今年又是新冠病毒和恶意软件肆虐的一年。无论是现实世界还是网络世界,都仍在与病毒作斗争。今年攻击关键基础设施和供应链成为一种新趋势。可能是因为流行的僵尸网络瘫痪了,也可能只是传统的民族国家发起的攻击。无论如何,2021年是网络威胁,尤其是勒索软件占据新闻头条的一年。
勒索软件从一种趋势演变为一种新常态。每一个主要的勒索软件活动都在使用双重勒索的方法,不仅会盗取和锁定文件,而且如果没有达成赎金协议,黑客会以最具破坏性的方式泄露数据。尽管平均赎金已经从去年的20万美元,下降至今年的15万美元,但这对小企业来说也是一个可怕的势头。
勒索软件黑客使用的策略越来越好,他们招募人才,提供精简的用户体验。整个过程非常简单,最重要的是,供应链攻击正成为一个重大问题。
网络钓鱼仍然是这些攻击活动的关键,通常也是为最恶劣的恶意软件最主要的初始载体,这突显了用户培训教育的重要性。以下列出了2021年最恶劣的八款恶意软件:
一、僵尸网络LemonDuck(柠檬鸭)
LemonDuck作为一个著名的僵尸网络和加密有效负载,仅仅存在了几年。这是最烦人的有效载荷之一,因为它将使用几乎所有的感染载体,如以新冠病毒为主题的电子邮件、漏洞攻击、无文件的powershell模块和暴力破解。但在2021年,LemonDuck变得越来越流行,甚至添加了一些新功能,如窃取凭证、删除安全协议,甚至为后续攻击禁用了更多工具。更糟糕的是,LemonDuck不仅会攻击Windows,还会攻击Linux系统。它将利用旧的漏洞进行妥协,当受害者只专注于修补最近和流行的漏洞时,这些漏洞可能无法修补。
LemonDuck通过消除相互竞争的恶意软件感染,将其他黑客从受害者的设备中移除。LemonDuck希望成为最大、最恶毒的恶意软件,他们甚至通过修补用于访问的漏洞来防止新的感染。它挖掘XMR,因为XMR是对消费级硬件最友好的哈希算法,因此为网络罪犯确保了最大的利润。这些利润是立竿见影的,是由受害者的电费账单随着时间的推移而产生的。攻击没有赎金要求,因此受害者不需要知道攻击破坏。
二、勒索软件REvil
即使是不了解信息安全的人,都可能听说了七月的Kaseya供应链攻击,主要针对的是美国公司。他们还攻击了无数其他企业,包括全球肉类供应商JBS。
人们可能在2018年听说过名为Gandcrab的勒索软件,或者在2019年听说过Sodinokibi。嗯,这些都是同一个团体,今年他们是REvil。他们提供勒索软件即服务(Raas),这意味着他们制作加密有效载荷,并为暗网上的勒索泄露网站提供便利。
附属公司将进行攻击,使用勒索软件有效载荷和所有利润共享。在Kaseya攻击事件以及随后白宫和普京的会晤后不久,REvil支付和泄露网站就停止了,洋葱链接也不再有效。根据未经证实的信息,REvil服务器基础设施收到了政府的法律请求,迫使REvil完全删除服务器基础设施并消失。
与这个名单上的许多恶意软件一样,REvil在暗网上的泄露网站在9月初重新上线,他们又重新启动了基础设施。
三、银行木马Trickbot
作为一种流行的银行木马病毒,Trickbot已经存在了10年,现在已经演变为最广泛认可的僵尸网络之一。由于它的多功能性和弹性,许多网络黑社会组织都使用了Trickbot软件。去年秋天晚些时候,美国国防部、微软和其他机构对该组织的僵尸网络进行了攻击,几乎摧毁了僵尸网络。但是在Emotet关闭后,Trickbot再次崛起,成为头号僵尸网络。
Trickbot感染几乎总是会导致勒索软件。一旦进入机器,它就会在网络中横向移动,利用漏洞传播和收集尽可能多的凭据。有时,收集所有域凭据需要几周或几个月的时间。一旦他们完全控制了环境,他们就会确保勒索软件造成最大的破坏,而采用缓解措施可能会失败。
四、银行木马和信息窃取程序Dridex
另一个流行多年的银行特洛伊木马和信息窃取软件Dridex与Bitpaymer/Doupelpaymer/Grief等勒索软件紧密相关。Dridex一直在Emotet的机器上运行,但现在运行自己的恶意垃圾邮件活动。
一旦在一台机器上,它还会通过网络横向移动,在每台机器上放置Dridex加载程序,以创建持久性。就像Trickbot一样,Dridex在获得完全控制权之前,不会花时间收集凭证。从那里,它们可以造成最大的破坏,同时防止缓解策略关闭它们。
Dridex的开发者是Evil Corp,其领导人被美国FBI通缉,最高悬赏500万美元。
五、勒索软件Conti
这个勒索软件组对人们来说并不陌生,他们是美国联邦调查局称为2019年最成功的勒索软件集团。虽然Conti是从RDP部署的,但它通常不是从不安全的RDP强制部署的。大多数情况下,证书被其他地方抓取或钓鱼,从信息窃取木马,如Trickbot或Qakbot。
这些勒索软件的作者还运营一个泄露网站,以进一步恐吓受害者支付赎金。Conti在2021年登上了许多头条新闻,并入侵了许多大型组织。此外,LockFile勒索软件将Conti团伙的电子邮件地址列为付款联系人,将这两个群体联系在一起。
六、渗透测试工具Cobalt Strike
Cobalt Strike是白帽公司设计的渗透测试工具,其目的是帮助红色团队模拟攻击,以便黑客可以渗透到环境中,确定它的安全漏洞,并做出适当的更改。这个工具有几个非常强大和有用的特性,如进程注入、权限提升、凭证和散列获取、网络枚举、横向移动等等。
所有这些对黑客来说都很有吸引力,所以经常看到黑客使用Cobalt Strike也就不足为奇了。在最恶劣的恶意软件中列出一个白帽子工具是独一无二的,但是这个工具很容易用于可扩展的定制攻击。难怪如此多的攻击者将其作为武器库中的工具之一。
七、Hello Kitty
这个组织因其独特的利用漏洞攻击VMWare ESXI而得到了一个不光彩的称号,它因破坏CD Projekt RED并窃取其游戏源代码而出名,最著名的是《CyberPunk 2077》和《Witcher 3》。
八、DarkSide
Colonial输油管道攻击是2021年最引人注目的攻击,导致了一连串的天然气短缺和恐慌性购买。这提醒我们,勒索软件攻击的破坏性有多大,其周围的宣传让人想起了Wannacry。RAAS组织声称,他们无意攻击基础设施,并指责该管道的附属公司。但就在袭击发生几周后,类似的RAAS出现了,名为Black Matter,并声称攻击除医疗和国家机构以外的所有环境。同时还声称与DarkSide不是同一个人。但老实说,谁相信呢?
九、安全防范建议
随着攻击者每年都变得越来越复杂,拥有多层次的保护策略非常重要。天地和兴网络安全研究院结合参考了美国CISA、Webroot以及行业专家的观点,提出以下安全防范建议:
1、企业用户
l 锁定远程桌面协议(RDP)
使用RDP解决方案加密数据和使用多因素身份验证。这需要在远程访问其他机器时增加安全保护以防止漏洞。
l 教育最终用户
防止攻击首先要提高最终用户的意识。定期进行网络安全意识培训和网络钓鱼模拟,确保数据安全。此外,确保员工知道何时以及如何报告可疑消息。
l 安装信誉好的网络安全软件
选择使用实时、全球威胁情报和机器学习来阻止威胁的解决方案。寻找具有多层屏蔽的保护,以检测和防止多个不同攻击阶段的攻击。
l 建立强大的备份和灾难恢复计划
定期测试备份,并设置警报,这样管理员可以很容易地查看是否有问题。
2、个人用户
l 培养对信息的警惕
对待邮件就像对待恐怖电影中的墓地一样。不要点击电子邮件中的链接或附件。对任何询问个人信息的电子邮件、短信、电话或社交媒体信息保持警惕。
l 使用防病毒软件和VPN保护您的设备
不仅要确保电脑的安全,还要确保智能手机和平板电脑的安全。
l 保持杀毒软件和其他应用程序的更新
黑客使用过时的软件和操作系统将恶意软件植入用户的系统,并从那里窃取信息。
l 使用安全云备份
建议使用加密格式的在线备份和物理备份驱动器,在不使用时将其拔下。
l 创建强大的、唯一的密码
长度=强度。使用密码短语增加密码字符,防止暴力破解。可以使用密码管理器来帮助创建和存储良好的密码。这样就不需要把它们都记下来。
l 不启用宏操作
如果下载的文件要求启用宏,一定不要这么做。这是一个强烈的信号,表明该文件已感染恶意代码。即使宏有合法的用途,它们在普通家庭用户环境中也是极其罕见的。
参考资料:
【1】Webroot,Nastiest Malware 2021,September
【2】https://community.webroot.com/news-announcements-3/nastiest-malware-2021-348560
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。