1. 科技訊首頁
  2. 產(chǎn)經(jīng)

2024 年 6 月頭號(hào)惡意軟件:RansomHub 躍居榜首

陳晨 ? ? 產(chǎn)經(jīng)

Check Point 的威脅指數(shù)報(bào)告揭示了勒索軟件即服務(wù) (RaaS) 領(lǐng)域發(fā)生的變化,其中 RansomHub 躍居榜首,取代 LockBit3 成為了最猖獗的勒索軟件團(tuán)伙。

2024 年 7 月,領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)發(fā)布了其 2024 年 6 月《全球威脅指數(shù)》報(bào)告。上月,研究人員注意到勒索軟件即服務(wù) (RaaS) 領(lǐng)域發(fā)生了變化:后來者 RansomHub 取代 LockBit3 成為了最猖獗的勒索軟件團(tuán)伙。與此同時(shí),研究人員還發(fā)現(xiàn)了一個(gè)名為

BadSpace 的 Windows 后門,它利用受感染的 WordPress 網(wǎng)站通過虛擬瀏覽器更新進(jìn)行傳播。

此外,研究人員還著重提及了最近發(fā)生的一起 FakeUpdates 攻擊活動(dòng)(又稱 SocGholish)。FakeUpdates 是近期最猖獗的惡意軟件之一,現(xiàn)在提供了一個(gè)名為 BadSpace 的新后門。第三方聯(lián)盟網(wǎng)絡(luò)為 FakeUpdates 的傳播提供了便利,該網(wǎng)絡(luò)將受感染網(wǎng)站的流量重定向到 FakeUpdates 登陸頁面。然后,這些頁面會(huì)提示用戶下載看似瀏覽器更新的程序。但是,該程序?qū)嶋H上包含一個(gè)基于 JScript 的加載器,隨后會(huì)下載并執(zhí)行 BadSpace 后門。BadSpace 采用復(fù)雜的混淆和反沙盒技術(shù)來逃避檢測,并通過計(jì)劃任務(wù)確保持久性。它的命令和控制通信經(jīng)過加密,因此很難截獲。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示:“針對 LockBit3 采取的執(zhí)法行動(dòng)似乎取得了預(yù)期成效。不過,同以往一樣,該勒索軟件肆虐程度下降之后,其他犯罪團(tuán)伙立刻補(bǔ)上,繼續(xù)針對全球企業(yè)與機(jī)構(gòu)發(fā)起勒索軟件攻擊活動(dòng)?!?/p>

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件,全球 7% 的機(jī)構(gòu)受到波及,其次是 Androxgh0st 和 AgentTesla,分別影響了全球 6% 和 3% 的機(jī)構(gòu)。

 FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

 Androxgh0st – Androxgh0st 是一個(gè)針對 Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段,Androxgh0st 利用多個(gè)漏洞,特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的變體,可掃描不同的信息。

 AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。

最常被利用的漏洞 

↑ Check Point VPN 信息泄露 (CVE-2024-24919) – 該信息泄露漏洞存在于 Check Point VPN 中,可能允許攻擊者在啟用遠(yuǎn)程訪問 VPN 或移動(dòng)訪問的聯(lián)網(wǎng)網(wǎng)關(guān)上讀取某些信息。

 Web 服務(wù)器惡意 URL 目錄遍歷漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)– 不同 Web 服務(wù)器上都存在目錄遍歷漏洞。這一漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤所致,沒有為目錄遍歷模式正確清理 URI。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用漏洞泄露或訪問易受攻擊的服務(wù)器上的任意文件。

↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請求的其他信息。遠(yuǎn)程攻擊者可能會(huì)使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運(yùn)行任意代碼。

主要移動(dòng)惡意軟件

上月,Joker 位居最猖獗的移動(dòng)惡意軟件榜首,其次是 Anubis 和 AhMyth

 Joker – 一種存在于 Google Play 中的 Android 間諜軟件,可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外,該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費(fèi)服務(wù)。

↓ Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測到以來,它已經(jīng)具有一些額外的功能,包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

↓ AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 (RAT),于 2017 年被發(fā)現(xiàn),可通過應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后,該惡意軟件便可從設(shè)備收集敏感信息,并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作,這些操作通常用于竊取敏感信息。

主要勒索軟件團(tuán)伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。上月,RansomHub 是最猖獗的勒索軟件團(tuán)伙,其攻擊數(shù)量占已發(fā)布攻擊的 21%,其次是 Play 和 Akira,分別占 8% 和 5%。

RansomHub – RansomHub 以勒索軟件即服務(wù) (RaaS) 模式運(yùn)行,據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初,RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒,因其針對各種系統(tǒng)(包括 Windows、macOS、Linux,尤其是 VMware ESXi 環(huán)境)發(fā)起的破壞性攻擊活動(dòng),以及采用的復(fù)雜加密方法而臭名昭著。

Play – Play 勒索軟件又稱為 PlayCrypt,于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,到 2023 年 10 月影響了大約 300 家實(shí)體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入網(wǎng)絡(luò)。得逞后,它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

Akira – Akira 勒索軟件于 2023 年初首次發(fā)現(xiàn),主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進(jìn)行對稱加密,

類似于曝光的 Conti v2 勒索軟件。Akira 通過多種途徑傳播,包括受感染的電子郵件附件和 VPN 端點(diǎn)漏洞。感染后,它會(huì)加密數(shù)據(jù),并在文件名后添加“.akira”擴(kuò)展名,然后留下勒索信,要求支付解密費(fèi)用。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司(www.checkpoint.com.cn)是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商,為全球超過 10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性,憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

本文轉(zhuǎn)載自:,不代表科技訊之立場。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122024071709472084439013.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評論