2021年又是COVID-19和惡意軟件在頭條新聞中猖獗的一年。無論是線下還是線上，世界仍在與病毒作斗爭。當攻擊關鍵基礎設施和供應鏈成為一種新趨勢時，今年又發生了可怕的轉變。可能是因為流行的僵尸網絡已關閉，或者只是簡單的老式民族國家支持的攻擊。
    勒索軟件勒索已從一種趨勢演變為一種新常態。每個主要的勒索軟件活動都在使用雙重勒索方法，這對小企業來說是一個可怕的勢頭。他們不僅會竊取和鎖定文件，而且如果沒有達成贖金協議，惡意行為者會以最具破壞性的方式泄露數據。
    好消息是去年20萬美元的平均贖金，而今天的平均水平略低于15萬美元。壞消息是黑客正在瞄準各種規模的企業。事實上，大多數受害者是最終支付約5萬美元的小企業。

    勒索軟件攻擊者的策略越來越好，他們招募人才并提供簡化的用戶體驗，整個過程非常簡單。最重要的是，供應鏈攻擊正成為一個大問題。
    網絡釣魚仍然是這些攻擊活動的關鍵，通常是惡劣的惡意軟件危害企業的第一步。這突顯了用戶教育的重要性。畢竟每個怪物都有弱點，您只需要放置一個吸血鬼、砍下僵尸的頭部，訓練用戶不要點擊這些網絡釣魚誘餌或啟用附件中的宏，這些方法已被證明可以阻止這些生物（和惡意軟件）的蹤跡。

以下列出了2021年最惡劣的惡意軟件：

一、僵尸網絡Lemonduck（檸檬鴨）
LemonDuck作為著名的僵尸網絡和加密挖掘有效負載，僅存在了幾年。它是最煩人的有效載荷之一，因為它將使用幾乎所有感染手段，如COVID主題的電子郵件、漏洞利用、無文件powershell模塊和暴力破解。但在2021年，LemonDuck變得越來越流行，甚至增加了一些新功能，例如竊取憑據、刪除安全協議，甚至為后續攻擊放棄了更多工具。更糟糕的是，LemonDuck會攻擊Linux系統和Windows系統，這既方便又罕見。當受害者只專注于修補最近流行的漏洞時，它將使用較舊的漏洞進行破壞，而這些漏洞可以保持未修補。

一個有趣的怪癖是，LemonDuck通過消除相互競爭的惡意軟件感染，將其他黑客從受害者的設備中移除。LemonDuck希望成為最大、最惡劣的惡意軟件，他們甚至通過修補用來獲取訪問權限的漏洞來防止新的感染。它挖掘XMR是因為這是消費級硬件最友好的散列算法，因此可以確保網絡犯罪分子的最大利潤。這些利潤是即時的，是由受害者的電費隨時間產生。攻擊不需要贖金，因此受害者不需要同意或了解攻擊/違規行為，這非常令人討厭。

二、勒索軟件REvil
幾乎每人，即使是那些不了解信息安全的人，都聽說過7月的Kaseya供應鏈攻擊事件，主要針對的是美國公司。他們還攻擊了無數其他企業，包括全球肉類供應商JBS。這個名為REvil的團體每年都進入這個名單也就不足為奇了。

您可能在2018年聽說過名為Gandcrab的勒索軟件，或在2019年聽說過Sodinokibi。它們都是同一個組織，今年它們是REvil。他們提供勒索軟件即服務 (Raas)，這意味著他們制作加密有效載荷，并在暗網上提供勒索泄露網站。

附屬公司將進行攻擊，使用勒索軟件負載，并分享所有利潤。在Kaseya攻擊事件以及隨后白宮與普京的會議后不久，REvil支付和泄露網站出現故障，洋蔥鏈接不再有效。
“根據未經證實的信息，REvil服務器基礎設施收到了政府的法律要求，迫使REvil完全清除服務器基礎設施并消失。但是，這尚未得到證實。”

與此列表中的許多令人討厭的惡意軟件一樣，REvil可能還沒有死（他們在暗網上的泄露站點于9月初重新上線）。在度過了一段美好的假期之后，他們正在重新開啟基礎設施。

三、銀行木馬Trickbot
Trickbot作為一種流行的銀行木馬已經存在了十年，現在已經發展成為現存最廣為人知的僵尸網絡之一。Trickbot被大量網絡黑社會使用，由于其多功能性和彈性，它與許多勒索軟件組織有關聯。去年秋天，美國國防部、微軟和其他機構對該組織的僵尸網絡進行了攻擊，幾乎將其摧毀。但就像任何優秀的僵尸一樣，它們在Emotet關閉后再次崛起，成為頭號僵尸網絡。

Trickbot感染幾乎總是導致勒索軟件。一旦進入機器，它就會通過網絡橫向移動，利用漏洞來傳播和收集盡可能多的憑據。有時，收集所有域的憑據需要數周或數月的時間。一旦他們完全控制了環境，他們就會確保勒索軟件造成最大的破壞，而緩解措施可能會失敗。

四、銀行木馬和信息竊取程序Dridex
另一個非常流行的銀行木馬和信息竊取程序已經存在多年，Dridex與Bitpaymer/Doppelpaymer/Grief等勒索軟件緊密相關。Dridex一直在Emotet的機器上運行，直到它們關閉，但現在運行自己的惡意垃圾郵件活動。

一旦進到一臺機器上，它還會通過網絡橫向移動，在每臺機器上放置dridex加載程序以創建持久性。就像Trickbot一樣，Dridex花時間收集憑據，直到獲得完全控制權。從那里，它們可以造成最大的破壞，同時防止緩解策略將它們關閉。

Dridex的作者被稱為“Evil Corp”，其領導人被美國聯邦調查局（FBI）通緝，最高懸賞500萬美元。

五、勒索軟件Conti
這個勒索軟件組織對我們的惡意軟件列表并不陌生，它以前作為Ryuk（使用Emotet和Trickbot背后的勒索軟件運營商）而出彩。事實上，他們是美國聯邦調查局（FBI）認為 2019 年最成功的勒索軟件組織。雖然Conti是從RDP部署的，但它通常不進行不安全的 RDP 暴力破解。大多數情況下，憑據是從諸如Trickbot或Qakbot之類的信息竊取木馬程序中抓取或釣魚得到。

這些勒索軟件作者還運營著一個泄漏網站，以進一步恐嚇受害者支付贖金。Conti在2021年登上了大量頭條新聞，并攻破了許多大型組織，但這還沒不是最黑暗的時刻。我們還注意到，LockFile勒索軟件將Conti團伙的電子郵件地址列為付款聯系人，將這兩個群體聯系起來。

六、滲透測試工具Cobalt Strike
Cobalt Strike是白帽設計的滲透測試工具。其目的是幫助紅隊模擬攻擊，以便紅隊黑客可以滲透到環境中，確定其安全漏洞并進行適當的更改。這個工具有幾個非常強大和有用的功能，如進程注入、權限提升、憑證和哈希收集、網絡枚舉、橫向移動等。

所有這些對黑客都很有吸引力，所以我們經常看到壞人使用Cobalt Strike也就不足為奇了。在最討厭的惡意軟件中列出一個白帽子工具對我們來說是獨一無二的，但該工具容易用于可擴展的自定義攻擊。難怪這么多攻擊者將其作為武器庫中的工具之一。

七、不光彩的提名
 . Hello Kitty – 該組織因使用漏洞利用對VMWare ESXI的獨特攻擊而受到不光彩的提及。它因攻破CD Projekt RED并竊取他們的游戲源代碼而聞名，其中最著名的是《CyberPunk 2077》和《Witcher 3》。
 . DarkSide – Colonial管道攻擊是2021年最引人注目的攻擊事件，導致天然氣短缺和恐慌性購買加劇。這提醒我們，勒索軟件攻擊的破壞性有多大，其圍繞的炒作讓人想起 Wannacry。據RaaS組織聲稱，無意攻擊基礎設施，并將管道攻擊歸咎于附屬機構。但就在攻擊發生幾周后，出現了一個名為Black Matter的類似 RaaS，并聲稱可以攻擊除醫療和國家機構之外的所有環境。他們還聲稱與DarkSide不是同一群人。但老實說，誰相信呢？

八、如何保持安全
是時候提高、學習如何防范可怕的惡意軟件了。隨著攻擊者每年都變得越來越老練，擁有多層保護策略非常重要。

1、企業用戶
  . 鎖定遠程桌面協議 (RDP)：使用加密數據并使用多重身份驗證的RDP解決方案。當遠程連接到其他機器時，需要增加安全性以防止漏洞。
  . 教育最終用戶：防止攻擊始于增強最終用戶的意識。定期進行網絡安全意識培訓和網絡釣魚模擬可確保數據安全。此外，確保員工知道何時以及如何報告可疑消息。
  . 安裝信譽良好的網絡安全軟件：選擇使用實時、全球威脅情報和機器學習來阻止威脅的解決方案。尋求具有多層屏蔽的保護，以檢測和防止多種不同攻擊階段的攻擊。
  . 建立強大的備份和災難恢復計劃：企業不能沒有強大的備份。定期測試備份并設置警報，以便管理員可以輕松查看是否有問題。

2、個人用戶
  . 對消息的懷疑。像對待恐怖電影中的墓地一樣對待你的電子郵件。不要點擊電子郵件中的鏈接或附件。警惕任何要求提供個人信息的電子郵件、短信、電話或社交媒體消息。
  . 使用防病毒軟件和 VPN 保護您的設備。確保不僅要保護計算機，還要保護智能手機和平板電腦。當您丟棄舊設備時，請務必先將其擦拭干凈。
  . 使防病毒軟件和其他應用程序保持最新。黑客使用過時的軟件和操作系統將惡意軟件植入您的系統，并竊取您的信息。要經常安裝應用的更新。
  . 使用安全的云備份。我們建議同時使用以加密格式存儲數據的在線備份，和不使用時拔下的物理備份驅動器。
  . 創建強大的、唯一的密碼（并且不要共享它們）。長度 = 強度。使用密碼短語增加密碼字符數，防止暴力破解。可以使用密碼管理器來幫助您創建和存儲好的密碼。這樣，您就不必全部記住或寫下來。
  . 如果您下載的文件要求您啟用宏，請不要這樣做。這是文件感染了惡意代碼的強烈跡象。盡管宏具有合法用途，但它們在普通家庭用戶環境中極為罕見。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:https://community.webroot.com/

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明