2024 年 8 月头号恶意软件:RansomHub 霸榜,Meow 勒索软件肆虐
Check Point 的最新威胁指数报告显示,RansomHub 继续位居榜首,Meow 勒索软件因其新型攻击手段和强大破坏力而风头渐起。
2024 年 9 月 ,领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 8 月《全球威胁指数》报告。该指数报告显示,勒索软件仍占主导地位,RansomHub
依然是头号勒索软件团伙。这一勒索软件即服务 (RaaS) 变体的前身是 Knight 勒索软件,自更名以来便快速蔓延,在全球范围内攻击了 210 多家受害者。与此同时,Meow 勒索软件风头渐起,攻击重点从文件加密转向在数据泄露市场上售卖被盗数据。
上月,RansomHub 巩固了其作为头号勒索软件威胁的地位。这种 RaaS 操作利用复杂的加密技术,针对 Windows、macOS、Linux 等系统,尤其是 VMware ESXi 环境展开猛烈攻击。
8 月份,Meow 勒索软件风头渐起,首次跻身主要勒索软件排行榜第二位。Meow 是已知 Conti 勒索软件的变体,现已将攻击重点从文件加密转向数据提取,并将其勒索网站转变为数据泄露市场。在这种模式下,被盗数据被售卖给出价最高者,这不同于传统的勒索软件敲诈策略。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“RansomHub 成为 8 月份的头号勒索软件威胁,这充分说明勒索软件即服务的复杂性与日俱增。各机构需要提高警惕。Meow 勒索软件的兴起凸显了向数据泄露市场的转变,即越来越多的被盗数据被售卖给第三方,而不仅仅是发布到网上,这是勒索软件运营组织的一种新型牟利方式。随着这些威胁持续演变,企业必须时刻保持警惕,采取主动安全防护措施,并不断加强防御,以有效应对日益复杂的攻击。”
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 是本月最猖獗的恶意软件,全球 8% 的机构受到波及,其次是 Androxgh0st 和 Phorpiex ,分别影响了全球 5% 和 5% 的机构。
1. FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
2. Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段,Androxgh0st 利用多个漏洞,特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的变体,可扫描不同的信息。
3. ↑ Phorpiex - Phorpiex 是一种僵尸网络,因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。
最常被利用的漏洞
1. HTTP 载荷命令行注入(CVE-2021-43936,CVE-2022-24086) – 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。
2. Zyxel ZyWALL 命令注入 (CVE-2023-28771) - 这是一种存在于 Zyxel ZyWALL 中的命令注入漏洞。远程攻击者可利用该漏洞在受影响系统上执行任意操作系统命令。
3. HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375)- HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。
主要移动恶意软件
本月, Joker 位列最猖獗的移动恶意软件榜首,其次是 Anubis 和 Hydra 。
1. Joker – 一种存在于 Google Play 中的 Android 间谍软件,可窃取短消息、联系人列表及设备信息。此外,该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。
2. Anubis – Anubis 是一种专为 Android 手机 设计的银行木马恶意软件。自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
3. ↑ Hydra – Hydra 是一种银行木马,可通过要求受害者启用高危权限来在每次入侵银行应用时窃取银行凭证。
主要勒索软件团伙
这些数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”(攻击者在这些网站上公布受害者信息)获得的洞察分析。本月, RansomHub 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 15% ,其次是 Meow 和 Lockbit3 ,分别占 9% 和 8% 。
1. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,据称是已知 Knight 勒索软件的翻版。2024 年初,RansomHub 在地下网络犯罪论坛上初露锋芒,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)发起的破坏性攻击活动,以及采用的复杂加密方法而臭名昭著。
2. Meow - Meow 勒索软件是一种基于 Conti 勒索软件的变体,因能够加密受感染系统上的各种文件而广为人知。它会在文件名后添加“.MEOW”扩展名,然后留下一封名为“readme.txt”的勒索信,要求受害者通过电子邮件或 Telegram 联系攻击者,谈判赎金支付事宜。Meow 勒索软件通过各种向量传播,包括未受保护的 RDP 配置、垃圾电子邮件及恶意下载,并使用 ChaCha20 加密算法来锁定文件,不包括“.exe”和文本文件。
3. Lockbit3 – LockBit 是一种以 RaaS 模式运行的勒索软件,于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。
关于 Check Point 软件技术有限公司
Check Point 软件技术有限公司是一家领先的云端 AI 网络安全平台提供商,为全球超过 10 万家企业与机构提供安全保护。Check Point 利用强大的 AI 技术通过 Infinity 平台提高了网络安全防护效率和准确性,凭借业界领先的捕获率实现了主动式威胁预测和更智能、更快速的响应。该综合型平台集多项云端技术于一身,包括确保工作空间安全的 Check Point Harmony、确保云安全的 Check Point CloudGuard、确保网络安全的 Check Point Quantum,以及支持协同式安全运维和服务的 Check Point Infinity Core Services。
关于 Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。