[[442513]]

今年，又是新冠病毒和惡意軟件持續(xù)猖獗的一年。無論是在現(xiàn)實(shí)世界還是在虛擬網(wǎng)絡(luò)，世界各地的人們?nèi)栽谂c病毒(現(xiàn)實(shí)的新冠病毒和網(wǎng)絡(luò)上的病毒程序)斗爭(zhēng)。不過，今年的網(wǎng)絡(luò)世界還是呈現(xiàn)出了一些可怕的新變化：攻擊關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈已成為一種新趨勢(shì)。

今年，我們看到一些久負(fù)“盛”名的玩家紛紛退場(chǎng)，一些去了海灘度假，一些進(jìn)了監(jiān)獄。不過，無論如何，2021年仍然是網(wǎng)絡(luò)威脅(尤其是勒索軟件)主導(dǎo)新聞?lì)^條的一年。

勒索軟件攻擊已從一種趨勢(shì)演變?yōu)橐环N新常態(tài)。每個(gè)主要的勒索軟件活動(dòng)都在使用“雙重勒索”策略，這對(duì)小企業(yè)來說無疑是一種可怕的現(xiàn)象。在“雙重勒索”中，威脅行為者不僅會(huì)竊取和鎖定文件，而且如果沒有達(dá)成贖金協(xié)議，他們還會(huì)以最具破壞性的方式泄露受害者數(shù)據(jù)。不過，好消息是，去年平均贖金的峰值為200000 美元，而如今的平均水平已經(jīng)略低于150000美元。

壞消息是，攻擊者正在擴(kuò)大目標(biāo)群并瞄準(zhǔn)各種規(guī)模的企業(yè)。事實(shí)上，大多數(shù)受害者都是小企業(yè)，他們最終都支付了約50000美元的贖金。而且，勒索軟件攻擊者的策略正日益完善，不斷招募人才并提供簡(jiǎn)化的用戶體驗(yàn)。更重要的是，除了勒索軟件攻擊外，供應(yīng)鏈攻擊也正成為一個(gè)棘手的問題。

網(wǎng)絡(luò)釣魚仍然是這些活動(dòng)的關(guān)鍵，它通常是惡意軟件危害企業(yè)的第一步。這也凸顯了用戶教育的重要性。企業(yè)只需要培訓(xùn)用戶不要點(diǎn)擊這些網(wǎng)絡(luò)釣魚誘餌或啟用附件中的宏——這些方法已被證明可以阻止這些惡意軟件的活動(dòng)。

下面就為大家盤點(diǎn)2021年最惡劣的惡意軟件(排名不分先后)：

1. LemonDuck

LemonDuck作為一個(gè)著名的僵尸網(wǎng)絡(luò)和加密貨幣挖掘有效負(fù)載，僅僅存在了幾年。它是最惱人的有效載荷之一，因?yàn)樗鼘⑹褂脦缀跛械母腥久浇?，例如以新冠病毒為主題的電子郵件、漏洞利用、無文件powershell模塊和暴力破解。在2021年，LemonDuck再次變得越來越流行，甚至添加了一些新功能，例如竊取憑證、刪除安全協(xié)議等。

更糟糕的是，LemonDuck會(huì)同時(shí)攻擊Linux系統(tǒng)和Windows，這一點(diǎn)既便利又罕見。而且，它還會(huì)利用受害者只專注于修補(bǔ)最近和流行漏洞的心態(tài)，通過舊的漏洞進(jìn)行攻擊。

一個(gè)有趣的怪癖是，LemonDuck還會(huì)“黑吃黑”，通過消除相互競(jìng)爭(zhēng)的惡意軟件感染，將其他黑客從受害者的設(shè)備中移除。LemonDuck希望成為最大、最惡劣的惡意軟件，他們甚至通過修補(bǔ)用于訪問的漏洞來防止新的感染。它還會(huì)挖掘門羅幣(XMR)，以實(shí)現(xiàn)最大利潤(rùn)。這些利潤(rùn)是即時(shí)的，甚至可以說是“多勞多得”的。攻擊沒有贖金要求，因此受害者不會(huì)了解這種攻擊/破壞。

2. REvil

即便是不了解信息安全的人，想必也都聽說過發(fā)生在七月份的Kaseya供應(yīng)鏈攻擊事件，致使其他企業(yè)中招，其中包括全球肉類供應(yīng)商JBS。

你可能在2018年聽說過名為Gandcrab的勒索軟件，或在2019年聽說過Sodinokibi。沒錯(cuò)，他們都是同一個(gè)團(tuán)體，今年他們的身份是REvil。他們提供勒索軟件即服務(wù)(RaaS)，這意味著他們制作加密有效載荷，并為暗網(wǎng)上的勒索泄露網(wǎng)站提供便利。附屬公司將使用勒索軟件有效載荷進(jìn)行攻擊，并共享所有利潤(rùn)。

在Kaseya攻擊事件以及隨后白宮和普京的會(huì)晤后不久，REvil支付和泄露網(wǎng)站就下線了。根據(jù)相關(guān)信息所示，REvil服務(wù)器基礎(chǔ)設(shè)施遭到了政府的取締，迫使REvil完全刪除服務(wù)器基礎(chǔ)設(shè)施并消失。

與此列表中的許多惡意軟件一樣，REvil并沒有自此消失，而是于9月初在暗網(wǎng)上的泄露網(wǎng)站上重新上線。在稍作休整后，他們又重新啟動(dòng)了自己的基礎(chǔ)設(shè)施。

3. Trickbot

作為一種流行的銀行木馬，Trickbot已經(jīng)存在了10年，現(xiàn)在已經(jīng)發(fā)展為最廣為人知的僵尸網(wǎng)絡(luò)之一。Trickbot因其多功能性和彈性被大量網(wǎng)絡(luò)犯罪組織使用，也與許多勒索軟件組織存在關(guān)聯(lián)。

去年秋天晚些時(shí)候，美國(guó)國(guó)防部(DoD)、微軟和其他機(jī)構(gòu)對(duì)該組織的僵尸網(wǎng)絡(luò)進(jìn)行了攻擊，幾乎將其摧毀。但就像任何優(yōu)秀的僵尸一樣，它在Emotet關(guān)閉后再次崛起，發(fā)展成頭號(hào)僵尸網(wǎng)絡(luò)。

Trickbot感染幾乎總是會(huì)導(dǎo)致勒索軟件攻擊。一旦進(jìn)入設(shè)備，它就會(huì)在網(wǎng)絡(luò)中橫向移動(dòng)，利用漏洞傳播和收集盡可能多的憑據(jù)。有時(shí)，收集所有域憑據(jù)需要幾周或幾個(gè)月的時(shí)間。一旦他們完全控制了環(huán)境，就能確保勒索軟件發(fā)揮最大威力，即便是采取緩解措施也無濟(jì)于事。

4. Dridex

作為另一個(gè)流行多年的銀行木馬和信息竊取程序，Dridex與Bitpaymer/Doupelpaymer/Grief等勒索軟件緊密相關(guān)。Dridex一直在Emotet的機(jī)器上運(yùn)行，Emotet關(guān)閉后，它便開始運(yùn)行自己的惡意垃圾郵件活動(dòng)。

一旦進(jìn)入設(shè)備，它也會(huì)通過網(wǎng)絡(luò)橫向移動(dòng)，在每臺(tái)機(jī)器上放置Dridex加載程序。就像Trickbot一樣，Dridex也會(huì)花大量時(shí)間收集憑證，直至獲得完全控制權(quán)，從而對(duì)目標(biāo)網(wǎng)絡(luò)造成最大程度的破壞，同時(shí)防止緩解策略生效。

5. Conti

這個(gè)勒索軟件組織對(duì)人們來說并不陌生，它曾是Ryuk(使用Emotet和Trickbot)背后的勒索軟件運(yùn)營(yíng)商。事實(shí)上，他們?cè)幻绹?guó)聯(lián)邦調(diào)查局評(píng)為“2019年最成功的勒索軟件組織”。雖然Conti通過RDP部署，但它通常不會(huì)對(duì)不安全的RDP進(jìn)行暴力破解。大多數(shù)情況下，憑據(jù)是從Trickbot或Qakbot等竊取信息的木馬程序中獲取。

這些勒索軟件開發(fā)者還運(yùn)營(yíng)著一個(gè)泄露網(wǎng)站，以進(jìn)一步恐嚇受害者支付贖金。Conti在2021年登上了許多頭條新聞，并入侵了許多大型組織，且至今仍在活躍。此外，研究人員還注意到，LockFile勒索軟件將Conti團(tuán)伙的電子郵件地址列為付款聯(lián)系人，這一線索將這兩個(gè)群體聯(lián)系在了一起。

6. Cobalt Strike

Cobalt Strike是白帽公司設(shè)計(jì)的滲透測(cè)試工具，其目的是幫助紅隊(duì)模擬攻擊，以便黑客可以滲透到環(huán)境中，確定它的安全漏洞并做出適當(dāng)?shù)母摹＿@個(gè)工具有幾個(gè)非常強(qiáng)大和有用的功能，如進(jìn)程注入、權(quán)限提升、憑證和散列獲取、網(wǎng)絡(luò)枚舉、橫向移動(dòng)等。

所有這些對(duì)黑客來說都極具吸引力，所以我們經(jīng)?？吹胶诳褪褂肅obalt Strike也就不足為奇了。在“最惡劣的惡意軟件”榜單中列出一個(gè)白帽子工具，可以說是絕無僅有的，但是這個(gè)工具很容易用于可擴(kuò)展的自定義攻擊。也難怪如此多的攻擊者將其作為武器庫(kù)中的工具之一。

7. Hello Kitty

HelloKitty勒索軟件運(yùn)營(yíng)商自2020年11月以來一直處于活躍狀態(tài)，今年7月以來，他們開始使用其惡意軟件的Linux變體以VMware ESXi虛擬機(jī)平臺(tái)為目標(biāo)實(shí)施攻擊。

而它最出名的事跡還要數(shù)破壞CD Projekt RED并竊取其游戲源代碼，包括著名的《CyberPunk 2077》和《Witcher 3》等。

8. DarkSide

Colonial Pipeline攻擊是2021年最引人注目的攻擊事件，導(dǎo)致了天然氣短缺和恐慌性購(gòu)買情緒。不過，此事也提醒我們，勒索軟件攻擊的破壞性有多大，就像當(dāng)年的Wannacry。

該勒索軟件即服務(wù)(RaaS)組織聲稱，他們無意攻擊基礎(chǔ)設(shè)施，并將攻擊行為推給其附屬機(jī)構(gòu)。但就在襲擊發(fā)生幾周后，又出現(xiàn)了一種名為“Black Matter”的類似 RaaS組織，并聲稱將攻擊除醫(yī)療和國(guó)家機(jī)構(gòu)以外的所有環(huán)境。同時(shí)，他們還聲稱與DarkSide不是同一個(gè)人。但老實(shí)說，誰(shuí)相信呢?