[[442513]]

今年，又是新冠病毒和惡意軟件持續(xù)猖獗的一年。無論是在現(xiàn)實世界還是在虛擬網(wǎng)絡(luò)，世界各地的人們?nèi)栽谂c病毒(現(xiàn)實的新冠病毒和網(wǎng)絡(luò)上的病毒程序)斗爭。不過，今年的網(wǎng)絡(luò)世界還是呈現(xiàn)出了一些可怕的新變化：攻擊關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈已成為一種新趨勢。

今年，我們看到一些久負“盛”名的玩家紛紛退場，一些去了海灘度假，一些進了監(jiān)獄。不過，無論如何，2021年仍然是網(wǎng)絡(luò)威脅(尤其是勒索軟件)主導(dǎo)新聞頭條的一年。

勒索軟件攻擊已從一種趨勢演變?yōu)橐环N新常態(tài)。每個主要的勒索軟件活動都在使用“雙重勒索”策略，這對小企業(yè)來說無疑是一種可怕的現(xiàn)象。在“雙重勒索”中，威脅行為者不僅會竊取和鎖定文件，而且如果沒有達成贖金協(xié)議，他們還會以最具破壞性的方式泄露受害者數(shù)據(jù)。不過，好消息是，去年平均贖金的峰值為200000 美元，而如今的平均水平已經(jīng)略低于150000美元。

壞消息是，攻擊者正在擴大目標群并瞄準各種規(guī)模的企業(yè)。事實上，大多數(shù)受害者都是小企業(yè)，他們最終都支付了約50000美元的贖金。而且，勒索軟件攻擊者的策略正日益完善，不斷招募人才并提供簡化的用戶體驗。更重要的是，除了勒索軟件攻擊外，供應(yīng)鏈攻擊也正成為一個棘手的問題。

網(wǎng)絡(luò)釣魚仍然是這些活動的關(guān)鍵，它通常是惡意軟件危害企業(yè)的第一步。這也凸顯了用戶教育的重要性。企業(yè)只需要培訓(xùn)用戶不要點擊這些網(wǎng)絡(luò)釣魚誘餌或啟用附件中的宏——這些方法已被證明可以阻止這些惡意軟件的活動。

下面就為大家盤點2021年最惡劣的惡意軟件(排名不分先后)：

1. LemonDuck

LemonDuck作為一個著名的僵尸網(wǎng)絡(luò)和加密貨幣挖掘有效負載，僅僅存在了幾年。它是最惱人的有效載荷之一，因為它將使用幾乎所有的感染媒介，例如以新冠病毒為主題的電子郵件、漏洞利用、無文件powershell模塊和暴力破解。在2021年，LemonDuck再次變得越來越流行，甚至添加了一些新功能，例如竊取憑證、刪除安全協(xié)議等。

更糟糕的是，LemonDuck會同時攻擊Linux系統(tǒng)和Windows，這一點既便利又罕見。而且，它還會利用受害者只專注于修補最近和流行漏洞的心態(tài)，通過舊的漏洞進行攻擊。

一個有趣的怪癖是，LemonDuck還會“黑吃黑”，通過消除相互競爭的惡意軟件感染，將其他黑客從受害者的設(shè)備中移除。LemonDuck希望成為最大、最惡劣的惡意軟件，他們甚至通過修補用于訪問的漏洞來防止新的感染。它還會挖掘門羅幣(XMR)，以實現(xiàn)最大利潤。這些利潤是即時的，甚至可以說是“多勞多得”的。攻擊沒有贖金要求，因此受害者不會了解這種攻擊/破壞。

2. REvil

即便是不了解信息安全的人，想必也都聽說過發(fā)生在七月份的Kaseya供應(yīng)鏈攻擊事件，致使其他企業(yè)中招，其中包括全球肉類供應(yīng)商JBS。

你可能在2018年聽說過名為Gandcrab的勒索軟件，或在2019年聽說過Sodinokibi。沒錯，他們都是同一個團體，今年他們的身份是REvil。他們提供勒索軟件即服務(wù)(RaaS)，這意味著他們制作加密有效載荷，并為暗網(wǎng)上的勒索泄露網(wǎng)站提供便利。附屬公司將使用勒索軟件有效載荷進行攻擊，并共享所有利潤。

在Kaseya攻擊事件以及隨后白宮和普京的會晤后不久，REvil支付和泄露網(wǎng)站就下線了。根據(jù)相關(guān)信息所示，REvil服務(wù)器基礎(chǔ)設(shè)施遭到了政府的取締，迫使REvil完全刪除服務(wù)器基礎(chǔ)設(shè)施并消失。

與此列表中的許多惡意軟件一樣，REvil并沒有自此消失，而是于9月初在暗網(wǎng)上的泄露網(wǎng)站上重新上線。在稍作休整后，他們又重新啟動了自己的基礎(chǔ)設(shè)施。

3. Trickbot

作為一種流行的銀行木馬，Trickbot已經(jīng)存在了10年，現(xiàn)在已經(jīng)發(fā)展為最廣為人知的僵尸網(wǎng)絡(luò)之一。Trickbot因其多功能性和彈性被大量網(wǎng)絡(luò)犯罪組織使用，也與許多勒索軟件組織存在關(guān)聯(lián)。

去年秋天晚些時候，美國國防部(DoD)、微軟和其他機構(gòu)對該組織的僵尸網(wǎng)絡(luò)進行了攻擊，幾乎將其摧毀。但就像任何優(yōu)秀的僵尸一樣，它在Emotet關(guān)閉后再次崛起，發(fā)展成頭號僵尸網(wǎng)絡(luò)。

Trickbot感染幾乎總是會導(dǎo)致勒索軟件攻擊。一旦進入設(shè)備，它就會在網(wǎng)絡(luò)中橫向移動，利用漏洞傳播和收集盡可能多的憑據(jù)。有時，收集所有域憑據(jù)需要幾周或幾個月的時間。一旦他們完全控制了環(huán)境，就能確保勒索軟件發(fā)揮最大威力，即便是采取緩解措施也無濟于事。

4. Dridex

作為另一個流行多年的銀行木馬和信息竊取程序，Dridex與Bitpaymer/Doupelpaymer/Grief等勒索軟件緊密相關(guān)。Dridex一直在Emotet的機器上運行，Emotet關(guān)閉后，它便開始運行自己的惡意垃圾郵件活動。

一旦進入設(shè)備，它也會通過網(wǎng)絡(luò)橫向移動，在每臺機器上放置Dridex加載程序。就像Trickbot一樣，Dridex也會花大量時間收集憑證，直至獲得完全控制權(quán)，從而對目標網(wǎng)絡(luò)造成最大程度的破壞，同時防止緩解策略生效。

5. Conti

這個勒索軟件組織對人們來說并不陌生，它曾是Ryuk(使用Emotet和Trickbot)背后的勒索軟件運營商。事實上，他們曾被美國聯(lián)邦調(diào)查局評為“2019年最成功的勒索軟件組織”。雖然Conti通過RDP部署，但它通常不會對不安全的RDP進行暴力破解。大多數(shù)情況下，憑據(jù)是從Trickbot或Qakbot等竊取信息的木馬程序中獲取。

這些勒索軟件開發(fā)者還運營著一個泄露網(wǎng)站，以進一步恐嚇受害者支付贖金。Conti在2021年登上了許多頭條新聞，并入侵了許多大型組織，且至今仍在活躍。此外，研究人員還注意到，LockFile勒索軟件將Conti團伙的電子郵件地址列為付款聯(lián)系人，這一線索將這兩個群體聯(lián)系在了一起。

6. Cobalt Strike

Cobalt Strike是白帽公司設(shè)計的滲透測試工具，其目的是幫助紅隊模擬攻擊，以便黑客可以滲透到環(huán)境中，確定它的安全漏洞并做出適當(dāng)?shù)母?。這個工具有幾個非常強大和有用的功能，如進程注入、權(quán)限提升、憑證和散列獲取、網(wǎng)絡(luò)枚舉、橫向移動等。

所有這些對黑客來說都極具吸引力，所以我們經(jīng)常看到黑客使用Cobalt Strike也就不足為奇了。在“最惡劣的惡意軟件”榜單中列出一個白帽子工具，可以說是絕無僅有的，但是這個工具很容易用于可擴展的自定義攻擊。也難怪如此多的攻擊者將其作為武器庫中的工具之一。

7. Hello Kitty

HelloKitty勒索軟件運營商自2020年11月以來一直處于活躍狀態(tài)，今年7月以來，他們開始使用其惡意軟件的Linux變體以VMware ESXi虛擬機平臺為目標實施攻擊。

而它最出名的事跡還要數(shù)破壞CD Projekt RED并竊取其游戲源代碼，包括著名的《CyberPunk 2077》和《Witcher 3》等。

8. DarkSide

Colonial Pipeline攻擊是2021年最引人注目的攻擊事件，導(dǎo)致了天然氣短缺和恐慌性購買情緒。不過，此事也提醒我們，勒索軟件攻擊的破壞性有多大，就像當(dāng)年的Wannacry。

該勒索軟件即服務(wù)(RaaS)組織聲稱，他們無意攻擊基礎(chǔ)設(shè)施，并將攻擊行為推給其附屬機構(gòu)。但就在襲擊發(fā)生幾周后，又出現(xiàn)了一種名為“Black Matter”的類似 RaaS組織，并聲稱將攻擊除醫(yī)療和國家機構(gòu)以外的所有環(huán)境。同時，他們還聲稱與DarkSide不是同一個人。但老實說，誰相信呢?