本报告由记录未来网络安全公司根据主流网络安全新闻和安全厂商报告发布,涉及第三季度恶意软件、安全漏洞,以及2020年7月1日至9月30日的暗网和地下论坛,结合起来更准确地检查影响桌面和移动设备的恶意软件的主要趋势。在2020年第三季度,RecordedFuture观察到主要勒索软件运营商的策略、技术和程序(TTP)有所扩展,包括针对教育机构和使用勒索策略的新勒索软件运营商持续增长。2020年7月至2020年10月期间,研究人员发现了五个新的勒索软件勒索软件站点。此外,研究人员发现本季度NetWalker攻击活动显着增加,而Sodinokibi活动则有所下降。桌面恶意软件攻击的主要趋势包括Emotet恶意软件的大规模复兴和加密货币挖掘恶意软件的技术迭代。Emotet在整个第二季度都缺席,但在7月重新浮出水面,目标是包括美国州和地方政府在内的组织。加密货币挖掘恶意软件的开发人员正在添加额外的功能,以进行进一步的攻击,而不仅仅是挖掘加密货币。最后,随着SpyNote、Cerberus银行木马等手机恶意软件的重新出现,Android恶意软件再次占据了本季度攻击趋势的C位。攻击趋势判断只要勒索病毒仍然有利可图,更多的攻击者很可能会采用勒索病毒模式。教育机构仍然是勒索软件运营商的首要目标,研究人员认为,COVID-19大流行造成的破坏使大学和学区网络成为攻击者的主要目标。NetWalker攻击报告增加,Sodinokibi攻击报告减少。然而,Sodinokibi攻击的目标可能只是更频繁地支付赎金。根据地下论坛的活动,研究人员怀疑Sodinokibi的运营商正在继续扩大他们的业务。虽然研究人员预计Emotet的运营商将继续暂停其活动,但Emotet很可能会在今年年底和2021年继续对各行业的组织造成重大攻击和影响。在2020年第三季度,攻击者增加了功能加密货币挖掘恶意软件,例如窃取凭据或访问功能。假设这种趋势继续下去,它很可能对组织的系统造成比“传统”加密货币挖矿恶意软件更严重的损害。基于AndroidOS设备的广泛使用和恶意软件中分布的动态工具集,攻击者很可能在2020年第四季度继续使用Android恶意软件攻击用户。除了一般的Android恶意软件外,银行和金融机构由于Cerberus银行木马源代码的发布,可能还会看到欺诈企图激增。勒索软件目标行业和勒索软件勒索网站活动的变化在整个2020年第三季度的勒索软件操作中普遍存在,因为至少五个勒索软件家族的运营商建立了自己的新勒索软件站点,教育部门在2019年成为多个组织的目标,而Sodinokibi(也称为作为REvil)活动减少,而Netwalker(也称为Mailto)活动增加。勒索软件运营商可能会继续勒索教育机构,这些机构不仅有财力支付赎金,而且迫切需要支付赎金以避免学年中断。COVID-19大流行加剧了这种紧迫感,因为许多学校都在网上教学,因此严重依赖数字资源和通信。此外,虽然一些教育机构确实有大量预算,但它们往往没有分配足够的网络安全控制或人员,使它们更容易成为攻击目标。受勒索软件攻击影响的教育机构包括纽约州立大学伊利社区学院、犹他大学和拉斯维加斯的克拉克县学区。犹他大学透露,他们支付了攻击者要求的457,059美元赎金,以防止他们的敏感数据被泄露。虽然该大学没有说明是哪个勒索软件运营商实施了这次攻击,但研究人员怀疑它是NetWalker勒索软件的附属机构,该勒索软件在2020年第二季度针对多所大学。在CCSD的案例中,迷宫勒索软件运营商窃取了敏感数据和在CCSD拒绝支付赎金后发布,其中包括员工社会保险号码、实际地址和退休文件以及学生姓名、年级、出生日期、实际地址、奖学金和出勤率等。NetWalker活动up,Sodinokibi活动2020年9月,NetWalker活动激增,受害者列在NetWalker勒索网站NetWalker博客上,包括网络安全公司Cygilant、阿根廷官方移民局、巴基斯坦电力巨头K-Electric和安大略护理学院,赎金要求至少从数百万起美元。数据中心巨头Equinix也表示受到了NetWalker的影响,但没有证据表明其数据在NetWalker博客上泄露。虽然这可能是由于Equinix支付了NetWalker运营商要求的450万美元赎金,但没有证据证实这一点。Sodinokibi活动在2020年第三季度有所下降,但是,报告的趋势并不一定代表真实情况,实际上可能有更多的受害者只是为了防止数据泄露而支付赎金。此外,2020年9月28日,Sodinokibi集团成员UNKN在XSS论坛上宣布,该集团正在寻找新成员加入其运营,这表明Sodinokibi的大型活动即将增加。勒索软件站点的新攻击趋势从2020年7月到9月,RecordedFuture报告中分布的新发现的勒索软件勒索软件站点数量。更多勒索软件运营商可能会采用勒索模式,因为组织在缓解威胁方面面临困难,而且出售被盗数据可能带来额外的收入来源。这在2020年第三季度已被证明是正确的,只要勒索软件仍然有利可图,就会有更多的勒索软件运营商采用勒索软件模式。例如,自SunCrypt勒索软件网站SunCryptNews于2020年8月推出以来,SunCrypt(勒索软件附属程序于2019年10月首次出现并由攻击者“SunCrypt”运行)的多名受害者的数据已暴露在SunCrypt勒索软件网站SunCryptNews上,特别是海伍德县学校在北卡罗来纳州和新泽西大学医院。虽然在他们的活动中观察到使用IP地址91.218.114[.]31的SunCrypt和Maze勒索软件(SunCrypt最近声称它已加入Maze的“卡特尔”),但Maze运营商否认与SunCrypt有任何从属关系,而原因基础设施的重叠仍不清楚。虽然SunCrypt勒索软件已经出现在攻击现场将近一年,并且其TTP随着SunCryptNews的发布而不断发展,但在2020年第三季度发现的其他三个勒索软件勒索软件站点都是相对较新的勒索软件系列。2020年8月,有关名为DarkSide的新勒索软件行动的信息浮出水面。该行动针对世界各地的各种组织,并在其勒索软件网站(也称为DarkSide)上发布了受害者的姓名和被盗数据样本。该攻击于2020年8月10日首次被发现,赎金要求从20万美元到200万美元不等,具体取决于目标组织。虽然DarkSide背后的开发者的名字未知,但DarkSide和Sodinokibi勒索软件家族之间有一些相似之处,即它们的赎金票据模板和两个家族都用来删除受害者计算机上的卷影副本命令的PowerShell。DarkSide还使用类似于Sodinokibi和GandCrab的代码来检查CIS(独立国家联合体)国家。虽然DarkSide运营商表示他们以前是其他赚取数百万美元的勒索软件企业的附属公司,但上述与Sodinokibi和GandCrab的相似之处不足以证明DarkSide与这些企业有关联。他们还表示,他们只针对有能力支付特定赎金要求的行业,例如教育、政府和医疗机构。2020年6月8日,有报道称Avaddon勒索软件恶意垃圾邮件活动针对全球用户。该报告是在名为“Avaddon”的攻击者在漏洞利用和XSS论坛上发布Avaddon勒索软件小程序后不到一周发布的。Avaddon以财务信息、数据库和信用卡信息等数据为目标,在其勒索网站AvaddonInfo上发布被盗数据样本,受害者有48小时联系运营商,否则他们的数据将被释放。在2020年第三季度,全球范围内的目标组织还包括与勒索软件家族Egregor相关的运营商,该勒索软件家族于2020年9月下旬首次被发现,影响了十几家公司,其中包括总部位于法国的全球物流公司GEFCO。Egregor会在EgregorNews上公布部分受害者信息,并被要求在三天内支付赎金,否则将继续泄露部分或全部数据。Egregor的有效负载还需要将解密密钥传递给命令行才能在受害计算机上正常运行,这意味着除非攻击者使用与勒索软件相同的命令行,否则无法手动或通过沙箱分析文件。最后,在2020年9月下旬,有报告称使用一种名为MountLocker的新型勒索软件针对企业网络进行了攻击。据报道,MountLocker的运营商索要200万美元的赎金,并威胁如果不支付赎金,将在其勒索软件网站MountLockerNews&Leaks上公布被盗数据。除此之外,攻击者还威胁说,如果不支付赎金,他们将通知受害者的竞争对手、媒体、电视频道和报纸他们受到了攻击。PC端恶意软件2020年第三季度,影响桌面恶意软件发展和传播的主要趋势有两个:Emotet恶意软件的兴起和加密货币挖矿恶意软件中其他恶意功能的发展。Emotet恶意软件卷土重来至少自2014年以来,Emotet一直在世界范围内肆虐,但经历了多次迭代,活动周期逐渐减少,尤其是在过去两年中。Emotet垃圾邮件活动在2020年3月中旬至2020年7月17日期间暂停,当时研究人员观察到针对全球Emotet用户的新垃圾邮件活动。Emotet的运营商似乎并没有对其进行太多迭代,至少在过去两年是这样。2019年,研究人员观察到Emotet攻击活动在第二季度有所下降,随后在第三季度有所回升。虽然Emotet不是新的恶意软件变体,但它的卷土重来已经影响了全球攻击格局,包括针对魁北克司法部以及法国的企业和行政机构。此外,研究人员观察到其运营商使用重大事件(例如COVID-19大流行和美国大选)作为网络钓鱼诱饵。Emotet的TTP的主要变化包括:将TrickBot替换为QakBot作为最终的payload;将Emotet的下载大小加倍,这与Emotet的打包器更改有关,这使得Emotet包加载器在防病毒软件中不易检测到;运营商使用新的Word文档模板;操作员使用包含恶意宏的受密码保护的文档来逃避检测。虽然预计Emotet的运营商将继续采取重大暂停措施,但研究人员认为,Emotet可能会在今年年底和2021年继续成为主要威胁,影响各行各业的组织。Emotet在整个2020年第三季度的活动网络安全和基础设施安全局(CISA)和多州信息共享与分析中心(MS-ISAC)已发布警报,强调Emotet在整个2020年第三季度的最新活动。在警报中,MS-ISAC和CISA共享了Snort签名,用于检测与Emotet相关的网络活动。此外,CISA和MS-ISAC提供了许多最佳实践,他们建议安全团队遵循这些最佳实践来减轻Emotet攻击。在下一章中,我将分析加密货币挖矿恶意软件和恶意攻击中的新兴攻击趋势。本文翻译自:https://www.recordedfuture.com/q3-malware-trends/
