據卡巴斯基安全網絡稱,在 2021 年第三季度:
卡巴斯基解決方案阻止了來自全球在線資源的 1,098,968,315 次攻擊。
Web Anti-Virus 將 289,196,912 個唯一 URL 識別為惡意 URL。
104,257 名獨立用戶的計算機上停止了運行惡意軟體以從在線銀行帳戶中竊取資金的嘗試。
勒索軟體攻擊在 108,323 名獨立用戶的計算機上被查殺。
我們的文件反病毒檢測到 62,577,326 個獨特的惡意和可能不需要的對象。
勒索威脅勒索威脅統計2021 年第三季度,卡巴斯基解決方案阻止了至少一種勒索惡意軟體在 104,257 名獨立用戶的計算機上的啟動。
2021 年第三季度受到惡意勒索軟體攻擊的唯一用戶數量(下載)
惡意勒索軟體攻擊的地理分布
為了評估和比較全球範圍內被銀行木馬和 ATM/POS 惡意軟體感染的風險,我們計算了每個國家/地區在報告期內面臨這種威脅的卡巴斯基產品用戶佔我們產品所有用戶的百分比國家。
惡意勒索軟體攻擊的地理分布,2021 年第三季度(下載)
受攻擊用戶份額排名前 10 位的國家
* 不包括卡巴斯基產品用戶相對較少(10,000 人以下)的國家/地區。
** 計算機受到金融惡意軟體攻擊的唯一用戶佔該國所有卡巴斯基產品唯一用戶的百分比。
Top 10 banking malware families
* 遇到此惡意軟體系列的唯一用戶佔受金融惡意軟體攻擊的所有用戶的百分比。
在第三季度,像往常一樣,ZeuS/Zbot 家族(17.7%)成為最廣泛的勒索家族。接下來是 SpyEye (17.5%) 系列,其份額從上一季度的 8.8% 翻了一番。前 3 名被 CliptoShuffler 家族 (9.6%) 淘汰 - 一個位置,僅下降 0.3 個百分點。Trojan-Banker.Win32.Gozi (2.7%) 和 Trojan-Banker.Win32.Tinba (1.5%) 家族在第三季度重新進入前 10 名——分別位居第七和第九位。
勒索軟體程序季度趨勢和亮點攻擊 Kaseya 和 REvil 的故事7 月初,REvil/Sodinokibi 組織試圖對遠程管理軟體 Kaseya VSA進行攻擊,損害了使用該系統的幾家託管服務提供商 (MSP)。由於對供應鏈的這種衝擊,攻擊者能夠感染超過一千個受感染 MSP 的客戶業務。REvil 最初要求贖金 7000 萬美元以換取對所有受攻擊用戶進行解密,很快就減少到 5000 萬美元。
在這次大規模攻擊之後,執法機構加強了對 REvil 的關注,因此到 7 月中旬,該團夥關閉了他們的木馬基礎設施,暫停了新的感染並消失了。與此同時,Kaseya 為所有受攻擊影響的人提供了一個通用解密器。根據Kaseya 的說法,它「沒有直接或通過第三方間接支付贖金」。後來有消息稱,公司獲得了解密和聯邦調查局的關鍵。
但是已經在 9 月上半月,REvil 再次啟動並運行。據黑客論壇 XSS 稱,該組織的前公眾代表 UNKN 「失蹤」,惡意軟體開發人員未能找到他,等待了一段時間,並從備份中恢復了木馬基礎設施。
BlackMatter 的到來:DarkSide 恢復了?正如我們在第二季度報告中所寫的那樣,DarkSide 組織在對 Colonial Pipeline 進行「過於高調」的攻擊後停止了其業務。現在有一個名為 BlackMatter 的「新」到來,正如其成員所聲稱的那樣,它代表了 DarkSide、REvil 和 LockBit 中的「最佳」。
根據我們對 BlackMatter 木馬可執行文件的分析,我們得出結論,它很可能是使用 DarkSide 的原始碼構建的。
第三季度關閉歐洲刑警組織和烏克蘭警方逮捕了一個未具名勒索軟體團夥的兩名成員。唯一已知的細節是贖金要求達到 5 到 7000 萬歐元。
在襲擊華盛頓特區的大都會警察局之後,Babuk 組織放棄了(或只是暫停)其業務,並發布了一個包含木馬原始碼的檔案,為一些受害者構建工具和密鑰。
8 月底,Ragnarok(不要與 RagnarLocker 混淆)突然結束了,從他們的門戶中刪除了所有受害者的信息,並發布了用於解密的主密鑰。該小組沒有說明採取這一行動的理由。
漏洞利用和新的攻擊方法HelloKitty 組織曾利用 SonicWall 網關中的漏洞 CVE-2019-7481 來分發其勒索軟體。
Magniber 和 Vice Society 通過利用 PrintNightmare 系列的漏洞(CVE-2021-1675、CVE-2021-34527、CVE-2021-36958)滲透到目標系統。
LockFile 組織利用 ProxyShell 漏洞(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)滲透受害者網絡;對於橫向擴展,他們依賴於獲得域控制器控制權的新 PetitPotam 攻擊。
Conti 組織還使用了 ProxyShell 漏洞進行攻擊。
新的勒索軟體修改次數在 2021 年第三季度,我們檢測到 11 個新的勒索軟體系列和 2,486 種此類惡意軟體的新修改。
2020 年第三季度至 2021 年第三季度新勒索軟體修改的數量(下載)
受勒索軟體木馬攻擊的用戶數量2021 年第三季度,卡巴斯基產品和技術保護了 108,323 名用戶免受勒索軟體攻擊。
受勒索軟體木馬攻擊的唯一用戶數量,2021 年第三季度(下載)
勒索軟體攻擊的地理分布勒索軟體木馬攻擊的地理分布,2021 年第三季度(下載)
受勒索軟體木馬攻擊的前 10 個國家
* 不包括卡巴斯基用戶相對較少(50,000 人以下)的國家。
** 受勒索軟體木馬攻擊的唯一用戶佔該國所有卡巴斯基產品唯一用戶的百分比。
挖礦
NameVerdicts%*1Stop/DjvuTrojan-Ransom.Win32.Stop27.67%2(generic verdict)Trojan-Ransom.Win32.Crypren17.37%3WannaCryTrojan-Ransom.Win32.Wanna11.84%4(generic verdict)Trojan-Ransom.Win32.Gen7.78%5(generic verdict)Trojan-Ransom.Win32.Encoder5.58%6(generic verdict)Trojan-Ransom.Win32.Phny5.57%7PolyRansom/VirLockVirus.Win32.Polyranso/ Trojan-Ransom.Win32.PolyRansom2.65%8(generic verdict)Trojan-Ransom.Win32.Agent2.04%9(generic verdict)Trojan-Ransom.MSIL.Encoder1.07%10(generic verdict)Trojan-Ransom.Win32.Crypmod1.04%新挖礦程序修改次數2021 年第三季度,卡巴斯基解決方案檢測到 46,097 項挖礦的新修改。
新礦機修改數量,2021 年第三季度(下載)
被礦工攻擊的用戶數量在第三季度,我們檢測到使用挖礦對全球 322,131 名卡巴斯基產品唯一用戶的計算機進行攻擊。雖然在第二季度,被攻擊的用戶數量逐漸減少,但這一趨勢在 7 月和 2021 年 8 月發生了逆轉。7 月挖礦攻擊的獨立用戶略超過 14 萬,9 月潛在受害者人數接近 15 萬。
被挖礦攻擊的獨立用戶數量,2021 年第三季度(下載)
挖礦攻擊的地理分布礦工攻擊的地理分布,2021 年第三季度(下載)
受礦工攻擊的前 10 個國家
* 不包括卡巴斯基產品用戶相對較少的國家(低於 50,000)。
** 被礦工攻擊的獨立用戶佔該國所有卡巴斯基產品獨立用戶的百分比。
微軟 Windows 列印子系統中的一系列全新漏洞在第三季度引起了軒然大波,一個被媒體稱為 PrintNightmare 的漏洞:CVE-2021-1640、CVE-2021-26878、CVE-2021-1675、CVE-2021- 34527、CVE-2021-36936、CVE-2021-36947、CVE-2021-34483。所有這些漏洞都允許在本地提升權限或遠程執行具有系統權限的命令,並且由於它們幾乎不需要被利用,因此它們經常被流行的大規模感染工具使用。要修復它們,需要幾個 Microsoft 補丁。
被稱為 PetitPotam 的漏洞證明同樣麻煩。它允許非特權用戶控制 Windows 域計算機——甚至域控制器——前提是 Active Directory 證書服務存在並處於活動狀態。
在最新的 Windows 11 作業系統中,甚至在正式發布之前,就檢測到了漏洞CVE-2021-36934,並將其命名為 HiveNightmare/SeriousSam。它允許非特權用戶通過卷影複製機制複製所有註冊表線程,包括 SAM,這可能會暴露密碼和其他關鍵數據。
在Q3中,攻擊者大大青睞攻擊針對漏洞ProxyToken,ProxyShell和ProxyOracle(CVE-2021-31207,CVE-2021-34473,CVE-2021-31207,CVE-2021-33766,CVE-2021-31195,CVE-2021- 31196)。如果結合使用,這些可以完全控制由 Microsoft Exchange Server 管理的郵件伺服器。我們已經涵蓋了類似的漏洞 ——例如,它們被用於 HAFNIUM 攻擊,也針對 Microsoft Exchange Server。
和以前一樣,依靠暴力破解密碼到各種網絡服務(如 MS SQL、RDP 等)的伺服器攻擊在 2021 年第三季度的網絡威脅中脫穎而出。使用 EternalBlue、EternalRomance 和類似漏洞的攻擊一如既往地流行。其中一個新漏洞是在各種企業環境中經常使用的產品 Atlassian Confluence Server ( CVE-2021-26084 ) 中處理對象圖導航語言時啟用遠程代碼執行的嚴峻漏洞。此外,Pulse Connect Secure 被發現包含漏洞CVE-2021-22937,但需要管理員密碼才能被利用。
統計數據和以前一樣,Microsoft Office 漏洞的利用在 2021 年第三季度仍處於領先地位 (60.68%)。由於有大量用戶,這些用戶很受歡迎,其中大多數仍然使用舊版本的軟體,從而使攻擊者的工作變得更加容易。Microsoft Office 漏洞利用的份額比上一季度增加了近 5 個百分點。除其他外,這是由於新漏洞CVE-2021-40444在野外被發現,立即被用來危害用戶機器。攻擊者可以通過使用允許辦公文檔下載模板的標準功能來利用它,這些功能是在特殊 ActiveX 組件的幫助下實現的。操作過程中沒有對處理過的數據進行適當的驗證,因此可以下載任何惡意代碼。在您閱讀本文時,相關的安全更新已經可用。
單個Microsoft Office漏洞按檢測次數排名的方式並沒有隨著時間的推移而發生太大變化:第一名仍然是CVE-2018-0802和CVE-2017-8570,與另一個流行漏洞CVE-2017-11882相距不遠在後面。這些我們已經講過很多次了——所有上述漏洞都代表用戶執行命令並感染系統。
網絡犯罪分子使用的漏洞利用分布,按受攻擊應用程式類型,2021 年第三季度(下載)
第三季度流行瀏覽器的漏洞利用份額比上一報告期下降了 3 個百分點至 25.57%。在該報告涵蓋的三個月內,在 Google Chrome 瀏覽器及其腳本引擎 V8 中發現了幾個漏洞——其中一些是在野外。其中,以下 JavaScript 引擎漏洞最為突出:CVE-2021-30563(類型混淆錯誤破壞堆內存)、CVE-2021-30632(V8 中越界寫入)和CVE-2021-30633(在索引資料庫中釋放後使用)。所有這些都可能允許遠程執行代碼。但應該記住,對於現代瀏覽器,通常需要一系列漏洞利用才能離開沙箱並保護系統中更廣泛的特權。還應該注意的是,由於 Google Chromium 代碼庫(特別是 Blink 組件和 V8)在許多瀏覽器中使用,任何新檢測到的 Google Chrome 漏洞都會自動使其他使用其開放代碼庫構建的瀏覽器易受攻擊。
谷歌 Android 漏洞排名第三(5.36%)——比上一期下降 1 個百分點。其次是針對 Adobe Flash 的漏洞利用(3.41%),其份額逐漸下降。該平臺不再受支持,但仍然受到用戶的青睞,這反映在我們的統計數據中。
我們的排名以 Java (2.98%) 的漏洞(其份額也明顯較低)和 Adobe PDF (1.98%) 結束。
對 macOS 的攻擊我們將記住 2021 年第三季度的兩個有趣啟示。第一個是使用針對 macOS的惡意軟體代碼作為 WildPressure 活動的一部分。第二個是對以前未知的 macOS 的FinSpy 植入程序的詳細審查。
談到卡巴斯基 macOS 安全解決方案檢測到的最廣泛的威脅,我們的前 20 名排名中的大部分都被各種廣告軟體應用佔據。其中值得注意的是 Monitor.OSX.HistGrabber.b(列表中的第二位)——這個可能不需要的軟體將用戶瀏覽器歷史記錄發送到其所有者的伺服器。
macOS 的 20 大威脅
判決書* 遇到此惡意軟體的唯一用戶佔所有受到攻擊的 macOS 卡巴斯基安全解決方案用戶的百分比。
macOS 威脅的地理分布macOS 威脅的地理分布,2021 年第三季度(下載)
受攻擊用戶份額排名前 10 位的國家
* 不包括在 macOS 卡巴斯基安全解決方案用戶相對較少的國家/地區(低於 10,000)。
** 受攻擊的唯一用戶佔該國 macOS 卡巴斯基安全解決方案所有用戶的百分比。
在 2021 年第三季度,法國率先對卡巴斯基安全解決方案的用戶發起攻擊(3.05%),潛在有害軟體 Monitor.OSX.HistGrabber 是那裡的普遍威脅。西班牙和印度分別排在第二和第三位,Pirrit 系列廣告軟體是他們普遍的威脅。
物聯網攻擊物聯網威脅統計在 2021 年第三季度,大多數攻擊卡巴斯基蜜罐的設備都是使用 Telnet 協議進行的。只有不到四分之一的設備嘗試通過 SSH 暴力破解我們的陷阱。
2021 年第 3 季度,按執行攻擊的設備的唯一 IP 地址數量分布的受攻擊服務
卡巴斯基蜜罐工作會話的統計數據顯示了類似的 Telnet 優勢。
使用卡巴斯基陷阱的網絡犯罪工作會議分布,2021 年第三季度
通過 Telnet 傳送到物聯網設備的 10 大威脅
* 因 Telnet 攻擊成功而傳送到受感染設備的每種威脅在傳送的威脅總數中所佔的份額。
詳細的物聯網威脅統計數據發布在我們的 2021 年第三季度 DDoS 報告中:https : //securelist.com/ddos-attacks-in-q3-2021/104796/#attacks-on-iot-honeypots
通過網絡資源進行攻擊本節中的統計數據基於 Web Anti-Virus,它可以在從惡意/受感染網頁下載惡意對象時保護用戶。網絡犯罪分子故意創建此類站點,並且帶有用戶創建的內容(例如論壇)的網絡資源以及被黑客入侵的合法資源都可能被感染。
作為網絡攻擊來源的國家/地區:前 10 名以下統計數據顯示了卡巴斯基產品在用戶計算機上阻止的 Internet 攻擊源(重定向到漏洞利用的網頁、託管惡意程序的站點、殭屍網絡 C&C 中心等)按國家/地區的分布情況。任何獨特的主機都可能是一種或多種基於 Web 的攻擊的來源。
為了確定 Web 攻擊的地理來源,使用 GeoIP 技術將域名與託管域的真實 IP 地址進行匹配。
2021 年第三季度,卡巴斯基解決方案阻止了來自全球在線資源的 1,098,968,315 次攻擊。Web Anti-Virus 將 289,196,912 個唯一 URL 識別為惡意 URL。
按國家/地區劃分的網絡攻擊源分布,2021 年第三季度(下載)
用戶面臨最大在線感染風險的國家/地區為了評估不同國家用戶面臨的在線感染風險,我們計算了每個國家/地區的卡巴斯基用戶在本季度其計算機上觸發了 Web Anti-Virus 的百分比。所得數據提供了計算機在不同國家/地區運行的環境的惡劣程度的指示。
此評級僅包括屬於惡意軟體類別的惡意程序的攻擊;它不包括對潛在危險或有害程序(如 RiskTool 或廣告軟體)的 Web 反病毒檢測。
* 不包括卡巴斯基用戶相對較少(10,000 人以下)的國家/地區。
**惡意軟體類攻擊針對的唯一用戶佔該國所有卡巴斯基產品唯一用戶的百分比。
這些統計數據基於 Web Anti-Virus 模塊從同意提供統計數據的卡巴斯基產品用戶那裡收到的檢測結果。
平均而言,本季度全球網際網路用戶的計算機中有 8.72% 至少遭受過一次惡意軟體級網絡攻擊。
基於 Web 的惡意軟體攻擊的地理分布,2021 年第三季度(下載)
本地威脅在本節中,我們分析從卡巴斯基產品中的 OAS 和 ODS 模塊獲得的統計數據。它考慮了直接在用戶計算機或連接到它們的可移動媒體(快閃記憶體驅動器、相機存儲卡、手機、外部硬碟驅動器)上發現的惡意程序,或者最初以非開放形式進入計算機的惡意程序(例如,複雜安裝程序中的程序、加密文件等)。
在 2021 年第三季度,我們的文件反病毒檢測到了62,577,326 個惡意和可能不需要的對象。
用戶面臨本地感染風險最高的國家對於每個國家/地區,我們計算了報告期內在其計算機上觸發了文件反病毒的卡巴斯基產品用戶的百分比。這些統計數據反映了不同國家的個人電腦感染水平。
請注意,此評級僅包括屬於惡意軟體類別的惡意程序的攻擊;它不包括文件反病毒觸發器,以響應潛在危險或不需要的程序,例如 RiskTool 或廣告軟體。
* 不包括卡巴斯基用戶相對較少(10,000 人以下)的國家/地區。
** 在其計算機上阻止惡意軟體級本地威脅的唯一用戶佔該國所有卡巴斯基產品唯一用戶的百分比。
本地感染企圖的地理分布,2021 年第三季度(下載)
平均而言,本季度全球15.14% 的用戶計算機上至少記錄了一次惡意軟體級本地威脅。俄羅斯在這一評級中得分為 14.64%。