2021-01-19 11:37:0519191人阅读
本报告是Recorded Future网络安全公司发布的报告,报告根据的是第三季度所涉及到的主流网络安全新闻、安全供应商报告、关于恶意软件、安全漏洞以及2020年7月1日至9月30日的暗网和地下论坛,综合这些信息就是为了更准确地研究影响桌面系统和移动设备的恶意软件的主要趋势。
在2020年第三季度,Recorded Future观察到主要勒索软件运营商在策略、技术和程序(TTP)上的扩张,包括针对教育机构和使用勒索策略的新勒索软件运营商的持续增长。在2020年7月到10月之间,研究人员发现了5个新的勒索软件勒索网站。此外,研究人员发现,本季度NetWalker的攻击活动大幅上升,而Sodinokibi活动下降。
桌面恶意软件攻击的主要趋势包括大量的Emotet恶意软件的复活和加密货币挖掘恶意软件的技术迭代。Emotet在整个第二季度都没有出现过,但在7月份重新浮出水面,攻击目标包括美国州和地方政府在内的组织。加密货币挖掘恶意软件的开发者正在为进一步的攻击添加额外的功能,而不仅仅是挖掘加密货币。
最后,随着移动恶意软件如SpyNote,Cerberus银行木马等重新浮出水面,Android恶意软件在本季度再次占据了攻击趋势的C位。
攻击趋势判断
只要勒索软件仍然可以盈利,更多的攻击者很可能会采用勒索软件勒索模型。
教育机构仍然是勒索软件运营商的首要目标,研究人员认为新冠疫情大流行造成的破坏使大学和学区网络成为了攻击者攻击的重点目标。
NetWalker攻击的报告增加,Sodinokibi攻击的报告减少。然而,Sodinokibi攻击的目标可能只是更频繁地支付赎金。根据地下论坛的活动,研究人员怀疑Sodinokibi的运营商正在继续扩大他们的活动。
虽然研究人员预计Emotet的运营商将继续暂停其活动,但Emotet很有可能在今年年底和2021年继续对各个行业的组织构成重大攻击和影响。
在2020年第三季度,攻击者增加了加密货币挖掘恶意软件的功能,如窃取证书或访问能力。假设这一趋势继续下去,它很可能会导致比“传统的”加密货币挖掘恶意软件对组织系统造成更严重的破坏。
基于Android操作系统设备的广泛使用以及恶意软件中分布的动态工具集,攻击者很有可能在2020年第四季度继续使用Android恶意软件来攻击用户。除了一般的Android恶意软件外,由于Cerberus 银行木马源代码的发布,银行和金融机构还可能会发现欺诈企图激增。
勒索软件
目标行业的变化和勒索软件勒索网站的活动在整个2020年第三季度都普遍存在于勒索软件运营中,因为至少五个勒索软件系列的运营商建立了他们自己的新勒索网站,教育部门的多个组织成为目标,而Sodinokibi(也称为REvil)活动减少,而Netwalker(也称为Mailto)活动增加。
勒索软件运营商很可能会继续勒索教育机构,这些机构不仅有支付赎金的财力,而且还感到支付赎金的紧迫性,以避免在学年期间受到干扰。由于新冠疫情的大流行,这种紧迫感尤其突出,因为许多学校正在进行线上教学,因此严重依赖数字资源和通信。此外,尽管一些教育机构确实有大笔预算,但它们往往没有在网络安全控制或员工方面拨出足够的资金,这使它们更容易成为目标。
受勒索软件攻击影响的教育机构包括纽约州立大学伊利社区学院、犹他大学和拉斯维加斯克拉克县学区。犹他大学透漏,他们支付了攻击者要求的457059美元赎金,以避免他们的敏感数据被公布。
虽然该大学没有说明是哪些勒索软件运营商发动了这次攻击,但研究人员怀疑它是NetWalker勒索软件的附属公司,后者在2020年第二季度针对了多所大学。在CCSD的情况下,迷宫勒索软件运营商窃取敏感数据和-CCSD拒绝支付赎金后发表的数据,其中包括员工的社会安全号码、物理地址和退休的文书工作以及学生姓名、年级、出生日期、物理地址、奖学金和出勤率等。
NetWalker活动增加,Sodinokibi活动减少
NetWalker的活动在2020年9月激增,在NetWalker的勒索网站NetWalker 博客上列出的受害者包括网络安全公司Cygilant、阿根廷官方移民机构、巴基斯坦电力供应巨头K-Electric和安大略护士学院,赎金要求至少是数百万美元起。数据中心巨头Equinix也表示受到了NetWalker的影响,不过目前还没有证据表明其数据在NetWalker博客上被泄漏。虽然这可能是由于Equinix支付了NetWalker运营商要求的450万美元赎金,但没有证据证实这一点。
Sodinokibi的活动在2020年第三季度有所下降,然而,报告中的趋势并不一定意味着真实的情况,事实上可能有更多的受害目标只是支付赎金从而让他们的数据不被泄漏。此外,2020年9月28日,Sodinokibi小组成员UNKN在XSS论坛上宣布,该小组正在寻找新的会员加入其运营,这表明Sodinokibi的大规模活动即将增加。
勒索网站新的攻击趋势
2020年7月至9月, Recorded Future报告中新发现的勒索勒索网站数量分布
在研究人员的第二份恶意软件趋势报告中就指出,更多的勒索软件运营商可能会采用勒索模式,这是由于组织在缓解威胁所面临的困难以及出售被盗数据可能带来的额外收入流方面受到激励。事实证明,这在2020年第三季度是正确的,并且只要勒索软件仍然能够盈利,就会有更多的勒索软件运营商采用勒索模型。
例如,SunCrypt的多个受害者(该勒索软件联盟计划于2019年10月首次出现,由攻击者“SunCrypt”运行)自2020年8月启动以来,其数据已在SunCrypt勒索网站SunCrypt News上公开,特别是北卡罗莱纳的海伍德县学校和新泽西大学医院。尽管在他们的攻击活动中都观察到了使用IP地址91.218.114[.]31的SunCrypt和Maze勒索软件(SunCrypt最近声称它已加入Maze的“cartel”),但Maze运营商否认与SunCrypt有任何隶属关系,而基础设施重叠的原因仍然不清楚。
虽然SunCrypt勒索软件在攻击领域已经出现将近一年了,而且随着SunCrypt News的推出,其TTP也在不断发展,但在2020年第三季度发现的其他三个勒索软件勒索网站,都是最近才发现的勒索软件家族。2020年8月,一项名为DarkSide的新型勒索软件行动的信息浮出水面。该行动针对世界各地的各种组织,并将受害者姓名和被盗数据样本发布在他们的勒索网站(也称为DarkSide)上。攻击最初是在2020年8月10日发现的,根据目标组织的不同,攻击者提出的赎金要求从20万美元到200万美元不等。
虽然DarkSide背后的开发者的名字尚不清楚,但DarkSide和Sodinokibi勒索软件系列之间有一些相似之处,即它们的赎金记录模板和两个家族用来删除受害者计算机上的卷影副本的PowerShell命令。 DarkSide还使用类似于Sodinokibi和GandCrab的代码来检查CIS(独立国家联合体)国家。尽管DarkSide运营商表示他们以前是其他勒索软件业务的分支机构,但这些勒索软件业务曾赚了数百万美元,但上述与Sodinokibi和GandCrab的相似之处不足以证明将DarkSide与这些业务联系起来。他们还表示,他们仅针对有能力支付指定赎金需求的行业,例如教育、政府和医疗组织。
2020年6月8日,有报道称Avaddon勒索软件恶意垃圾邮件活动针对全球用户。该报告是在一个名为“Avaddon”的攻击者在漏洞利用和XSS论坛上发布Avaddon勒索软件附属程序不到一周后发布的。Avaddon以金融信息、数据库和信用卡信息等数据为目标,在他们的勒索网站Avaddon Info上发布被窃数据样本,受害者有48小时的时间联系运营商,否则他们的数据就会被公布。
2020年第三季度,全球范围内的目标组织还包括与勒索软件家族Egregor有关的运营商,Egregor攻击于2020年9月下旬首次被发现,并影响了十多家公司,包括总部位于法国的全球物流公司GEFCO。Egregor会将受害者的信息在Egregor News上部分发布,并被要求在三天内支付赎金,否则将继续泄漏部分或全部数据。Egregor的有效载荷还需要一个解密密钥被传递到命令行以在受害计算机上正常运行,这意味着无法手动或通过沙箱来分析文件,除非攻击者使用与运行勒索软件相同的命令行。
最终,在2020年9月下旬,出现了针对企业网络的攻击报告,攻击者使用一种名为MountLocker的新型勒索软件。据报道,MountLocker的运营商要求支付200万美元的赎金,并威胁说如果不支付赎金,他们将在其勒索网站“MountLocker News & Leaks”上公布被盗数据。除此之外,攻击者还威胁到如果不支付赎金,他们就会通知受害者的竞争对手、媒体、电视频道和报纸,称他们受到了攻击。
PC端恶意软件
在2020年第三季度,有两个主要的趋势影响着桌面恶意软件的发展和传播:Emotet恶意软件的兴起以及加密货币挖掘恶意软件中其他恶意功能的发展。
Emotet恶意软件卷土重来
Emotet至少自2014年以来就在全球范围内开始肆虐,但经历了许多次迭代,活动周期逐渐减少,尤其是在过去两年中。Emotet垃圾邮件活动在2020年3月中旬至2020年7月17日之间暂停,当时研究人员观察到了一个针对Emotet的针对全球用户的新垃圾邮件活动。至少在最近两年中,Emotet的运营商似乎没有对其进行什么迭代。在2019年,研究人员观察到第二季度Emotet的攻击力度下降,然后在第三季度复苏。
虽然Emotet不是一种新的恶意软件变体,但Emotet的卷土重来已经影响了全球的攻击格局,包括魁北克的司法部和法国的公司和行政机构都成了其攻击目标。此外,研究人员还观察到,其运营商利用重大事件(如新冠疫情大流行和美国大选)作为网络钓鱼诱饵。
Emotet的TTP的主要变化包括:
1.用QakBot作为最终载荷替换TrickBot;
2.Emotet的下载量增加了一倍,这与Emotet的打包程序更改有关,这使得Emotet包加载程序在杀毒软件中检测率较低;
3.操作员使用新的Word文档模板;
4.操作员使用受密码保护的包含恶意宏的文档来绕过检测。
尽管预计Emotet的运营商将继续采取重大暂停措施,但研究人员认为Emotet在年底和2021年之前很可能继续成为主要威胁,并影响各行各业的组织。
整个2020年第三季度的Emotet活动
网络安全与基础设施安全局(CISA)和多州信息共享与分析中心(MS-ISAC)发布了一项警报,重点介绍了Emotet在整个2020年第三季度的最新活动。在警报中,MS-ISAC和CISA共享了Snort签名,以用于检测与Emotet相关的网络活动。此外,CISA和MS-ISAC提供了许多最佳实践,他们建议安全团队遵循这些最佳实践来缓解Emotet攻击。
下一章我将对恶意攻击中的加密货币挖掘恶意软件和新出现的攻击趋势进行分析。
本文翻译自:https://www.recordedfuture.com/q3-malware-trends/