在虹科我們喜歡展望未來(lái)，著眼于未來(lái)。然而，過(guò)去也可以給我們一些寶貴的教訓(xùn)，特別是在網(wǎng)絡(luò)安全方面。2022年是該領(lǐng)域多事之秋，發(fā)生了許多備受矚目的攻擊，包括全面的網(wǎng)絡(luò)戰(zhàn)。

在過(guò)去一年我們看到的所有威脅中有幾個(gè)脫穎而出，這篇文章將涵蓋2022年最危險(xiǎn)的七種網(wǎng)絡(luò)威脅，順序不分先后。眾所周知，網(wǎng)絡(luò)攻擊團(tuán)隊(duì)和惡意軟件類(lèi)別在任何時(shí)候都會(huì)出現(xiàn)和消失，但其中大多數(shù)將繼續(xù)構(gòu)成威脅直到2023年。

LockBit勒索軟件(+泄露的構(gòu)建器)

LockBit入侵集在2022年非常活躍，在2019年以ABCD勒索軟件的形式出現(xiàn)后，LockBit已成為最復(fù)雜的勒索軟件家族之一，具有強(qiáng)大的惡意軟件功能和蓬勃發(fā)展的附屬計(jì)劃。

正是這個(gè)聯(lián)屬計(jì)劃使LockBit成為如此廣泛的威脅。使用勒索軟件即服務(wù)(RaaS)模型，LockBit允許有意愿的各方為自定義雇傭攻擊支付定金。勒索成功后，贖金將在LockBit開(kāi)發(fā)者和攻擊者之間分配。

橫向移動(dòng)在勒索軟件家族中很常見(jiàn)，包括LockBit。在第一臺(tái)主機(jī)被感染后，惡意軟件會(huì)自動(dòng)檢測(cè)其他可訪問(wèn)的主機(jī)，并在整個(gè)環(huán)境中傳播。

2022年6月，LockBit勒索軟件團(tuán)伙推出了他們的惡意軟件的最新變種，名為L(zhǎng)ockBit 3.0，該惡意軟件帶有一個(gè)漏洞賞金計(jì)劃，獎(jiǎng)勵(lì)從1000美元到100萬(wàn)美元不等。該團(tuán)伙歷來(lái)以醫(yī)療保健和教育部門(mén)的組織為目標(biāo)，隨著最新變體的發(fā)布，這種攻擊只會(huì)加速。僅在2022年6月，LockBit就聲稱(chēng)對(duì)50起攻擊負(fù)責(zé)。

Emotet

Emotet是一種銀行特洛伊木馬程序，最早出現(xiàn)在2014年。它主要是通過(guò)偽裝來(lái)自熟悉品牌的垃圾電子郵件傳播的。這些電子郵件通常包含“您的發(fā)票”或“付款詳情”等消息，以誘騙用戶點(diǎn)擊惡意鏈接。

Emotet具有類(lèi)似蠕蟲(chóng)的功能，這使得它可以在連接的計(jì)算機(jī)之間傳播。這使得它具有極強(qiáng)的破壞性，每次事故的損失超過(guò)100萬(wàn)美元。

此外，Emotet使用技術(shù)來(lái)防止檢測(cè)。值得注意的是，它可以檢測(cè)它是否在沙箱環(huán)境(虛擬機(jī))中運(yùn)行，并將保持非活動(dòng)狀態(tài)以避免檢測(cè)。

在互聯(lián)網(wǎng)絡(luò)中，Emotet通過(guò)暴力攻擊使用一系列常見(jiàn)密碼進(jìn)行傳播。這就是為什么使用強(qiáng)密碼保護(hù)您的環(huán)境是至關(guān)重要的。

Qakbot惡意軟件

Qakbot自2008年以來(lái)一直活躍，是一種不斷進(jìn)化的特洛伊木馬程序，旨在竊取密碼。它通過(guò)一個(gè)由電子郵件驅(qū)動(dòng)的僵尸網(wǎng)絡(luò)傳播，該網(wǎng)絡(luò)在活動(dòng)的電子郵件線程中插入回復(fù)。最近，威脅攻擊者開(kāi)始使用各種技術(shù)來(lái)避免被發(fā)現(xiàn)，例如：

Zip文件擴(kuò)展名；

常見(jiàn)文件格式的誘人文件名；

惡意的Excel宏；

Qakbot文件通常包含商業(yè)和金融文檔的典型關(guān)鍵字。這增加了感染的可能性，因?yàn)橛脩舾锌赡軐⑦@些項(xiàng)目視為日常業(yè)務(wù)文件或查看新數(shù)據(jù)的機(jī)會(huì)。組織必須對(duì)員工進(jìn)行培訓(xùn)，防止打開(kāi)來(lái)自未知或未經(jīng)驗(yàn)證的發(fā)件人的附件。此外，員工應(yīng)在輸入憑據(jù)之前驗(yàn)證URL。

Black Basta勒索軟件

作為一個(gè)相對(duì)較新的參與者，Black Basta不失時(shí)機(jī)地成為2022年最危險(xiǎn)的勒索軟件團(tuán)伙之一。它在4月份首次被發(fā)現(xiàn)，到9月份已經(jīng)影響了全球90個(gè)知名組織。這些組織大多設(shè)在美國(guó)，但也有相當(dāng)數(shù)量的組織設(shè)在德國(guó)。

短時(shí)間內(nèi)的高感染人數(shù)告訴我們，這次行動(dòng)組織嚴(yán)密，資金充足。Black Basta在選擇目標(biāo)時(shí)更加挑剔，并憑借先進(jìn)的雙重勒索策略在RAAS市場(chǎng)開(kāi)辟了一個(gè)利基市場(chǎng)。

Black Basta可能是臭名昭著的Conti勒索軟件團(tuán)伙的重新命名，該團(tuán)伙在2022年發(fā)動(dòng)了幾次毀滅性的攻擊，包括對(duì)哥斯達(dá)黎加政府的一次攻擊，造成了數(shù)百萬(wàn)人的損失。BlackBasta出現(xiàn)的時(shí)機(jī)與Conti關(guān)閉其業(yè)務(wù)的時(shí)間相關(guān)。勒索軟件最初的感染是通過(guò)Qakbot通過(guò)電子郵件或惡意Microsoft Office附件傳遞的。

大黃蜂惡意軟件BumbleBee

大黃蜂是一種高度復(fù)雜的惡意軟件，主要通過(guò)釣魚(yú)電子郵件傳播。它與幾個(gè)備受矚目的勒索軟件操作有關(guān)，包括Conti和Quantum。大黃蜂專(zhuān)門(mén)從事隱形，具有幾個(gè)規(guī)避功能，包括反虛擬化。

大黃蜂是2022年幾波勒索軟件攻擊的基石。攻擊者使用了不同的技術(shù)來(lái)分發(fā)惡意軟件。一種是包含ISO文件的釣魚(yú)電子郵件，一旦打開(kāi)附件，該文件就會(huì)執(zhí)行大黃蜂。

讓大黃蜂特別危險(xiǎn)的是它的不斷進(jìn)化，使它變得不可預(yù)測(cè)。惡意軟件根據(jù)所處環(huán)境的類(lèi)型使用不同的有效負(fù)載。例如，惡意軟件會(huì)在共享同一個(gè)Active Directory服務(wù)器的系統(tǒng)中丟棄一個(gè)復(fù)雜的攻擊后工具，如Cobalt Strike。相反，在屬于工作小組的系統(tǒng)上，大黃蜂通常會(huì)拋棄銀行和其他信息竊取者。

Raccoon Stealer v2

2022年3月，浣熊偷竊者的管理員宣布了該項(xiàng)目第一個(gè)版本的結(jié)束。兩個(gè)月后，也就是5月，Raccoon Stealer v2發(fā)行了，案例數(shù)量很多，并收集了超過(guò)5000萬(wàn)份憑據(jù)。

Raccoon Stealer每月花費(fèi)200美元，為網(wǎng)絡(luò)犯罪分子提供了一個(gè)從受害者電腦中獲取和竊取敏感數(shù)據(jù)的工具。分支機(jī)構(gòu)主要通過(guò)SEO優(yōu)化網(wǎng)站推廣免費(fèi)或破解軟件來(lái)傳播信息竊取者。

當(dāng)受害者點(diǎn)擊這些網(wǎng)站上的下載鏈接時(shí)，他們會(huì)被重定向到另一個(gè)網(wǎng)站，并指示下載受密碼保護(hù)的RAR文件。打開(kāi)下載的文件會(huì)導(dǎo)致受害者的設(shè)備執(zhí)行Raccoon Stealer v2。

Royal 勒索軟件

Royal勒索軟件被列為2022年最大的威脅之一，很大程度上是因?yàn)樗匀环浅；钴S。Royal勒索軟件于2022年1月出現(xiàn)，全年都在造成破壞，最近幾個(gè)月的活動(dòng)驚人地增加。更令人震驚的是，他們無(wú)情地針對(duì)醫(yī)療保健組織。

盡管Royal是一個(gè)相對(duì)較新的行動(dòng)，但根據(jù)他們的戰(zhàn)術(shù)和技術(shù)，背后的威脅參與者很可能非常有經(jīng)驗(yàn)。他們的贖金要求從25萬(wàn)美元到200萬(wàn)美元不等。這封勒索信的標(biāo)題是“Readme.txt”。

Royal惡意軟件是用C++編寫(xiě)的64位Windows可執(zhí)行文件。它是通過(guò)命令行啟動(dòng)的，需要真人在獲得目標(biāo)環(huán)境的訪問(wèn)權(quán)限后觸發(fā)感染。

Royal勒索軟件傳播的一些主要方式是通過(guò)以下方式提供的惡意鏈接：

惡意廣告

虛假論壇頁(yè)面

博客評(píng)論

釣魚(yú)電子郵件

Royal勒索軟件刪除系統(tǒng)上的卷影副本，并利用OpenSSL加密庫(kù)按照AES標(biāo)準(zhǔn)對(duì)文件進(jìn)行加密。與其他類(lèi)似的惡意軟件不同，該軟件會(huì)在受影響的文件后附加“.Royal”擴(kuò)展名。

虹科網(wǎng)絡(luò)安全評(píng)級(jí)

威脅格局在不斷演變和變化，虹科網(wǎng)絡(luò)安全評(píng)級(jí)易于閱讀的A-F評(píng)級(jí)等級(jí)使其更容易掃描攻擊者可能利用的威脅和漏洞。

虹科網(wǎng)絡(luò)安全評(píng)級(jí)提供了對(duì)十個(gè)風(fēng)險(xiǎn)因素的可見(jiàn)性，包括IP聲譽(yù)、終端安全、網(wǎng)絡(luò)安全、Web應(yīng)用安全、DNS運(yùn)行狀況、修補(bǔ)節(jié)奏、黑客通訊、信息泄露和社會(huì)工程。由于我們持續(xù)監(jiān)控風(fēng)險(xiǎn)并發(fā)送可操作的警報(bào)，因此IT部門(mén)可以對(duì)新的風(fēng)險(xiǎn)做出實(shí)時(shí)響應(yīng)。

虹科網(wǎng)絡(luò)安全評(píng)級(jí)還提供事件響應(yīng)解決方案。如果您了解到對(duì)手訪問(wèn)了您的數(shù)據(jù)，請(qǐng)立即聯(lián)系我們。發(fā)現(xiàn)后的最初24小時(shí)是至關(guān)重要的。我們會(huì)找到根本原因并消除它。之后，我們的詳細(xì)取證服務(wù)可以發(fā)現(xiàn)所有被泄露的信息。我們的團(tuán)隊(duì)將為您提供以下專(zhuān)業(yè)知識(shí)：

阻止其他數(shù)據(jù)丟失

修復(fù)漏洞并實(shí)施防止進(jìn)一步攻擊的措施

收集和保存法院可接受的證據(jù)

記錄并記錄事件和過(guò)程

協(xié)助執(zhí)法部門(mén)/監(jiān)管機(jī)構(gòu)的參與

根據(jù)您的行業(yè)要求通知受影響的各方