本报告是Recorded Future网络安全公司发布的报告是基于主流网络安全新闻、第三季度安全供应商报告、恶意软件、安全漏洞、2020年7月1日至9月30日的暗网络和地下论坛。综合这些信息是更准确地研究影响桌面系统和移动设备的恶意软件的主要趋势。
2020年第三季度,Recorded Future观察到主要勒索软件运营商在战略、技术和程序上(TTP)上述扩张包括教育机构和使用勒索策略的新勒索软件运营商的持续增长。2020年7月至10月,研究人员发现了5个新的勒索软件勒索网站。此外,研究人员发现,本季度NetWalker的攻击活动大幅上升,而Sodinokibi活动下降。
桌面恶意软件攻击的主要趋势包括大量Emotet恶意软件的复活和加密货币挖掘恶意软件的技术迭代。Emotet整个第二季度都没有出现,但7月份,包括美国州和地方政府在内的组织重新浮出水面。加密货币挖掘恶意软件的开发者正在为进一步攻击增加额外功能,而不仅仅是挖掘加密货币。
最后,移动恶意软件,如SpyNote,Cerberus银行木马等再次浮出水面,Android恶意软件本季度再次占据攻击趋势C位。
判断攻击趋势
只要勒索软件仍能盈利,更多的攻击者很可能会使用勒索软件勒索模型。
教育机构仍然是勒索软件运营商的主要目标。研究人员认为,新冠肺炎疫情造成的破坏使大学和学区网络成为攻击者攻击的关键目标。
NetWalker攻击报告增加,Sodinokibi攻击报告减少。Sodinokibi攻击的目标可能只是更频繁地支付赎金。研究人员怀疑地下论坛的活动Sodinokibi运营商继续扩大他们的活动。
尽管研究人员预计Emotet运营商将继续暂停其活动,但Emotet很有可能在今年年底和2021年继续对各行业的组织构成重大攻击和影响。
2020年第三季度,攻击者增加了加密货币挖掘恶意软件的功能,如窃取证书或访问。假设这种趋势继续下去,它很可能导致比较“传统的”恶意加密货币挖掘软件对组织系统造成更严重的损害。
基于Android在恶意软件中广泛使用操作系统设备和动态工具集,攻击者很可能在2020年第四季度继续使用Android恶意软件攻击用户。除了一般Android除了恶意软件,因为Cerberus 银行木马源代码发布,银行和金融机构也可能发现欺诈企图激增。
勒索软件
2020年第三季度,目标行业的变化和勒索软件勒索网站的活动在勒索软件运营中普遍存在,因为至少有五家勒索软件系列运营商建立了自己的新勒索网站,教育部门的多个组织成为目标Sodinokibi(也称为REvil)而且活动减少Netwalker(也称为Mailto)活动增加。
勒索软件运营商可能会继续勒索教育机构,这些机构不仅有支付赎金的经济资源,而且感到支付赎金的紧迫性,以避免在学年期间受到干扰。由于新冠肺炎疫情的普及,这种紧迫感尤为突出,因为很多学校都在线教学,所以严重依赖数字资源和通信。此外,虽然一些教育机构确实有很多预算,但他们往往没有在网络安全控制或员工方面拨出足够的资金,这使得他们更容易成为目标。
受勒索软件攻击影响的教育机构包括纽约州立大学伊利社区学院、犹他大学和拉斯维加斯克拉克县学区。犹他大学透露,他们支付了457059美元的赎金,以避免发布敏感数据。
虽然大学没有解释哪些勒索软件运营商发动了攻击,但研究人员怀疑这是NetWalker2020年第二季度,勒索软件的子公司针对多所大学。CCSD的情况下,迷宫勒索软件运营商窃取敏感数据和-CCSD拒绝支付赎金后发布的数据包括社会安全号码、物理地址和退休文件,以及学生姓名、年级、出生日期、物理地址、奖学金和出勤率。
NetWalker活动增加,Sodinokibi活动减少
NetWalker2020年9月,活动激增NetWalker的勒索网站NetWalker 博客上列出的受害者包括网络安全公司Cygilant、巴基斯坦电力供应巨头阿根廷官方移民机构K-Electric和安大略护士学院的赎金要求至少为数百万美元。数据中心巨头Equinix也说受到了NetWalker的影响,不过目前还没有证据表明其数据在NetWalker博客被泄露了。虽然这可能是因为Equinix支付了NetWalker没有证据证明运营商要求450万美元赎金。
Sodinokibi2020年第三季度,该活动有所下降。然而,报告中的趋势并不一定意味着真实情况。事实上,更多的受害者可能只支付赎金,以防止数据泄露。此外,2020年9月28日,Sodinokibi小组成员UNKN在XSS论坛宣布,该小组正在寻找新成员加入其运营,这表明该小组正在寻找新成员加入其运营Sodinokibi大规模活动即将增加。
勒索网站的新攻击趋势
2020年7月至9月,Recorded Future新发现的勒索勒索网站数量分布
研究人员的第二份恶意软件趋势报告指出,由于组织在缓解威胁和出售被盗数据可能带来的额外收入流方面的困难,更多的勒索软件运营商可能会采用勒索模式。事实证明,这在2020年第三季度是正确的,只要勒索软件仍能盈利,就会有更多的勒索软件运营商采用勒索模式。
例如,SunCrypt多个受害者(该勒索软件联盟计划于2019年10月首次出现,攻击者“SunCrypt”运行)自2020年8月启动以来,其数据一直存在SunCrypt勒索网站SunCrypt News特别是北卡罗莱纳的海伍德县学校和新泽西大学医院。医院。虽然观察到在他们的攻击活动中使用IP地址91.218.114[.]31的SunCrypt和Maze勒索软件(SunCrypt最近声称已经加入Maze的“cartel”),但Maze运营商否认SunCrypt基础设施重叠的原因仍不清楚。
虽然SunCrypt勒索软件已经出现在攻击领域近一年了,随着SunCrypt News的推出,其TTP也在不断发展,但2020年第三季度发现的其他三个勒索软件勒索网站,都是最近才发现的勒索软件家族。2020年8月,一个叫做DarkSide新的勒索软件行动信息浮出水面。该行动针对世界各地的各种组织,并在其勒索网站上发布受害者姓名和被盗数据样本(也称为DarkSide)上面。攻击最初是在2020年8月10日发现的。根据目标组织的不同,攻击者的赎金要求从20万美元到200万美元不等。
虽然DarkSide开发者背后的名字还不清楚,但是DarkSide和Sodinokibi勒索软件系列之间有一些相似之处,即它们的赎金记录模板和两个家庭用来删除受害者电脑上的副本PowerShell命令。 DarkSide也使用类似的Sodinokibi和GandCrab检查代码CIS尽管是独立国家联合体。DarkSide运营商表示,他们曾经是其他勒索软件业务的分支机构,但这些勒索软件业务已经赚了数百万美元,但与Sodinokibi和GandCrab相似之处不足以证明DarkSide与这些业务有关。他们还表示,他们只针对教育、政府和医疗组织等有能力支付指定赎金需求的行业。
20206月8日,有报道称,6月8日,Avaddon勒索软件恶意垃圾邮件活动针对全球用户。该报告在一个名字中“Avaddon”攻击者利用和利用漏洞XSS论坛上发布Avaddon不到一周后发布勒索软件附属程序。Avaddon在他们的勒索网站上,以金融信息、数据库和信用卡信息为目标Avaddon Info发布被盗数据样本,受害者有48小时联系运营商,否则他们的数据将被公布。
2020今年第三季度,全球目标组织还包括勒索软件家族Egregor相关运营商,Egregor攻击于2020年9月下旬首次被发现,影响了总部位于法国的全球物流公司等10多家公司GEFCO。Egregor受害者的信息将在Egregor News上部发布,并要求在三天内支付赎金,否则部分或全部数据将继续泄露。Egregor有效载荷还需要一个解密钥传输到命令行在受害计算机上正常运行,这意味着除非攻击者使用与操作勒索软件相同的命令行,否则无法手动或通过沙箱分析文件。
最后,在2020年9月下旬,针对企业网络的攻击报告出现了,攻击者使用了一MountLocker新型勒索软件。据报道,MountLocker运营商要求支付200万美元的赎金,并威胁说,如果他们不支付赎金,他们将在其勒索网站上“MountLocker News & Leaks”发布被盗数据。此外,攻击者还威胁说,如果他们不支付赎金,他们将通知竞争对手、媒体、电视频道和报纸,称他们受到了攻击。
PC端恶意软件
2020年第三季度,桌面恶意软件的发展和传播受到两大趋势的影响:Emotet恶意软件的兴起以及恶意软件中其他恶意功能的发展。
Emotet恶意软件卷土重来
Emotet至少自2014年以来,它一直在全球范围内肆虐,但经过多次迭代,特别是在过去两年中,活动周期逐渐减少。Emotet2020年3月中旬至2020年7月17日暂停垃圾邮件活动,当时研究人员观察到了一个目标Emotet全球用户的新垃圾邮件活动。至少在过去的两年里,Emotet运营商似乎没有迭代。2019年,研究人员观察到第二季度Emotet攻击力度下降,第三季度复苏。
虽然Emotet不是新的恶意软件变体,但是Emotet卷土重来影响了全球攻击模式,包括魁北克司法部、法国公司和行政机构。此外,研究人员还观察到,其运营商利用重大事件(如新冠肺炎疫情和美国大选)作为网络钓鱼诱饵。
Emotet的TTP的主要变化包括:
- 用QakBot作为最终载荷替换TrickBot;
- Emotet下载量翻了一番,与Emotet包装程序的变更是相关的,这使得包装程序的变更Emotet杀毒软件中包装加载程序检测率低;
- 操作员使用新的Word文档模板;
- 操作员使用包括恶意宏在内的密码保护文档绕过检测。
尽管预计Emotet但研究人员认为,运营商将继续采取重大暂停措施Emotet很可能在年底和2021年之前继续成为主要威胁,影响各行各业的组织。
整个2020年第三季度Emotet活动
网络安全和基础设施安全局(CISA)与多州信息共享分析中心(MS-ISAC)警报发布,重点介绍Emotet2020年第三季度最新活动。在警报中,MS-ISAC和CISA共享了Snort为检测和使用签名Emotet相关网络活动。CISA和MS-ISAC他们建议安全团队遵循这些最佳实践来缓解许多最佳实践Emotet攻击。
下一章我将分析恶意攻击中的加密货币挖掘恶意软件和新的攻击趋势。
本文翻译自:https://www.recordedfuture.com/q3-malware-trends/