今年,又是新冠病毒和恶意软件持续猖獗的一年。无论是在现实世界还是在虚拟网络,世界各地的人们仍在与病毒(现实的新冠病毒和网络上的病毒程序)斗争。不过,今年的网络世界还是呈现出了一些可怕的新变化:攻击关键基础设施和供应链已成为一种新趋势。
今年,我们看到一些久负“盛”名的玩家纷纷退场,一些去了海滩度假,一些进了监狱。不过,无论如何,2021年仍然是网络威胁(尤其是勒索软件)主导新闻头条的一年。
勒索软件攻击已从一种趋势演变为一种新常态。每个主要的勒索软件活动都在使用“双重勒索”策略,这对小企业来说无疑是一种可怕的现象。在“双重勒索”中,威胁行为者不仅会窃取和锁定文件,而且如果没有达成赎金协议,他们还会以最具破坏性的方式泄露受害者数据。不过,好消息是,去年平均赎金的峰值为200000 美元,而如今的平均水平已经略低于150000美元。
坏消息是,攻击者正在扩大目标群并瞄准各种规模的企业。事实上,大多数受害者都是小企业,他们最终都支付了约50000美元的赎金。而且,勒索软件攻击者的策略正日益完善,不断招募人才并提供简化的用户体验。更重要的是,除了勒索软件攻击外,供应链攻击也正成为一个棘手的问题。
网络钓鱼仍然是这些活动的关键,它通常是恶意软件危害企业的第一步。这也凸显了用户教育的重要性。企业只需要培训用户不要点击这些网络钓鱼诱饵或启用附件中的宏——这些方法已被证明可以阻止这些恶意软件的活动。
下面就为大家盘点2021年最恶劣的恶意软件(排名不分先后):
1. LemonDuck
LemonDuck作为一个著名的僵尸网络和加密货币挖掘有效负载,仅仅存在了几年。它是最恼人的有效载荷之一,因为它将使用几乎所有的感染媒介,例如以新冠病毒为主题的电子邮件、漏洞利用、无文件powershell模块和暴力破解。在2021年,LemonDuck再次变得越来越流行,甚至添加了一些新功能,例如窃取凭证、删除安全协议等。
更糟糕的是,LemonDuck会同时攻击Linux系统和Windows,这一点既便利又罕见。而且,它还会利用受害者只专注于修补最近和流行漏洞的心态,通过旧的漏洞进行攻击。
一个有趣的怪癖是,LemonDuck还会“黑吃黑”,通过消除相互竞争的恶意软件感染,将其他黑客从受害者的设备中移除。LemonDuck希望成为最大、最恶劣的恶意软件,他们甚至通过修补用于访问的漏洞来防止新的感染。它还会挖掘门罗币(XMR),以实现最大利润。这些利润是即时的,甚至可以说是“多劳多得”的。攻击没有赎金要求,因此受害者不会了解这种攻击/破坏。
2. REvil
即便是不了解信息安全的人,想必也都听说过发生在七月份的Kaseya供应链攻击事件,致使其他企业中招,其中包括全球肉类供应商JBS。
你可能在2018年听说过名为Gandcrab的勒索软件,或在2019年听说过Sodinokibi。没错,他们都是同一个团体,今年他们的身份是REvil。他们提供勒索软件即服务(RaaS),这意味着他们制作加密有效载荷,并为暗网上的勒索泄露网站提供便利。附属公司将使用勒索软件有效载荷进行攻击,并共享所有利润。
在Kaseya攻击事件以及随后白宫和普京的会晤后不久,REvil支付和泄露网站就下线了。根据相关信息所示,REvil服务器基础设施遭到了政府的取缔,迫使REvil完全删除服务器基础设施并消失。
与此列表中的许多恶意软件一样,REvil并没有自此消失,而是于9月初在暗网上的泄露网站上重新上线。在稍作休整后,他们又重新启动了自己的基础设施。
3. Trickbot
作为一种流行的银行木马,Trickbot已经存在了10年,现在已经发展为最广为人知的僵尸网络之一。Trickbot因其多功能性和弹性被大量网络犯罪组织使用,也与许多勒索软件组织存在关联。
去年秋天晚些时候,美国国防部(DoD)、微软和其他机构对该组织的僵尸网络进行了攻击,几乎将其摧毁。但就像任何优秀的僵尸一样,它在Emotet关闭后再次崛起,发展成头号僵尸网络。
Trickbot感染几乎总是会导致勒索软件攻击。一旦进入设备,它就会在网络中横向移动,利用漏洞传播和收集尽可能多的凭据。有时,收集所有域凭据需要几周或几个月的时间。一旦他们完全控制了环境,就能确保勒索软件发挥最大威力,即便是采取缓解措施也无济于事。
4. Dridex
作为另一个流行多年的银行木马和信息窃取程序,Dridex与Bitpaymer/Doupelpaymer/Grief等勒索软件紧密相关。Dridex一直在Emotet的机器上运行,Emotet关闭后,它便开始运行自己的恶意垃圾邮件活动。
一旦进入设备,它也会通过网络横向移动,在每台机器上放置Dridex加载程序。就像Trickbot一样,Dridex也会花大量时间收集凭证,直至获得完全控制权,从而对目标网络造成最大程度的破坏,同时防止缓解策略生效。
5. Conti
这个勒索软件组织对人们来说并不陌生,它曾是Ryuk(使用Emotet和Trickbot)背后的勒索软件运营商。事实上,他们曾被美国联邦调查局评为“2019年最成功的勒索软件组织”。虽然Conti通过RDP部署,但它通常不会对不安全的RDP进行暴力破解。大多数情况下,凭据是从Trickbot或Qakbot等窃取信息的木马程序中获取。
这些勒索软件开发者还运营着一个泄露网站,以进一步恐吓受害者支付赎金。Conti在2021年登上了许多头条新闻,并入侵了许多大型组织,且至今仍在活跃。此外,研究人员还注意到,LockFile勒索软件将Conti团伙的电子邮件地址列为付款联系人,这一线索将这两个群体联系在了一起。
6. Cobalt Strike
Cobalt Strike是白帽公司设计的渗透测试工具,其目的是帮助红队模拟攻击,以便黑客可以渗透到环境中,确定它的安全漏洞并做出适当的更改。这个工具有几个非常强大和有用的功能,如进程注入、权限提升、凭证和散列获取、网络枚举、横向移动等。
所有这些对黑客来说都极具吸引力,所以我们经常看到黑客使用Cobalt Strike也就不足为奇了。在“最恶劣的恶意软件”榜单中列出一个白帽子工具,可以说是绝无仅有的,但是这个工具很容易用于可扩展的自定义攻击。也难怪如此多的攻击者将其作为武器库中的工具之一。
7. Hello Kitty
HelloKitty勒索软件运营商自2020年11月以来一直处于活跃状态,今年7月以来,他们开始使用其恶意软件的Linux变体以VMware ESXi虚拟机平台为目标实施攻击。
而它最出名的事迹还要数破坏CD Projekt RED并窃取其游戏源代码,包括著名的《CyberPunk 2077》和《Witcher 3》等。
8. DarkSide
Colonial Pipeline攻击是2021年最引人注目的攻击事件,导致了天然气短缺和恐慌性购买情绪。不过,此事也提醒我们,勒索软件攻击的破坏性有多大,就像当年的Wannacry。
该勒索软件即服务(RaaS)组织声称,他们无意攻击基础设施,并将攻击行为推给其附属机构。但就在袭击发生几周后,又出现了一种名为“Black Matter”的类似 RaaS组织,并声称将攻击除医疗和国家机构以外的所有环境。同时,他们还声称与DarkSide不是同一个人。但老实说,谁相信呢?