網(wǎng)絡(luò)安全解決方案提供商 CheckPoint軟件技術(shù)有限公司(納斯達(dá)克股票代碼：CHKP)今天發(fā)布了《網(wǎng)絡(luò)攻擊趨勢：2020 年上半年報告》，報告揭露了出于犯罪、政治和國家動機(jī)的攻擊者如何利用新冠肺炎疫情及其相關(guān)主題發(fā)起針對所有部門組織(包括政府、工業(yè)、醫(yī)療、服務(wù)提供商、關(guān)鍵基礎(chǔ)設(shè)施和消費者)的攻擊。

[[335131]]

與新冠肺炎疫情相關(guān)的網(wǎng)絡(luò)釣魚和惡意軟件攻擊急劇增加，從 2 月份的每周不足 5,000 次激增至 4 月下旬的每周超過 20 萬次。此外，在 5 月和 6 月，隨著各國開始解除防疫封禁措施，攻擊者隨之加大了與新冠肺炎疫情相關(guān)的攻擊。與 3 月和 4 月相比，6 月底全球所有類型的網(wǎng)絡(luò)攻擊增加了 34%。

報告中揭示的主要趨勢包括：

• 網(wǎng)絡(luò)戰(zhàn)升級：隨著世界各國試圖收集有關(guān)疫情的情報或破壞競爭對手對的疫情防控工作，今年上半年，國家級網(wǎng)絡(luò)攻擊的強(qiáng)度和嚴(yán)重程度均出現(xiàn)飆升。這種攻擊擴(kuò)展到了醫(yī)療和人道主義組織，例如世界衛(wèi)生組織，該組織報告稱攻擊數(shù)量增加了 500%。
• 雙重勒索攻擊：2020 年，一種新型勒索軟件攻擊被廣泛使用，攻擊者在竊取大量數(shù)據(jù)之后會對其進(jìn)行加密。如果受害者拒絕支付贖金，則會遭到數(shù)據(jù)泄露威脅，從而被迫滿足網(wǎng)絡(luò)犯罪分子的要求。
• 移動攻擊：攻擊者一直在尋找新的移動感染媒介，改進(jìn)其技術(shù)以繞過安全防護(hù)措施并將惡意應(yīng)用植入官方應(yīng)用商店中。在另一種創(chuàng)新攻擊中，攻擊者利用大型國際公司的移動設(shè)備管理 (MDM) 系統(tǒng)來將惡意軟件分發(fā)到其托管的 75% 的移動設(shè)備中。
• 云暴露：疫情期間向公有云的快速遷移導(dǎo)致針對敏感云工作負(fù)載和數(shù)據(jù)的攻擊有所增加。 攻擊者也在利用云基礎(chǔ)設(shè)施來存儲其惡意軟件攻擊中使用的惡意有效載荷。 今年 1 月，Check Point 研究人員在 Microsoft Azure 中發(fā)現(xiàn)了業(yè)界首個嚴(yán)重漏洞，該漏洞允許黑客破壞其他 Azure 租戶的數(shù)據(jù)和應(yīng)用，這表明公有云并非天生安全。

Check Point 產(chǎn)品威脅情報與研究總監(jiān) Maya Horowitz 表示：“今年上半年，在全球奮力抗擊新冠肺炎疫情之際，攻擊者慣常的攻擊模式發(fā)生改變并加速發(fā)展，利用人們對疫情的恐懼心理來為其攻擊活動提供掩護(hù)。我們還發(fā)現(xiàn)新型重大漏洞和攻擊向量，嚴(yán)重威脅著各個部門的組織安全。安全專家需要了解這些快速發(fā)展的威脅，以確保其組織在 2020 下半年能夠得到最高保護(hù)。”

2020 年上半年最常見的惡意軟件變體

1. 2020 年上半年的主要惡意軟件

Emotet(影響全球 9% 的組織) – Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 最初是一種銀行木馬，但最近被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規(guī)避技術(shù)來確保持久性和逃避檢測。 此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

XMRig (8%) - XMRig 是一種用于挖掘門羅幣加密貨幣的開源 CPU 挖礦軟件。攻擊者經(jīng)常濫用此開源軟件，并將其集成到惡意軟件中，從而在受害者的設(shè)備上進(jìn)行非法挖礦。

AgentTesla (7%) - AgentTesla 是一種高級遠(yuǎn)程訪問木馬 (RAT)，常被用作鍵盤記錄器和密碼竊取器，自 2014 年以來一直活躍至今。AgentTesla 能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板，并能夠記錄截圖和竊取受害者設(shè)備上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。AgentTesla 在各種在線市場和黑客論壇上均有出售。

2. 2020 年上半年的主要加密貨幣挖礦軟件

XMRig(全球 46% 的加密貨幣挖礦活動均與其有關(guān)) - XMRig 是一種開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖掘，于 2017 年 5 月首次出現(xiàn)。攻擊者經(jīng)常濫用此開源軟件，并將其集成到惡意軟件中，從而在受害者的設(shè)備上進(jìn)行非法挖礦。

Jsecoin (28%) - Jsecoin 是一種基于 Web 的加密貨幣挖礦軟件，可在用戶訪問特定網(wǎng)頁時執(zhí)行門羅幣加密貨幣在線挖掘操作。植入的 JavaScript 會利用最終用戶設(shè)備上的大量計算資源來挖礦，從而影響系統(tǒng)的性能。JSEcoin 已于 2020 年 4 月停止活動。

Wannamine (6%) - WannaMine 是一種利用“永恒之藍(lán)”漏洞進(jìn)行傳播的復(fù)雜的門羅幣加密挖礦蠕蟲。WannaMine 通過利用 Windows Management Instrumentation (WMI) 永久事件訂閱來實施傳播機(jī)制和持久性技術(shù)。

3. 2020 年上半年的主要移動惡意軟件

xHelper(24% 的移動惡意軟件攻擊與其有關(guān)) - xHelper 是一種 Android 惡意軟件，主要顯示侵入式彈出廣告和通知垃圾郵件。 由于其具有重新安裝功能，安裝之后將難清除。xHelper 于 2019 年 3 月首次發(fā)現(xiàn)，到目前為止已感染了超過 4.5 萬臺設(shè)備。

PreAMo (19%) - PreAMo 是一種針對 Android 設(shè)備的點擊器惡意軟件，于 2019 年 4 月首次發(fā)現(xiàn)。 PreAMo 通過模仿用戶并在用戶不知情的情況下點擊廣告來產(chǎn)生收入。該惡意軟件是在 Google Play 上發(fā)現(xiàn)的，在六個不同的移動應(yīng)用中被下載超過 9,000 萬次。

Necro (14%) - Necro 是一種 Android 木馬植入程序，它可下載其他惡意軟件、顯示侵入性廣告，并通過收取付費訂閱費用騙取錢財。

4. 2020 年上半年的主要銀行惡意軟件

Dridex(27% 的銀行惡意軟件攻擊與其有關(guān)) - Dridex 是一種針對 Windows PC 的銀行木馬。它由垃圾郵件活動和漏洞利用工具包傳播，并依靠 WebInjects 攔截銀行憑證并將其重定向到攻擊者控制的服務(wù)器。Dridex 不僅能夠聯(lián)系遠(yuǎn)程服務(wù)器，發(fā)送有關(guān)受感染系統(tǒng)的信息，而且還可以下載并執(zhí)行其他模塊以進(jìn)行遠(yuǎn)程控制。

Trickbot (20%) - Trickbot 是一種針對 Windows 平臺的模塊化銀行木馬，主要通過垃圾郵件活動或其他惡意軟件家族(例如 Emotet)傳播。

Ramnit (15%) - Ramnit 是一種模塊化銀行木馬，于 2010 年首次發(fā)現(xiàn)。Ramnit 可竊取 Web 會話信息，支持攻擊者竊取受害者使用的所有服務(wù)的帳戶憑證，包括銀行帳戶以及企業(yè)和社交網(wǎng)絡(luò)帳戶。