2024 年 6 月头号恶意软件：RansomHub 跃居榜首

投稿
APP
微信扫一扫获取更多

2024 年 6 月头号恶意软件：RansomHub 跃居榜首

彭芮

2024-07-17 00:00:00

图灵汇官网

Check Point 报告揭示勒索软件领域新动态：RansomHub 登顶

根据 Check Point 软件技术有限公司发布的2024年6月《全球威胁指数》报告，本月网络安全形势发生了显著变化。报告指出，勒索软件即服务（RaaS）领域的格局已发生变化，RansomHub 成为最活跃的勒索软件团伙，取代了之前的领头羊 LockBit3。

此外，研究人员还关注到了一款名为 BadSpace 的 Windows 后门，该后门通过受感染的 WordPress 网站，利用虚拟浏览器更新进行传播。与此同时，假更新攻击活动（又称 SocGholish）也引发了关注，该活动提供了一个名为 BadSpace 的新后门。第三方联盟网络协助了假更新的传播，将受感染网站的流量引导至假更新登录页面，诱导用户下载看似为浏览器更新的程序。实则，该程序内含基于 JScript 的加载器，后续下载并执行 BadSpace 后门。BadSpace 采用了复杂的混淆和反沙盒技术，避免了检测，并通过计划任务确保持久性。其通信机制经过加密，增加了追踪难度。

Maya Horowitz，Check Point 软件技术公司的研究副总裁，评论道：“执法行动对 LockBit3 的打击效果显著，但随之而来的是其他犯罪团伙的迅速填补，继续在全球范围内对企业和机构发动勒索软件攻击。”

最猖獗恶意软件家族排行

本月最活跃的恶意软件家族为 FakeUpdates，影响全球7%的机构。紧随其后的是 Androxgh0st 和 AgentTesla，分别影响全球6%和3%的机构。

高危恶意软件详情

FakeUpdates：一种使用 JavaScript 编写的下载程序，通过多种恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引发进一步破坏。
Androxgh0st：一个针对 Windows、Mac 和 Linux 平台的僵尸网络，通过多个漏洞（如针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞）实施攻击，窃取敏感信息，如 Twilio 账户信息、SMTP 凭证和 AWS 密钥等。
AgentTesla：一种高级远程访问工具，能监控和收集用户的键盘输入、系统剪贴板、截图和各类软件（如 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）的证书。

最常被利用的漏洞

Check Point VPN 信息泄露（CVE-2024-24919）：影响 Check Point VPN 的漏洞，允许攻击者读取特定信息。
Web 服务器恶意 URL 目录遍历（CVE-2010-4598 至 CVE-2020-8260）：不同 Web 服务器存在的目录遍历漏洞，攻击者可利用此漏洞泄露或访问易受攻击的服务器上的任意文件。
HTTP 标头远程代码执行（CVE-2020-10826 至 CVE-2020-1375）：允许攻击者在受感染机器上执行任意代码的漏洞。

主要移动恶意软件

Joker：一种在 Google Play 中传播的 Android 间谍软件，窃取短消息、联系人列表和设备信息，还秘密注册付费服务。
Anubis：一种专为 Android 设备设计的银行木马，具备远程访问木马（RAT）、键盘记录、录音等功能，已出现在数百个不同应用中。
AhMyth：一种远程访问木马（RAT），通过应用商店和网站传播，收集敏感信息，执行键盘记录、屏幕截图、发送短信和激活摄像头等操作。

主要勒索软件团伙

RansomHub：以 RaaS 模式运作，以骑士勒索软件的变种而闻名，以其破坏性攻击和复杂的加密方法而臭名昭著。
Play：又名 PlayCrypt，于 2022 年 6 月首次现身，主要针对北美、南美和欧洲的企业和关键基础设施。
Akira：一种针对 Windows 和 Linux 系统的勒索软件，采用 CryptGenRandom() 和 Chacha 2008 进行对称加密，通过多种途径传播。