今年,又是冠状病毒和恶意软件猖獗的一年。无论是在现实世界还是在虚拟网络中,全世界的人们仍在与病毒(真正的新冠病毒和网络病毒程序)作斗争。尽管如此,今年的网络世界还是出现了一些可怕的新变化:对关键基础设施和供应链的攻击已成为一种新趋势。今年,我们看到一些老牌玩家离开了游戏,一些去了海滩,还有一些最终入狱。尽管如此,2021年仍然是网络威胁(尤其是勒索软件)占据头条新闻的一年。勒索软件攻击已从一种趋势演变为一种新常态。每一个主要的勒索软件活动都在使用“双重勒索”策略,这对小企业来说无疑是一个可怕的现象。在双重勒索中,威胁行为者不仅窃取和锁定文件,而且如果没有达成赎金协议,他们还会以最具破坏性的方式泄露受害者数据。不过,好消息是平均赎金去年达到20万美元的峰值,现在平均略低于15万美元。坏消息是攻击者正在扩大他们的目标群并瞄准各种规模的企业。事实上,大多数受害者都是小企业,他们最终都支付了大约50,000美元的赎金。更重要的是,勒索软件攻击者在他们的策略、招募人才和提供简化的用户体验方面越来越复杂。更何况,除了勒索软件攻击,供应链攻击也正成为一个棘手的问题。网络钓鱼仍然是这些活动的关键,而且它通常是恶意软件危害企业的第一步。这也凸显了用户教育的重要性。企业只需要培训用户不要点击这些网络钓鱼诱饵或在附件中启用宏——这些方法已被证明可以阻止这些恶意软件的活动。以下是2021年最严重的恶意软件列表(排名不分先后):1.LemonDuckLemonDuck是一种著名的僵尸网络和加密货币挖矿负载,仅存在几年。它是最烦人的有效负载之一,因为它将使用几乎所有感染媒介,例如COVID-19主题电子邮件、漏洞利用、无文件powershell模块和暴力攻击。2021年,LemonDuck再次变得越来越流行,甚至还增加了一些新功能,比如窃取凭证、移除安全协议等等。更糟糕的是,LemonDuck同时攻击Linux系统和Windows,这既方便又罕见。此外,它还利用了受害者的心态,他们只专注于修补最近和流行的漏洞,通过较旧的漏洞进行攻击。一个有趣的怪癖是,LemonDuck还通过消除竞争性恶意软件感染来“破解”并从受害者的设备中删除其他黑客。LemonDuck想成为最大和最糟糕的恶意软件,他们甚至通过修补用于访问的漏洞来防止新的感染。它还开采Monero(XMR)以获得最大利润。这些利润是立竿见影的,甚至可以说是“多劳多得”。攻击没有赎金要求,所以受害者不会知道这次攻击/破坏。2.REvil即使不懂信息安全的人也一定听说过7月份发生的Kaseya供应链攻击事件,导致其他公司中招,包括全球肉类供应商JBS。你可能听说过2018年名为Gandcrab或2019年名为Sodinokibi的勒索软件。没错,他们都是同一批人,今年是REvil。他们提供勒索软件即服务(RaaS),这意味着他们制作加密的有效负载并促进暗网上的勒索泄露网站。附属公司将使用勒索软件有效载荷进行攻击并分享所有利润。在Kaseya袭击和随后的白宫与普京会晤后不久,REvil支付和泄密网站下线了。根据相关信息,REvil服务器基础设施被政府禁止,迫使REvil彻底删除服务器基础设施并消失。与此列表中的许多恶意软件一样,REvil此后并未消失,而是在9月初重新出现在暗网上的泄露网站上。短暂休息后,他们重新启动了基础设施。3.Trickbot作为一种流行的银行木马,Trickbot已经存在了10年,已经成长为最广为人知的僵尸网络之一。Trickbot因其多功能性和弹性而被大量网络犯罪集团使用,并且还与许多勒索软件集团有关联。去年秋天晚些时候,美国国防部(DoD)、微软和其他组织对该组织的僵尸网络发起了攻击,几乎将其摧毁。但就像任何优秀的僵尸网络一样,它在Emotet关闭后再次崛起,成长为头号僵尸网络。Trickbot感染几乎总是会导致勒索软件攻击。一旦进入设备,它就会在网络中横向移动,利用漏洞传播和收集尽可能多的凭据。有时需要数周或数月才能收集所有域凭据。一旦他们完全控制了环境,他们就可以确保勒索软件发挥最大作用,即使有缓解措施也是如此。4.Dridex作为另一个流行多年的银行木马和信息窃取程序,Dridex与Bitpaymer/Doupelpaymer/Grief等勒索软件密切相关。Dridex一直在Emotet的机器上运行,当Emotet关闭时,它开始运行自己的恶意垃圾邮件活动。一旦进入设备,它也会通过网络横向移动,将Dridex加载器放到每台机器上。与Trickbot一样,Dridex也会花费大量时间收集凭证,直到获得完全控制权,从而对目标网络造成最大破坏,同时阻止缓解策略生效。5.Conti这个勒索软件组织对人们来说并不陌生,它就是Ryuk(使用Emotet和Trickbot)背后的勒索软件运营商。事实上,他们曾被FBI评为“2019年最成功的勒索软件集团”。尽管Conti是通过RDP部署的,但它通常不会暴力破解不安全的RDP。在大多数情况下,凭据是从Trickbot或Qakbot等信息窃取木马程序中获取的。这些勒索软件开发商还运营一个泄露的网站,以进一步恐吓受害者支付赎金。康蒂在2021年登上了很多头条新闻并入侵了许多大型组织,至今仍然活跃。此外,研究人员注意到LockFile勒索软件将Conti集团的电子邮件地址列为付款联系人,这是将这两个集团联系起来的线索。6.CobaltStrikeCobaltStrike是WhiteHat设计的渗透测试工具,用于帮助红队模拟攻击,以便黑客可以渗透到环境中,找出其安全漏洞并进行适当的更改。这个工具有几个非常强大和有用的功能,如进程注入、权限提升、凭证和哈希收集、网络枚举、横向移动等。所有这些都对黑客极具吸引力,所以我们经常看到黑客使用CobaltStrike也就不足为奇了.在“最严重的恶意软件”列表中拥有一个白帽工具可以说是独一无二的,但它很容易用于可扩展的自定义攻击。难怪有这么多攻击者将其作为他们武器库中的工具之一。7.HelloKittyHelloKitty勒索软件运营商自2020年11月以来一直活跃,从今年7月开始,他们开始使用其恶意软件的Linux变体来针对VMwareESXi虚拟机平台。其中最著名的是破坏CDProjektRED并窃取其游戏源代码,包括著名的《CyberPunk 2077》和《Witcher 3》。8.DarkSideColonialPipeline攻击是2021年最引人注目的攻击事件,导致天然气短缺和抢购。然而,它也提醒人们勒索软件攻击的破坏力有多大,就像当年的Wannacry一样。勒索软件即服务(RaaS)组织声称他们无意攻击基础设施并将攻击推向其附属机构。但就在袭击发生几周后,一个名为“BlackMatter”的类似RaaS组织出现,并声称要攻击除医疗和国家机构以外的所有环境。同时,他们还声称自己和DarkSide不是同一个人。但老实说,谁会相信呢?
