全球最大专注于安全的解决方案提供商Check Point以色列捷邦安全软件科技有限公司日前发布2016下半年全球威胁情报趋势报告,指出勒索软件攻击在此期间数量翻倍。在全球已确认的所有恶意软件攻击事件中,2016 年 7 月至 12 月期间发生的勒索软件攻击比率从 5.5% 增至 10.5%。
2016 下半年全球威胁情报趋势报告详细解释了网络犯罪分子攻击企业所使用的主要手段,以及几类主要恶意软件(勒索软件、银行和移动设备恶意软件)的网络威胁趋势。该报告以取自 Check Point ThreatCloudWorld Cyber 2016 年 7 月至 12 月期间的威胁情报数据为基础。
关键趋势
- 勒索软件市场出现垄断 -在 2016 年下半年出现了数以千计的勒索软件变种,Check Point观察到在最近几个月勒索软件出现一个新变化,就是越来越集中化,由几个主要的恶意软件系列主导市场并攻击不同大小的机构。
- 通过物联网 (IoT) 设备进行分布式拒绝服务 (DDoS) 攻击 –2016年 8 月发现了臭名昭著的 Mirai 僵尸网络 (Botnet),这是首例 IoT 僵尸网络,主要攻击存在弱点的联网数字设备,例如录像机 (DVR) 以及监控摄像机 (CCTV)。僵尸网络会将这些设备变成BOT,并利用这些受影响的设备发动大量 DDoS 攻击。现阶段显而易见的是,几乎家家户户都在使用存在弱点的 IoT 设备,而以此为基础的大规模 DDoS 攻击也将持续发生。
- 垃圾邮件攻击所使用的新文件扩展名 –2016 下半年,恶意垃圾邮件攻击最常用的感染向量当属基于 Windows 脚本引擎 (Wscript) 的下载器。以 Javascript (JS) 和 VBScript (VBS) 编写的下载器是恶意垃圾邮件散播领域的主力军,同时还有其他一些类似但较不常见的格式,如 JSE、WSF 和 VBE。
2016 下半年的主要恶意软件
- Conficker (14.5%)- 该蠕虫允许远程操作及下载恶意软件。受感染机器会遭到僵尸网络控制,而该僵尸网络会连接至其命令和控制服务器,以接收指令。
- Sality (6.1%)- 该病毒允许其操控者进行远程操作,并将其它恶意软件下载至受感染系统。其主要目标是长久寄存在系统中,并为远程控制及进一步安装恶意软件提供途径。
- Cutwail (4.6%)- 该僵尸网络主要涉及发送垃圾电子邮件以及发动某些 DDOS 攻击。安装后,BOT 会直接连接至命令和控制服务器,并接收有关发送必要电子邮件的指令。完成任务后,BOT 会向垃圾邮件发送者报告精确的操作统计数据。
- JBossjmx (4.5%)- 该蠕虫瞄准那些安装存在弱点的 Jboss 应用服务器版本的系统。此恶意软件会在有弱点的系统上创建一个可执行任意命令的恶意 JSP 页面。此外,还会创建一个后门程序,以接受来自远程 IRC 服务器的指令。
- Locky (4.3%)- 该勒索软件于 2016 年 2 月开始散播,主要传播途径是内含下载器的垃圾电子邮件,其下载器通常被伪装成 Word 或 Zip 文件附件,随后会下载并安装可对用户文件进行加密的恶意软件。
2016 下半年的主要勒索软件
在全球已确认的所有攻击事件中,2016 下半年的勒索软件攻击比率从 5.5% 增至 10.5%,几乎翻了一倍。最常检测到的变体为:
- Locky 41%- 上半年第三大最常见勒索软件,下半年呈惊人增长。
- Cryptowall 27%- 该勒索软件的雏形为 Cryptolocker doppelgänger,但为害青出于蓝。胜过 Cryptolocker 后,Cryptowall 成为至今最著名的勒索软件之一。Cryptowall的惯用手法是使用 AES 加密并通过 Tor 匿名网络执行 C&C 通信。通过漏洞工具包、恶意广告以及网络钓鱼活动广泛散播。
- Cerber 23%- 全球最大的勒索软件即服务 (ransomware-as-a-service) 方案。Cerber 是一种特许经营方案,其开发者招募会员,这些会员则通过传播恶意软件获得部分利益。
2016 下半年的主要移动设备恶意软件
- Hummingbad 60%- 该 Android 恶意软件由 Check Point 研究团队最先发现,其会在设备上建立永久性隐匿程序、安装欺诈性应用,并可通过小幅修改执行其他恶意活动,例如安装键盘记录程序、盗取凭证,以及绕过企业使用的加密电子邮件容器。
- Triada 9%- 针对 Android 的模块化后门程序,可为下载的恶意软件授予超级用户权限,并协助将该恶意软件嵌入系统进程。Triada 也会仿冒加载至浏览器中的 URL。
- Ztorg 7%– 该特洛伊木马病毒会在用户未察觉的情况下,利用 Root 权限在手机中下载并安装应用程序。
主要银行恶意软件
- Zeus 33%- 该特洛伊木马病毒主要针对 Windows 平台,常通过记录浏览器使用者(man-in-the-browser) 按键输入及抓取表单内容的方式,窃取银行信息。
- Tinba 21%- 该银行特洛伊木马病毒可利用网页注入 (web-inject) 窃取受害者的凭证,即在用户试图登录银行网站时启动。
- Ramnit 16%– 该银行特洛伊木马病毒可窃取银行凭据、FTP 密码、会话 Cookie 和个人数据。
Check Point 威胁情报小组经理 Maya Horowitz 表示:“该报告阐释当今网络环境的本质,并指明勒索软件攻击正在迅速增多。这纯粹是因为勒索软件攻击立竿见影,并能为攻击者创造巨额利益。很多机构穷于应付这种威胁,因为它们并未采取适当的防御措施,而且也可能没有为员工提供相关培训,让他们知道如何识别传入电子邮件中的潜在勒索软件攻击信号。”
Horowitz指出:“此外,我们的数据还显示,大多数攻击主要由少数几个恶意软件系列所发起,而数以千计的其它恶意软件系列则较为罕见。大多数网络威胁呈现全球性、跨区域特征,但亚太地区的情况比较突出,其主要恶意软件系列表中包含其它地区未曾出现的 5 个系列。”
Check Point北亚洲区总裁罗杉表示:“虽然目前勒索软件在中国市场还不是为害最深的头10种威胁之一,但事实上,去年下半年与上半年相比,Zeus勒索软件的频率增加了260%,而Cerber及Locky更分别激增超过 1000倍和300%。在移动领域,Hummingbad在2016年是排名第八的威胁,由于新变种Hummingwhale已在2017年1月份被发现,因此我们提醒广大用户需格外小心防范。”
此报告中的统计数据以取自 ThreatCloudWorld Cyber中的数据为基础。Check Point 的 ThreatCloud 是对抗网络犯罪最大型的协作网络,可从其遍布全球的威胁侦测网络递送最新威胁数据和网络攻击趋势。ThreatCloud 数据库每天可识别数以百万计的恶意软件类型,并包含 2.5 亿个经过僵尸检测程序分析的地址、超过 1100 万个恶意软件签名和 550 万个受感染网站的信息。
原文发布时间为:2017年3月3日