研究人员发现一起攻击活动使用 Phorpiex 僵尸网络通过数百万封网络钓鱼电子邮件传播勒索软件。与此同时,Lockbit3 勒索软件团伙在短暂沉寂后又卷土重来,其攻击数量占已发布勒索软件攻击的三分之一
2024年6月,领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 5 月《全球威胁指数》报告。上个月,研究人员发现了一起利用 Phorpiex 僵尸网络策划的恶意垃圾邮件攻击活动。发送的数百万封网络钓鱼电子邮件中带有 LockBit Black,该勒索病毒基于 LockBit3,但与该勒索软件团伙无关。与此同时,虽然 LockBit3 勒索软件即服务 (RaaS) 团伙在全球执法行动中遭到了打击,但经过短暂沉寂后,其攻击数量骤增,占已发布攻击的 33%。
Phorpiex 僵尸网络的原始运营组织于 2021 年 8 月将其关闭并出售了源代码。 然而,2021 年 12 月,Check Point Research (CPR) 发现它化身为“Twizt”重现江湖,并采用一种分散化对等模式。今年 4 月,新泽西州网络安全和通信集成小组 (NJCCIC) 发现,在一起 LockBit3 勒索软件攻击活动中,攻击者使用 Phorpiex 僵尸网络(在上个月的威胁指数排行榜中位列第六)发送了数百万封网络钓鱼电子邮件。这些邮件随附 ZIP 附件,其中的欺诈性 .doc.scr 文件一旦被执行,就会触发勒索软件加密程序,该攻击活动使用了超过 1,500 个独立IP 地址。
与此同时,Check Point 威胁指数报告汇总了从双重勒索勒索软件团伙运营的“羞辱网站”中获得的洞察分析。攻击者在这些网站上公布受害者信息,以向不付款的目标施压。5 月份,LockBit3 再次霸榜,其攻击数量占已发布攻击的 33%。紧随其后的是 Inc. Ransom 和 Play,检出率分别为 7% 和 5%。Inc. Ransom 最近声称对造成英国莱斯特市议会公共服务中断的重大网络事件负责,称其窃取了超过 3 TB 数据,并导致大面积系统瘫痪。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“尽管执法机构暂时打击了 LockBit3 网络犯罪团伙,不仅公布了超过 7,000 条 LockBit 解密密钥外,而且还曝光了其中一名头目和多个成员团伙,但该威胁尚未彻底消除。因此,看到他们进行重新部署并实施新策略来持续发动攻击也就不足为奇了。勒索软件是网络犯罪分子采用的最具破坏性的攻击手段之一。一旦攻击者潜入网络并窃取信息,那么摆在受害者面前的选择就寥寥无几了,尤其是在他们无力支付赎金的情况下。因此,各企业必须对风险保持高度警惕,并优先采取预防措施。”
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 是上月最猖獗的恶意软件,影响了全球 7% 的机构,其次是 Androxgh0st 和 Qbot,影响范围分别为 5% 和 3%。
FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段,Androxgh0st 利用多个漏洞,特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的变体,可扫描不同的信息。
Qbot - Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。
主要移动恶意软件
上月,Anubis 位居最猖獗的移动恶意软件榜首,其次是 AhMyth 和 Hydra。
Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。 自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
↑ Hydra – Hydra 是一种银行木马,可通过要求受害者启用高危权限来在每次入侵银行应用时窃取银行凭证。
主要勒索软件团伙
以下数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”(攻击者在这些网站上公布受害者信息)获得的洞察分析。上月,LockBit3 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 33%,其次是 Inc. Ransom 和 Play,分别占 7% 和 5%。
LockBit3 – LockBit3 是一种以 RaaS 模式运行的勒索软件,于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。在 2024 年 2 月因执法行动而长期中断之后,LockBit 现已恢复发布受害者信息。
Inc. Ransom - Inc. Ransom 是 2023 年 7 月出现的一种勒索软件,主要实施鱼叉式网络钓鱼攻击,瞄准易受攻击的服务。该勒索软件团伙的主要目标是北美洲和欧洲企业,危及医疗、教育和政府等多个行业。Inc. 勒索软件有效载荷支持多个命令行参数,并使用多线程方法进行局部加密。
Play - Play 勒索软件又称为 PlayCrypt,于 2022 年 6 月首次现身。这一勒索软件瞄准北美洲、南美洲和欧洲的众多企业和关键基础设施,到 2023 年 10 月影响了大约 300 家实体。Play 勒索软件通常通过被盗的有效账户或利用未修补的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入网络。得逞后,它会采用离地攻击二进制文件 (LOLBins) 等各种手段来执行数据泄露和凭证窃取等任务。
关于 Check Point 软件技术有限公司
Check Point 软件技术有限公司(www.checkpoint.com.cn)是一家领先的云端 AI 网络安全平台提供商,为全球超过 10 万家企业与机构提供安全保护。Check Point 利用强大的 AI 技术通过 Infinity 平台提高了网络安全防护效率和准确性,凭借业界领www.checkpoint.com)先的捕获率实现了主动式威胁预测和更智能、更快速的响应。该综合型平台集多项云端技术于一身,包括确保工作空间安全的 Check Point Harmony、确保云安全的 Check Point CloudGuard、确保网络安全的 Check Point Quantum,以及支持协同式安全运维和服务的 Check Point Infinity Core Services。
关于 Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。