Check Point 的最新威脅指數(shù)報(bào)告顯示，RansomHub 繼續(xù)位居榜首，Meow 勒索軟件因其新型攻擊手段和強(qiáng)大破壞力而風(fēng)頭漸起。

2024 年 9 月 ，領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 8 月《全球威脅指數(shù)》報(bào)告。該指數(shù)報(bào)告顯示，勒索軟件仍占主導(dǎo)地位，RansomHub

依然是頭號(hào)勒索軟件團(tuán)伙。這一勒索軟件即服務(wù) (RaaS) 變體的前身是?Knight 勒索軟件，自更名以來(lái)便快速蔓延，在全球范圍內(nèi)攻擊了 210 多家受害者。與此同時(shí)，Meow 勒索軟件風(fēng)頭漸起，攻擊重點(diǎn)從文件加密轉(zhuǎn)向在數(shù)據(jù)泄露市場(chǎng)上售賣(mài)被盜數(shù)據(jù)。

上月，RansomHub 鞏固了其作為頭號(hào)勒索軟件威脅的地位。這種 RaaS 操作利用復(fù)雜的加密技術(shù)，針對(duì) Windows、macOS、Linux 等系統(tǒng)，尤其是 VMware ESXi 環(huán)境展開(kāi)猛烈攻擊。

8 月份，Meow 勒索軟件風(fēng)頭漸起，首次躋身主要勒索軟件排行榜第二位。Meow 是已知?Conti 勒索軟件的變體，現(xiàn)已將攻擊重點(diǎn)從文件加密轉(zhuǎn)向數(shù)據(jù)提取，并將其勒索網(wǎng)站轉(zhuǎn)變?yōu)閿?shù)據(jù)泄露市場(chǎng)。在這種模式下，被盜數(shù)據(jù)被售賣(mài)給出價(jià)最高者，這不同于傳統(tǒng)的勒索軟件敲詐策略。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“RansomHub 成為 8 月份的頭號(hào)勒索軟件威脅，這充分說(shuō)明勒索軟件即服務(wù)的復(fù)雜性與日俱增。各機(jī)構(gòu)需要提高警惕。Meow 勒索軟件的興起凸顯了向數(shù)據(jù)泄露市場(chǎng)的轉(zhuǎn)變，即越來(lái)越多的被盜數(shù)據(jù)被售賣(mài)給第三方，而不僅僅是發(fā)布到網(wǎng)上，這是勒索軟件運(yùn)營(yíng)組織的一種新型牟利方式。隨著這些威脅持續(xù)演變，企業(yè)必須時(shí)刻保持警惕，采取主動(dòng)安全防護(hù)措施，并不斷加強(qiáng)防御，以有效應(yīng)對(duì)日益復(fù)雜的攻擊?！?/p>

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates ?是本月最猖獗的惡意軟件，全球? 8% ?的機(jī)構(gòu)受到波及，其次是? Androxgh0st ?和? Phorpiex ，分別影響了全球? 5% ?和? 5% ?的機(jī)構(gòu)。

1.? ?FakeUpdates? – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫(xiě)的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫(xiě)入磁盤(pán)。FakeUpdates 通過(guò)許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

2.? ?Androxgh0st -? Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個(gè)漏洞，特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3.? ↑ Phorpiex ?- Phorpiex 是一種僵尸網(wǎng)絡(luò)，因通過(guò)垃圾郵件攻擊活動(dòng)分發(fā)其他惡意軟件家族并助長(zhǎng)大規(guī)模性勒索攻擊活動(dòng)而廣為人知。

最常被利用的漏洞 ? ?

1.? ?HTTP 載荷命令行注入（CVE-2021-43936，CVE-2022-24086） – 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠(yuǎn)程攻擊者可以通過(guò)向受害者發(fā)送特制的請(qǐng)求來(lái)利用此漏洞。攻擊者可通過(guò)該漏洞在目標(biāo)計(jì)算機(jī)上執(zhí)行任意代碼。?

2.? ?Zyxel ZyWALL 命令注入 (CVE-2023-28771) -? 這是一種存在于 Zyxel ZyWALL 中的命令注入漏洞。遠(yuǎn)程攻擊者可利用該漏洞在受影響系統(tǒng)上執(zhí)行任意操作系統(tǒng)命令。

3.? ?HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）-? HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請(qǐng)求的其他信息。遠(yuǎn)程攻擊者可能會(huì)使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運(yùn)行任意代碼。 ?

主要移動(dòng)惡意軟件

本月， Joker ?位列最猖獗的移動(dòng)惡意軟件榜首，其次是? Anubis ?和? Hydra 。

1.?? Joker? – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊(cè)付費(fèi)服務(wù)。

2.? ?Anubis –? Anubis 是一種專為 Android 手機(jī) 設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測(cè)到以來(lái)，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問(wèn)木馬 (RAT) 功能、鍵盤(pán)記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

3.? ↑ Hydra ?– Hydra 是一種銀行木馬，可通過(guò)要求受害者啟用高危權(quán)限來(lái)在每次入侵銀行應(yīng)用時(shí)竊取銀行憑證。

主要勒索軟件團(tuán)伙 ?

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。本月， RansomHub ?是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的? 15% ，其次是? Meow ?和? Lockbit3 ，分別占? 9% ?和? 8% 。

1.? RansomHub? – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對(duì)各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動(dòng)，以及采用的復(fù)雜加密方法而臭名昭著。

2.? Meow? - Meow 勒索軟件是一種基于 Conti 勒索軟件的變體，因能夠加密受感染系統(tǒng)上的各種文件而廣為人知。它會(huì)在文件名后添加“.MEOW”擴(kuò)展名，然后留下一封名為“readme.txt”的勒索信，要求受害者通過(guò)電子郵件或 Telegram 聯(lián)系攻擊者，談判贖金支付事宜。Meow 勒索軟件通過(guò)各種向量傳播，包括未受保護(hù)的 RDP 配置、垃圾電子郵件及惡意下載，并使用 ChaCha20 加密算法來(lái)鎖定文件，不包括“.exe”和文本文件。

3.? Lockbit3 ?– LockBit 是一種以 RaaS 模式運(yùn)行的勒索軟件，于 2019 年 9 月首次發(fā)現(xiàn)。它主要瞄準(zhǔn)各個(gè)國(guó)家和地區(qū)的大型企業(yè)和政府機(jī)構(gòu)。

關(guān)于 ?Check Point? 軟件技術(shù)有限公司 ??

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端?AI 網(wǎng)絡(luò)安全平臺(tái)提供商，為全球超過(guò)?10 萬(wàn)家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的?AI 技術(shù)通過(guò)?Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 ? Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開(kāi)合作。