2023年的五大流行惡意軟件
根據網絡安全公Malwarebytes最新發布的惡意軟件狀態報告,2022年最流行的五大惡意軟件家族如下:
- Lockbit(勒索軟件)
- Emotet(僵尸網絡)
- SocGholish(路過式下載)
- Dropper(安卓惡意軟件投放器)
Genio(MacOS廣告軟件)報告指出,五大惡意軟件家族在2023年仍將興風作浪,對企
業網絡安全構成嚴重威脅,以下是對各惡意軟件家族的盤點:
勒索之王:Lockbit
2022年勒索軟件威脅態勢發生了巨變,Conti等一度風光無限的勒索軟件團伙關閉了運營,但這個空白很快就被大量其他小規模勒索軟件組織填補。到目前為止,表現最突出的是LockBit,這是一種勒索軟件即服務(RaaS),通過快速創新吸引了大批擁躉(加盟組織)。
LockBit誕生于2019年,最初名為ABCD。在其面世頭兩年,風頭被Maze,Ryuk和Conti等大型多產勒索軟件組織掩蓋。但是隨著2022年LockBit3.0版本的發布,以及新版聯盟計劃對加盟組織的吸引力大增,LockBit開始爆炸式增長,目前號稱已經擁有100個加盟組織。
根據Malwarebytes的遙測數據,LockBit是2022年迄今為止最多產的勒索軟件操作,受害者數量是排名第二的ALPHV的3.5倍。總體而言,2022年三分之一的勒索軟件事件都與及LockBit有關,其最高勒索贖金紀錄是50萬美元。
LockBit的加盟組織攻擊所有類型的企業,從小型律師事務所到大型跨國公司,并使用各種方法來獲得初始訪問權限,從濫用弱遠程訪問憑據(RDP和VPN)、面向公眾的系統中的漏洞,到帶有惡意附件的網絡釣魚電子郵件。LockBit入侵企業網絡后會銷毀數據備份,并使用橫向移動技術來獲取域管理訪問權限。
僵尸網絡王者歸來
地下網絡犯罪的另一個重量級玩家是Emotet僵尸網絡,大量惡意軟件家族都將Emotet當作投放平臺,包括近年來一些最活躍和多產的勒索軟件和木馬程序。
Emotet的歷史可追溯到2014年,最初的“業務定位”是銀行木馬,后期經歷了多次迭代。金融木馬過氣后,Emotet轉型提供惡意軟件分發服務。Emotet的模塊化架構使其非常靈活,并且易于針對不同的任務進行定制。
歐洲刑警組織曾稱Emotet為世界上最危險的惡意軟件。2021年,來自美國、英國、加拿大、德國和荷蘭等多個國家的執法機構設法接管了Emotet僵尸網絡的命令和控制基礎設施。但這次下架嘗試是短暫的,Emotet很快就被重建,顯示出強大的彈性。
2022年11月,Emotet僵尸網絡在蟄伏四個月后再次迭代回歸,每天分發數十萬封惡意電子郵件。Emotet的創建者使用電子郵件作為主要分發機制,專門研究垃圾郵件誘餌,使用線程劫持和語言本地化等技術。最新的垃圾郵件活動分發了包含惡意宏的Excel文件。
成功部署后,Emotet將在系統中刪除其他惡意軟件。過去,Emotet會在受害者系統中安裝TrickBot——另一個與Ryuk勒索軟件關系密切的僵尸網絡。但在最新的活動中,研究者監測到Emotet投放了XMRig加密礦工和IcedID木馬,后者本身與其他惡意軟件家族相關聯。Emotet還從計算機中的Outlook帳戶中竊取聯系人發送更多垃圾郵件,并嘗試破解網絡共享的密碼。
路過式下載新勢力:SocGholish
路過式下載是一個術語,指通過網站而非電子郵件投放惡意軟件。早在Java、Flash Player和Adobe Reader等瀏覽器插件流行的年代,路過式下載曾是極為流行的技術,因為攻擊者可以利用這些插件的過時版本中的漏洞。今天,雖然Flash Player之類的瀏覽器插件已經消亡,但路過式下載作為一種黑客攻擊技術依然有著極強的生命力,只是現在需要增加一些用戶交互和一些社會工程元素。
2022年路過式下載攻擊的代表性惡意軟件無疑是SocGholish,這是一種遠程訪問木馬(RAT),常被用作惡意軟件加載程序,通過在受感染網站上顯示關鍵瀏覽器更新的虛假彈出窗口或通過惡意廣告進行分發。如果用戶不小心點擊了流氓瀏覽器更新,就會下載一個包含JavaScript文件的ZIP存檔。如果執行,此文件將在計算機和網絡上執行偵測,然后部署其他一些惡意軟件威脅,通常是勒索軟件。
“SocGholish的技術原理很簡單,但它的社會工程和目標指紋技術足以威脅到知名公司甚至關鍵基礎設施,”Malwarebytes研究人員警告說:“SocGholish的最終目標是投放勒索軟件,足以引起高度重視。”
安卓生態的害群之馬:Dropper
由于移動設備通常占公司設備資產的很大一部分,因此不應忽視安卓生態的威脅。安卓投放器(Android Dropper)是一種木馬程序,通常偽裝成合法應用程序或付費應用程序的免費版本,并從第三方應用商店和用戶可能訪問的各種網站分發。
一般來說,安卓投放器不像Windows上的惡意軟件那樣容易安裝,因為用戶需要更改默認安全設置并忽略警告,但值得警惕的是,包含安卓投放器的惡意應用程序成功混入了官方Google Play商店,這很可能導致一些用戶放松安全警惕。
安卓投放器可用于部署其他惡意軟件,例如隱藏廣告、銀行木馬和竊取密碼、電子郵件、錄制音頻和拍照的應用程序。
“2022年安卓投放器占安卓惡意軟件檢測量的14%,”Malwarebytes指出:“其他惡意軟件更為普遍,但安卓投放器對企業構成的威脅最大。”
MacOS的頭號威脅:Genio
與Windows相比,MacOS的惡意軟件生態系統要小得多,但威脅確實存在。最流行的類型之一是廣告軟件——注入用戶不需要的廣告的應用程序。MacOS上最古老的廣告軟件之一是Genio,可用于劫持瀏覽器搜索。
與安卓投放器一樣,大多數MacOS廣告軟件和惡意軟件通常作為虛假應用程序或更新進行分發。Genio曾經偽裝成Flash Player更新或與視頻編解碼器捆綁在一起,但現在它偽裝成PDF閱讀或視頻轉換器應用程序。
一旦部署,Genio很難被刪除,因為它在隱藏自己方面做到了極致。Genio會模仿系統文件和其他應用程序的文件,并使用代碼混淆。Genio還會將庫注入其他進程,利用系統缺陷授予自己權限,未經同意安裝瀏覽器擴展,并操縱用戶的密碼鑰匙串。
雖然被歸類為廣告軟件,但Genio被檢測到一系列類似惡意軟件的行為。根據Malwarebytes的報告,Genio占去年MacOS威脅檢測數量的十分之一。
