近日,一種新型的勒索軟體攻擊了加拿大的努納武特地區,導致該地區政府的所有聯網服務都受到了影響,甚至影響了整個城市居民的生活。在過去的幾個月,工廠遭「劫持」、勒索軟體「復出」出演「變身記」、TA505網絡間諜對銀行發動APT攻擊、阿聯航空「籤證取消」......這些出自《亞信安全2019年第三季度安全報告》的真實案例,在網路安全的「大熒幕」上爭相上演,要比阿諾的「終結者T-800」還有想像力。
勒索病毒也走「少而美」路線
第三季度報告依然對勒索病毒發出了「紅色警報」。雖然第三季度亞信安全檢測到的勒索病毒數量呈現出遞減態勢,但是這些勒索病毒的功能設計上卻越來越複雜。在與安全軟體的持續對抗中,勒索軟體正持續、快速更新變種,並採用「無文件」等先進的技術手段,以更好地隱藏自己。其中,本季度被截獲的 Sodinokibi 勒索軟體就利用了「無文件」方式來傳播,該勒索軟體會通過漏洞注入惡意的 PowerShell 腳本,然後下載加密的 Sodinokibi 勒索軟體主體文件到系統內存中,最終完成勒索行為。
被該勒索軟體修改的用戶計算機桌面
在第三季度攔截勒索軟體 TOP 10 中,排名第一位的是 RANSOM_WCRY,佔到總攔截次數的 90%。該勒索軟體並不新鮮,屬於利用了「永恆之藍」攻擊程序的WannaCry/Wcry勒索軟體,儘管這一勒索軟體家族「出道」已經有幾年時間,但是依然憑藉著其成熟的攻擊技術、成熟的商業化模式、廣泛的變種,從而獲得了犯罪分子的普遍青睞。
2019年第3季度勒索軟體檢測類型TOP10
第三季度報告與第二季度存在類似的一些狀況,本季度勒索軟體感染的高發地是巴西、中國與印度,高發行業則是製造業、保險這兩個行業,這些地區與行業的共同點在於,其網絡安全防護能力都相對薄弱,而且終端設備數量龐大,更容易被勒索軟體找到可乘之機。 安全專家提醒用戶:要防範勒索軟體,養成良好的網絡安全習慣,迅速修補漏洞並部署全面的勒索軟體防護解決方案,顯然至關重要。
垃圾郵件攻擊瞄準金融機構
在本季度,亞信安全截獲了針對中國、加拿大和印度發動的垃圾郵件攻擊活動,此次攻擊活動主要目的是傳播 Trickbot 銀行木馬。該木馬除了盜竊用戶信息外,還會刪除可移動磁碟和網絡驅動器中的特定擴展名文件,使用病毒副本代替這些文件。Trickbot 銀行木馬最新變種通過帶有附件的垃圾郵件傳播,其會偽裝成為偽裝成廣告提供商的訂閱通知,並誘導用戶點擊附件中帶有宏的 Word 文檔。
此外,在本季度還截獲了大量針對亞洲銀行發動的垃圾郵件攻擊活動,這些郵件使用「阿聯航空 NBD 電子聲明」或者「籤證取消」等主題誘騙用戶點擊郵件附件,郵件附件是嵌入惡意程序的 Excel 文件。運行後,其會下載 ServHelper 加載器,並藉此傳播不法分子事先準備好的惡意軟體。
亞信安全截獲的攻擊亞洲銀行的垃圾郵件樣本
在報告中亞信安全特別指出:「金融機構一向是垃圾郵件瞄準的重點行業,網絡不法分子慣用社交工程攻擊的方式,以引誘受害者上鉤。我們建議金融機構通過部署網關類產品作為第一道防線,在源頭上進行阻斷,並部署桌面防護產品,以有效阻止威脅到達客戶端。此外,人員安全意識培訓也是必不可少的環節,需要教育員工不要輕易打開來歷不明的郵件,更不要輕易下載郵件中的附件。」
挖礦病毒持續肆虐
在前一段時間亞信安全發布的挖礦病毒半年報告中,指出挖礦病毒隨著數字貨幣價格的高漲出現了新一波的熱度,其傳播與幾款熱門挖礦病毒高度相關。而在第三季度,挖礦病毒「強者恆強」的趨勢依然體現的非常明顯,「WORM_COINMINER」這一挖礦病毒佔據了挖礦病毒檢測數量的半壁江山。
2019年第3季度挖礦病毒TOP10
本季度,亞信安全截獲了一款新型XMR 挖礦病毒「Coinminer.Linux.MALXMR.UWEJY」,該病毒通過 Redis 未授權訪問漏洞以及 tomcat manager 管理頁面弱口令在內網中進行傳播,並且在 Web 業務中留下後門。挖礦病毒運行後,進程會佔滿 CPU 資源,導致電腦卡頓,給業務帶來巨大影響。
隨著近期「區塊鏈」再次變成熱門話題,挖礦病毒很有可能出現一波新的傳播高潮。安全專家提醒用戶需要提升安全防護意識,密切關注病毒的傳播情況,並採用更有效的安全防護措施,以避免被不法分子找到可乘之機。
此外,亞信安全在第三季度監測的安全風險還包括:
·在本季度檢測到的病毒種類中,PE(感染型病毒)的數量在所有檢測病毒類型中所佔比重最大,佔到總檢測數量的 25%。
·本季度新增數量較多的病毒類型依次為感染型病毒、漏洞利用型病毒、木馬程序、蠕蟲病毒以及黑客工具。
·亞信安全對APK文件的處理數量依舊呈上升趨勢,截止到本季度,安卓 APK 處理數量累計達到 8,779 萬個。
·在通過Web傳播的惡意程序中,「.EXE」 類型的可執行文件佔總數的 90.11%,與上季度相比有所增加。
·在所有釣魚網站中,「金融證券類」釣魚網站所佔比例最多,佔總數的99%以上,其中銀行為仿冒對象的釣魚網站佔絕大多數,其仿冒類型大多為主頁型。
本文屬於原創文章,如若轉載,請註明來源:勒索軟體「變形術」升級 大規模垃圾郵件瞄準銀行http://safe.zol.com.cn/732/7328909.html
http://safe.zol.com.cn/732/7328909.html safe.zol.com.cn true http://safe.zol.com.cn/732/7328909.html report 4099 近日,一種新型的勒索軟體攻擊了加拿大的努納武特地區,導致該地區政府的所有聯網服務都受到了影響,甚至影響了整個城市居民的生活。在過去的幾個月,工廠遭「劫持」、勒索軟體「復出」出演「變身記」、TA505網絡間諜對銀行發動APT攻擊、阿聯航空「籤證取消」.......