本報告是Recorded Future網(wǎng)絡(luò)安全公司發(fā)布的報告，報告根據(jù)的是第三季度所涉及到的主流網(wǎng)絡(luò)安全新聞、安全供應(yīng)商報告、關(guān)于惡意軟件、安全漏洞以及2020年7月1日至9月30日的暗網(wǎng)和地下論壇，綜合這些信息就是為了更準確地研究影響桌面系統(tǒng)和移動設(shè)備的惡意軟件的主要趨勢。

[[376630]]

在2020年第三季度，Recorded Future觀察到主要勒索軟件運營商在策略、技術(shù)和程序(TTP)上的擴張，包括針對教育機構(gòu)和使用勒索策略的新勒索軟件運營商的持續(xù)增長。在2020年7月到10月之間，研究人員發(fā)現(xiàn)了5個新的勒索軟件勒索網(wǎng)站。此外，研究人員發(fā)現(xiàn)，本季度NetWalker的攻擊活動大幅上升，而Sodinokibi活動下降。

桌面惡意軟件攻擊的主要趨勢包括大量的Emotet惡意軟件的復(fù)活和加密貨幣挖掘惡意軟件的技術(shù)迭代。Emotet在整個第二季度都沒有出現(xiàn)過，但在7月份重新浮出水面，攻擊目標包括美國州和地方政府在內(nèi)的組織。加密貨幣挖掘惡意軟件的開發(fā)者正在為進一步的攻擊添加額外的功能，而不僅僅是挖掘加密貨幣。

最后，隨著移動惡意軟件如SpyNote，Cerberus銀行木馬等重新浮出水面，Android惡意軟件在本季度再次占據(jù)了攻擊趨勢的C位。

攻擊趨勢判斷

只要勒索軟件仍然可以盈利，更多的攻擊者很可能會采用勒索軟件勒索模型。

教育機構(gòu)仍然是勒索軟件運營商的首要目標，研究人員認為新冠疫情大流行造成的破壞使大學(xué)和學(xué)區(qū)網(wǎng)絡(luò)成為了攻擊者攻擊的重點目標。

NetWalker攻擊的報告增加，Sodinokibi攻擊的報告減少。然而，Sodinokibi攻擊的目標可能只是更頻繁地支付贖金。根據(jù)地下論壇的活動，研究人員懷疑Sodinokibi的運營商正在繼續(xù)擴大他們的活動。

雖然研究人員預(yù)計Emotet的運營商將繼續(xù)暫停其活動，但Emotet很有可能在今年年底和2021年繼續(xù)對各個行業(yè)的組織構(gòu)成重大攻擊和影響。

在2020年第三季度，攻擊者增加了加密貨幣挖掘惡意軟件的功能，如竊取證書或訪問能力。假設(shè)這一趨勢繼續(xù)下去，它很可能會導(dǎo)致比“傳統(tǒng)的”加密貨幣挖掘惡意軟件對組織系統(tǒng)造成更嚴重的破壞。

基于Android操作系統(tǒng)設(shè)備的廣泛使用以及惡意軟件中分布的動態(tài)工具集，攻擊者很有可能在2020年第四季度繼續(xù)使用Android惡意軟件來攻擊用戶。除了一般的Android惡意軟件外，由于Cerberus 銀行木馬源代碼的發(fā)布，銀行和金融機構(gòu)還可能會發(fā)現(xiàn)欺詐企圖激增。

勒索軟件

目標行業(yè)的變化和勒索軟件勒索網(wǎng)站的活動在整個2020年第三季度都普遍存在于勒索軟件運營中，因為至少五個勒索軟件系列的運營商建立了他們自己的新勒索網(wǎng)站，教育部門的多個組織成為目標，而Sodinokibi(也稱為REvil)活動減少，而Netwalker(也稱為Mailto)活動增加。

勒索軟件運營商很可能會繼續(xù)勒索教育機構(gòu)，這些機構(gòu)不僅有支付贖金的財力，而且還感到支付贖金的緊迫性，以避免在學(xué)年期間受到干擾。由于新冠疫情的大流行，這種緊迫感尤其突出，因為許多學(xué)校正在進行線上教學(xué)，因此嚴重依賴數(shù)字資源和通信。此外，盡管一些教育機構(gòu)確實有大筆預(yù)算，但它們往往沒有在網(wǎng)絡(luò)安全控制或員工方面撥出足夠的資金，這使它們更容易成為目標。

受勒索軟件攻擊影響的教育機構(gòu)包括紐約州立大學(xué)伊利社區(qū)學(xué)院、猶他大學(xué)和拉斯維加斯克拉克縣學(xué)區(qū)。猶他大學(xué)透漏，他們支付了攻擊者要求的457059美元贖金，以避免他們的敏感數(shù)據(jù)被公布。

雖然該大學(xué)沒有說明是哪些勒索軟件運營商發(fā)動了這次攻擊，但研究人員懷疑它是NetWalker勒索軟件的附屬公司，后者在2020年第二季度針對了多所大學(xué)。在CCSD的情況下，迷宮勒索軟件運營商竊取敏感數(shù)據(jù)和-CCSD拒絕支付贖金后發(fā)表的數(shù)據(jù)，其中包括員工的社會安全號碼、物理地址和退休的文書工作以及學(xué)生姓名、年級、出生日期、物理地址、獎學(xué)金和出勤率等。

NetWalker活動增加，Sodinokibi活動減少

NetWalker的活動在2020年9月激增，在NetWalker的勒索網(wǎng)站NetWalker 博客上列出的受害者包括網(wǎng)絡(luò)安全公司Cygilant、阿根廷官方移民機構(gòu)、巴基斯坦電力供應(yīng)巨頭K-Electric和安大略護士學(xué)院，贖金要求至少是數(shù)百萬美元起。數(shù)據(jù)中心巨頭Equinix也表示受到了NetWalker的影響，不過目前還沒有證據(jù)表明其數(shù)據(jù)在NetWalker博客上被泄漏。雖然這可能是由于Equinix支付了NetWalker運營商要求的450萬美元贖金，但沒有證據(jù)證實這一點。

Sodinokibi的活動在2020年第三季度有所下降，然而，報告中的趨勢并不一定意味著真實的情況，事實上可能有更多的受害目標只是支付贖金從而讓他們的數(shù)據(jù)不被泄漏。此外，2020年9月28日，Sodinokibi小組成員UNKN在XSS論壇上宣布，該小組正在尋找新的會員加入其運營，這表明Sodinokibi的大規(guī)?；顒蛹磳⒃黾?。

勒索網(wǎng)站新的攻擊趨勢

2020年7月至9月， Recorded Future報告中新發(fā)現(xiàn)的勒索勒索網(wǎng)站數(shù)量分布

在研究人員的第二份惡意軟件趨勢報告中就指出，更多的勒索軟件運營商可能會采用勒索模式，這是由于組織在緩解威脅所面臨的困難以及出售被盜數(shù)據(jù)可能帶來的額外收入流方面受到激勵。事實證明，這在2020年第三季度是正確的，并且只要勒索軟件仍然能夠盈利，就會有更多的勒索軟件運營商采用勒索模型。

例如，SunCrypt的多個受害者(該勒索軟件聯(lián)盟計劃于2019年10月首次出現(xiàn)，由攻擊者“SunCrypt”運行)自2020年8月啟動以來，其數(shù)據(jù)已在SunCrypt勒索網(wǎng)站SunCrypt News上公開，特別是北卡羅萊納的海伍德縣學(xué)校和新澤西大學(xué)醫(yī)院。盡管在他們的攻擊活動中都觀察到了使用IP地址91.218.114[.]31的SunCrypt和Maze勒索軟件(SunCrypt最近聲稱它已加入Maze的“cartel”)，但Maze運營商否認與SunCrypt有任何隸屬關(guān)系，而基礎(chǔ)設(shè)施重疊的原因仍然不清楚。

雖然SunCrypt勒索軟件在攻擊領(lǐng)域已經(jīng)出現(xiàn)將近一年了，而且隨著SunCrypt News的推出，其TTP也在不斷發(fā)展，但在2020年第三季度發(fā)現(xiàn)的其他三個勒索軟件勒索網(wǎng)站，都是最近才發(fā)現(xiàn)的勒索軟件家族。2020年8月，一項名為DarkSide的新型勒索軟件行動的信息浮出水面。該行動針對世界各地的各種組織，并將受害者姓名和被盜數(shù)據(jù)樣本發(fā)布在他們的勒索網(wǎng)站(也稱為DarkSide)上。攻擊最初是在2020年8月10日發(fā)現(xiàn)的，根據(jù)目標組織的不同，攻擊者提出的贖金要求從20萬美元到200萬美元不等。

雖然DarkSide背后的開發(fā)者的名字尚不清楚，但DarkSide和Sodinokibi勒索軟件系列之間有一些相似之處，即它們的贖金記錄模板和兩個家族用來刪除受害者計算機上的卷影副本的PowerShell命令。 DarkSide還使用類似于Sodinokibi和GandCrab的代碼來檢查CIS(獨立國家聯(lián)合體)國家。盡管DarkSide運營商表示他們以前是其他勒索軟件業(yè)務(wù)的分支機構(gòu)，但這些勒索軟件業(yè)務(wù)曾賺了數(shù)百萬美元，但上述與Sodinokibi和GandCrab的相似之處不足以證明將DarkSide與這些業(yè)務(wù)聯(lián)系起來。他們還表示，他們僅針對有能力支付指定贖金需求的行業(yè)，例如教育、政府和醫(yī)療組織。

2020年6月8日，有報道稱Avaddon勒索軟件惡意垃圾郵件活動針對全球用戶。該報告是在一個名為“Avaddon”的攻擊者在漏洞利用和XSS論壇上發(fā)布Avaddon勒索軟件附屬程序不到一周后發(fā)布的。Avaddon以金融信息、數(shù)據(jù)庫和信用卡信息等數(shù)據(jù)為目標，在他們的勒索網(wǎng)站Avaddon Info上發(fā)布被竊數(shù)據(jù)樣本，受害者有48小時的時間聯(lián)系運營商，否則他們的數(shù)據(jù)就會被公布。

2020年第三季度，全球范圍內(nèi)的目標組織還包括與勒索軟件家族Egregor有關(guān)的運營商，Egregor攻擊于2020年9月下旬首次被發(fā)現(xiàn)，并影響了十多家公司，包括總部位于法國的全球物流公司GEFCO。Egregor會將受害者的信息在Egregor News上部分發(fā)布，并被要求在三天內(nèi)支付贖金，否則將繼續(xù)泄漏部分或全部數(shù)據(jù)。Egregor的有效載荷還需要一個解密密鑰被傳遞到命令行以在受害計算機上正常運行，這意味著無法手動或通過沙箱來分析文件，除非攻擊者使用與運行勒索軟件相同的命令行。

最終，在2020年9月下旬，出現(xiàn)了針對企業(yè)網(wǎng)絡(luò)的攻擊報告，攻擊者使用一種名為MountLocker的新型勒索軟件。據(jù)報道，MountLocker的運營商要求支付200萬美元的贖金，并威脅說如果不支付贖金，他們將在其勒索網(wǎng)站“MountLocker News & Leaks”上公布被盜數(shù)據(jù)。除此之外，攻擊者還威脅到如果不支付贖金，他們就會通知受害者的競爭對手、媒體、電視頻道和報紙，稱他們受到了攻擊。

PC端惡意軟件

在2020年第三季度，有兩個主要的趨勢影響著桌面惡意軟件的發(fā)展和傳播：Emotet惡意軟件的興起以及加密貨幣挖掘惡意軟件中其他惡意功能的發(fā)展。

Emotet惡意軟件卷土重來

Emotet至少自2014年以來就在全球范圍內(nèi)開始肆虐，但經(jīng)歷了許多次迭代，活動周期逐漸減少，尤其是在過去兩年中。Emotet垃圾郵件活動在2020年3月中旬至2020年7月17日之間暫停，當時研究人員觀察到了一個針對Emotet的針對全球用戶的新垃圾郵件活動。至少在最近兩年中，Emotet的運營商似乎沒有對其進行什么迭代。在2019年，研究人員觀察到第二季度Emotet的攻擊力度下降，然后在第三季度復(fù)蘇。

雖然Emotet不是一種新的惡意軟件變體，但Emotet的卷土重來已經(jīng)影響了全球的攻擊格局，包括魁北克的司法部和法國的公司和行政機構(gòu)都成了其攻擊目標。此外，研究人員還觀察到，其運營商利用重大事件(如新冠疫情大流行和美國大選)作為網(wǎng)絡(luò)釣魚誘餌。

Emotet的TTP的主要變化包括：

• 用QakBot作為最終載荷替換TrickBot;
• Emotet的下載量增加了一倍，這與Emotet的打包程序更改有關(guān)，這使得Emotet包加載程序在殺毒軟件中檢測率較低;
• 操作員使用新的Word文檔模板;
• 操作員使用受密碼保護的包含惡意宏的文檔來繞過檢測。

盡管預(yù)計Emotet的運營商將繼續(xù)采取重大暫停措施，但研究人員認為Emotet在年底和2021年之前很可能繼續(xù)成為主要威脅，并影響各行各業(yè)的組織。

整個2020年第三季度的Emotet活動

網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)和多州信息共享與分析中心(MS-ISAC)發(fā)布了一項警報，重點介紹了Emotet在整個2020年第三季度的最新活動。在警報中，MS-ISAC和CISA共享了Snort簽名，以用于檢測與Emotet相關(guān)的網(wǎng)絡(luò)活動。此外，CISA和MS-ISAC提供了許多最佳實踐，他們建議安全團隊遵循這些最佳實踐來緩解Emotet攻擊。

下一章我將對惡意攻擊中的加密貨幣挖掘惡意軟件和新出現(xiàn)的攻擊趨勢進行分析。

本文翻譯自：https://www.recordedfuture.com/q3-malware-trends/