著一個泄漏網(wǎng)站，以進(jìn)一步恐嚇受害者支付贖金。Conti在2021年登上了大量頭條新聞，并攻破了許多大型組織，但這還沒不是最黑暗的時(shí)刻。我們還注意到，LockFile勒索軟件將Conti團(tuán)伙的電子郵件地址列為付款聯(lián)系人，將這兩個群體聯(lián)系起來。

六、滲透測試工具Cobalt Strike
Cobalt Strike是白帽設(shè)計(jì)的滲透測試工具。其目的是幫助紅隊(duì)模擬攻擊，以便紅隊(duì)黑客可以滲透到環(huán)境中，確定其安全漏洞并進(jìn)行適當(dāng)?shù)母摹＿@個工具有幾個非常強(qiáng)大和有用的功能，如進(jìn)程注入、權(quán)限提升、憑證和哈希收集、網(wǎng)絡(luò)枚舉、橫向移動等。

所有這些對黑客都很有吸引力，所以我們經(jīng)常看到壞人使用Cobalt Strike也就不足為奇了。在最討厭的惡意軟件中列出一個白帽子工具對我們來說是獨(dú)一無二的，但該工具容易用于可擴(kuò)展的自定義攻擊。難怪這么多攻擊者將其作為武器庫中的工具之一。

七、不光彩的提名
 . Hello Kitty – 該組織因使用漏洞利用對VMWare ESXI的獨(dú)特攻擊而受到不光彩的提及。它因攻破CD Projekt RED并竊取他們的游戲源代碼而聞名，其中最著名的是《CyberPunk 2077》和《Witcher 3》。
 . DarkSide – Colonial管道攻擊是2021年最引人注目的攻擊事件，導(dǎo)致天然氣短缺和恐慌性購買加劇。這提醒我們，勒索軟件攻擊的破壞性有多大，其圍繞的炒作讓人想起 Wannacry。據(jù)RaaS組織聲稱，無意攻擊基礎(chǔ)設(shè)施，并將管道攻擊歸咎于附屬機(jī)構(gòu)。但就在攻擊發(fā)生幾周后，出現(xiàn)了一個名為Black Matter的類似 RaaS，并聲稱可以攻擊除醫(yī)療和國家機(jī)構(gòu)之外的所有環(huán)境。他們還聲稱與DarkSide不是同一群人。但老實(shí)說，誰相信呢？

八、如何保持安全
是時(shí)候提高、學(xué)習(xí)如何防范可怕的惡意軟件了。隨著攻擊者每年都變得越來越老練，擁有多層保護(hù)策略非常重要。

1、企業(yè)用戶
  . 鎖定遠(yuǎn)程桌面協(xié)議 (RDP)：使用加密數(shù)據(jù)并使用多重身份驗(yàn)證的RDP解決方案。當(dāng)遠(yuǎn)程連接到其他機(jī)器時(shí)，需要增加安全性以防止漏洞。
  . 教育最終用戶：防止攻擊始于增強(qiáng)最終用戶的意識。定期進(jìn)行網(wǎng)絡(luò)安全意識培訓(xùn)和網(wǎng)絡(luò)釣魚模擬可確保數(shù)據(jù)安全。此外，確保員工知道何時(shí)以及如何報(bào)告可疑消息。
  . 安裝信譽(yù)良好的網(wǎng)絡(luò)安全軟件：選擇使用實(shí)時(shí)、全球威脅情報(bào)和機(jī)器學(xué)習(xí)來阻止威脅的解決方案。尋求具有多層屏蔽的保護(hù)，以檢測和防止多種不同攻擊階段的攻擊。
  . 建立強(qiáng)大的備份和災(zāi)難恢復(fù)計(jì)劃：企業(yè)不能沒有強(qiáng)大的備份。定期測試備份并設(shè)置警報(bào)，以便管理員可以輕松查看是否有問題。

2、個人用戶
  . 對消息的懷疑。像對待恐怖電影中的墓地一樣對待你的電子郵件。不要點(diǎn)擊電子郵件中的鏈接或附件。警惕任何要求提供個人信息的電子郵件、短信、電話或社交媒體消息。
  . 使用防病毒軟件和 VPN 保護(hù)您的設(shè)備。確保不僅要保護(hù)計(jì)算機(jī)，還要保護(hù)智能手機(jī)和平板電腦。當(dāng)您丟棄舊設(shè)備時(shí)，請務(wù)必先將其擦拭干凈。
  . 使防病毒軟件和其他應(yīng)用程序保持最新。黑客使用過時(shí)的軟件和操作系統(tǒng)將惡意軟件植入您的系統(tǒng)，并竊取您的信息。要經(jīng)常安裝應(yīng)用的更新。
  . 使用安全的云備份。我們建議同時(shí)使用以加密格式存儲數(shù)據(jù)的在線備份，和不使用時(shí)拔下的物理備份驅(qū)動器。
  . 創(chuàng)建強(qiáng)大的、唯一的密碼（并且不要共享它們）。長度 = 強(qiáng)度。使用密碼短語增加密碼字符數(shù)，防止暴力破解?？梢允褂妹艽a管理器來幫助您創(chuàng)建和存儲好的密碼。這樣，您就不必全部記住或?qū)懴聛怼?br/>  . 如果您下載的文件要求您啟用宏，請不要這樣做。這是文件感染了惡意代碼的強(qiáng)烈跡象。盡管宏具有合法用途，但它們在普通家庭用戶環(huán)境中極為罕見。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:https://community.webroot.com/

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明