2024 年 6 月頭號惡意軟件：RansomHub 躍居榜首

Check Point 的威脅指數(shù)報告揭示了勒索軟件即服務(wù) (RaaS) 領(lǐng)域發(fā)生的變化，其中 RansomHub 躍居榜首，取代 LockBit3 成為了最猖獗的勒索軟件團(tuán)伙。

2024 年 7 月,領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 6 月《全球威脅指數(shù)》報告。上月，研究人員注意到勒索軟件即服務(wù) (RaaS) 領(lǐng)域發(fā)生了變化：后來者 RansomHub 取代 LockBit3 成為了最猖獗的勒索軟件團(tuán)伙。與此同時，研究人員還發(fā)現(xiàn)了一個名為

BadSpace 的 Windows 后門，它利用受感染的 WordPress 網(wǎng)站通過虛擬瀏覽器更新進(jìn)行傳播。

此外，研究人員還著重提及了最近發(fā)生的一起 FakeUpdates 攻擊活動（又稱 SocGholish）。FakeUpdates 是近期最猖獗的惡意軟件之一，現(xiàn)在提供了一個名為 BadSpace 的新后門。第三方聯(lián)盟網(wǎng)絡(luò)為 FakeUpdates 的傳播提供了便利，該網(wǎng)絡(luò)將受感染網(wǎng)站的流量重定向到 FakeUpdates 登陸頁面。然后，這些頁面會提示用戶下載看似瀏覽器更新的程序。但是，該程序?qū)嶋H上包含一個基于 JScript 的加載器，隨后會下載并執(zhí)行 BadSpace 后門。BadSpace 采用復(fù)雜的混淆和反沙盒技術(shù)來逃避檢測，并通過計劃任務(wù)確保持久性。它的命令和控制通信經(jīng)過加密，因此很難截獲。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“針對 LockBit3 采取的執(zhí)法行動似乎取得了預(yù)期成效。不過，同以往一樣，該勒索軟件肆虐程度下降之后，其他犯罪團(tuán)伙立刻補(bǔ)上，繼續(xù)針對全球企業(yè)與機(jī)構(gòu)發(fā)起勒索軟件攻擊活動?！?/p>

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件，全球 7% 的機(jī)構(gòu)受到波及，其次是 Androxgh0st 和 AgentTesla，分別影響了全球 6% 和 3% 的機(jī)構(gòu)。

 FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

 Androxgh0st – Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

↑ AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

最常被利用的漏洞 

↑ Check Point VPN 信息泄露 (CVE-2024-24919) – 該信息泄露漏洞存在于 Check Point VPN 中，可能允許攻擊者在啟用遠(yuǎn)程訪問 VPN 或移動訪問的聯(lián)網(wǎng)網(wǎng)關(guān)上讀取某些信息。

 Web 服務(wù)器惡意 URL 目錄遍歷漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）– 不同 Web 服務(wù)器上都存在目錄遍歷漏洞。這一漏洞是由于 Web 服務(wù)器中的輸入驗證錯誤所致，沒有為目錄遍歷模式正確清理 URI。未經(jīng)身份驗證的遠(yuǎn)程攻擊者可利用漏洞泄露或訪問易受攻擊的服務(wù)器上的任意文件。

↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375） – HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請求的其他信息。遠(yuǎn)程攻擊者可能會使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運行任意代碼。

主要移動惡意軟件

上月，Joker 位居最猖獗的移動惡意軟件榜首，其次是 Anubis 和 AhMyth。

↑ Joker – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費服務(wù)。

↓ Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

↓ AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)，可通過應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

主要勒索軟件團(tuán)伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。上月，RansomHub 是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的 21%，其次是 Play 和 Akira，分別占 8% 和 5%。

RansomHub – RansomHub 以勒索軟件即服務(wù) (RaaS) 模式運行，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動，以及采用的復(fù)雜加密方法而臭名昭著。

Play – Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，到 2023 年 10 月影響了大約 300 家實體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網(wǎng)絡(luò)。得逞后，它會采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

Akira – Akira 勒索軟件于 2023 年初首次發(fā)現(xiàn)，主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進(jìn)行對稱加密，

類似于曝光的 Conti v2 勒索軟件。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會加密數(shù)據(jù)，并在文件名后添加“.akira”擴(kuò)展名，然后留下勒索信，要求支付解密費用。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司（www.checkpoint.com.cn）是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團(tuán)隊負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個計算機(jī)安全應(yīng)急響應(yīng)組展開合作。