與新冠肺炎疫情相關的網絡釣魚和惡意軟件攻擊急劇增加,從2月份的每周不足5,000次激增至4月下旬的每周超過20萬次。此外,在5月和6月,隨著各國開始解除防疫封禁措施,攻擊者隨之加大了與新冠肺炎疫情相關的攻擊。與3月和4月相比,6月底全球所有類型的網絡攻擊增加了34%。
報告中揭示的主要趨勢包括:
網絡戰升級:隨著世界各國試圖收集有關疫情的情報或破壞競爭對手對的疫情防控工作,今年上半年,國家級網絡攻擊的強度和嚴重程度均出現飆升。這種攻擊擴展到了醫療和人道主義組織,例如世界衛生組織,該組織報告稱攻擊數量增加了500%。
雙重勒索攻擊:2020年,一種新型勒索軟件攻擊被廣泛使用,攻擊者在竊取大量數據之后會對其進行加密。如果受害者拒絕支付贖金,則會遭到數據泄露威脅,從而被迫滿足網絡犯罪分子的要求。
移動攻擊:攻擊者一直在尋找新的移動感染媒介,改進其技術以繞過安全防護措施并將惡意應用植入官方應用商店中。在另一種創新攻擊中,攻擊者利用大型國際公司的移動設備管理(MDM)系統來將惡意軟件分發到其托管的75%的移動設備中。
云暴露:疫情期間向公有云的快速遷移導致針對敏感云工作負載和數據的攻擊有所增加。攻擊者也在利用云基礎設施來存儲其惡意軟件攻擊中使用的惡意有效載荷。今年1月,CheckPoint研究人員在MicrosoftAzure中發現了業界首個嚴重漏洞,該漏洞允許黑客破壞其他Azure租戶的數據和應用,這表明公有云并非天生安全。
CheckPoint產品威脅情報與研究總監MayaHorowitz表示:“今年上半年,在全球奮力抗擊新冠肺炎疫情之際,攻擊者慣常的攻擊模式發生改變并加速發展,利用人們對疫情的恐懼心理來為其攻擊活動提供掩護。我們還發現新型重大漏洞和攻擊向量,嚴重威脅著各個部門的組織安全。安全專家需要了解這些快速發展的威脅,以確保其組織在2020下半年能夠得到最高保護。”
2020年上半年最常見的惡意軟件變體
1.2020年上半年的主要惡意軟件
Emotet(影響全球9%的組織)–Emotet是一種能夠自我傳播的高級模塊化木馬。Emotet最初是一種銀行木馬,但最近被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術來確保持久性和逃避檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
XMRig(8%)-XMRig是一種用于挖掘門羅幣加密貨幣的開源CPU挖礦軟件。攻擊者經常濫用此開源軟件,并將其集成到惡意軟件中,從而在受害者的設備上進行非法挖礦。
AgentTesla(7%)-AgentTesla是一種高級遠程訪問木馬(RAT),常被用作鍵盤記錄器和密碼竊取器,自2014年以來一直活躍至今。AgentTesla能夠監控和收集受害者的鍵盤輸入與系統剪貼板,并能夠記錄截圖和竊取受害者設備上安裝的各種軟件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook電子郵件客戶端)的證書。AgentTesla在各種在線市場和黑客論壇上均有出售。
2.2020年上半年的主要加密貨幣挖礦軟件
XMRig(全球46%的加密貨幣挖礦活動均與其有關)-XMRig是一種開源CPU挖礦軟件,用于門羅幣加密貨幣的挖掘,于2017年5月首次出現。攻擊者經常濫用此開源軟件,并將其集成到惡意軟件中,從而在受害者的設備上進行非法挖礦。
Jsecoin(28%)-Jsecoin是一種基于Web的加密貨幣挖礦軟件,可在用戶訪問特定網頁時執行門羅幣加密貨幣在線挖掘操作。植入的JavaScript會利用最終用戶設備上的大量計算資源來挖礦,從而影響系統的性能。JSEcoin已于2020年4月停止活動。
Wannamine(6%)-WannaMine是一種利用“永恒之藍”漏洞進行傳播的復雜的門羅幣加密挖礦蠕蟲。WannaMine通過利用WindowsManagementInstrumentation(WMI)永久事件訂閱來實施傳播機制和持久性技術。
3.2020年上半年的主要移動惡意軟件
xHelper(24%的移動惡意軟件攻擊與其有關)-xHelper是一種Android惡意軟件,主要顯示侵入式彈出廣告和通知垃圾郵件。由于其具有重新安裝功能,安裝之后將難清除。xHelper于2019年3月首次發現,到目前為止已感染了超過4.5萬臺設備。
PreAMo(19%)-PreAMo是一種針對Android設備的點擊器惡意軟件,于2019年4月首次發現。PreAMo通過模仿用戶并在用戶不知情的情況下點擊廣告來產生收入。該惡意軟件是在GooglePlay上發現的,在六個不同的移動應用中被下載超過9,000萬次。
Necro(14%)-Necro是一種Android木馬植入程序,它可下載其他惡意軟件、顯示侵入性廣告,并通過收取付費訂閱費用騙取錢財。
4.2020年上半年的主要銀行惡意軟件
Dridex(27%的銀行惡意軟件攻擊與其有關)-Dridex是一種針對WindowsPC的銀行木馬。它由垃圾郵件活動和漏洞利用工具包傳播,并依靠WebInjects攔截銀行憑證并將其重定向到攻擊者控制的服務器。Dridex不僅能夠聯系遠程服務器,發送有關受感染系統的信息,而且還可以下載并執行其他模塊以進行遠程控制。
Trickbot(20%)-Trickbot是一種針對Windows平臺的模塊化銀行木馬,主要通過垃圾郵件活動或其他惡意軟件家族(例如Emotet)傳播。
Ramnit(15%)-Ramnit是一種模塊化銀行木馬,于2010年首次發現。Ramnit可竊取Web會話信息,支持攻擊者竊取受害者使用的所有服務的帳戶憑證,包括銀行帳戶以及企業和社交網絡帳戶。
