2024年第二季度网络安全威胁报告

亚信安全2024年 第二季度 网络安全威胁报告 应急响应中心2024年8月 前言 《亚信安全2024年第二季度网络安全威胁报告》的发布旨在从一个全面的视角解析当前的网络安全威胁环境。此报告通过详尽梳理和总结2024年第二季度的网络攻击威胁，目的是提供一个准确和直观的终端威胁感知。帮助用户更好地识别网络安全风险，并采取有效的防御策略。如下是报告内容摘要： ➢2024年第二季度，亚信安全积极应对威胁，共截获了9,896,004个恶意样本，平均每天拦截10万个恶意样本。 ➢2024年第二季度，亚信安全拦截勒索软件攻击共计6,975次，从全球拦截数量分析，沙特阿拉伯位居勒索软件感染数量首位，占比达到33%，其次是印度和巴西。从勒索攻击行业分析，快速消费品行业勒索攻击的数量以27%居首位，其次是科技和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗行业和政府。 ➢勒索团伙更倾向于重塑品牌，节省开发时间和成本，提升功能和效率。同时，勒索软件将目标瞄准ESXi等虚拟化平台，请注意定期更新ESXi和相关软件，及时应用安全补丁。 ➢亚信安全威胁情报中心捕获到多个来自印度方向的APT组织，这些组织频繁针对高校进行网络钓鱼攻击。 ➢“银狐”组织策划并实施了多起商业投毒事件。 ➢亚信安全持续追踪“银狐”组织，发布了“银狐”治理方案。依托于技术、人员和服务，针对“银狐”木马进行事前风险排查，事中应急处置和事后安全加固。 ➢亚信安全持续致力于治理勒索软件问题，推出了勒索攻击演练服务。通过分析历年勒索攻击事件，提取不同勒索团伙在勒索各阶段常用的攻击手段，孵化出一系列勒索攻击场景，通过模拟勒索攻击的方式，以此验证客户针对于勒索攻击不同阶段的防御能力。 目录 前言.............................................................................................-2- 目录.............................................................................................-3- 2024年第二季度网络安全威胁分析.........................................-4- 一、2024年第二季度平均每天截获将近10万个恶意样本.............................................-4-二、勒索攻击态势分析........................................................................................................-6-三、“银狐”再现！发现多起商业投毒事件.......................................................................-16-四、APT组织频繁针对高校进行钓鱼攻击.......................................................................-30- 2024年第二季度网络安全威胁治理.......................................-45- 一、银狐治理方案..............................................................................................................-45-二、勒索攻击演练服务......................................................................................................-48- 2024年第二季度网络安全数据分析.......................................-50- 一、病毒拦截信息统计......................................................................................................-50-二、勒索软件信息统计......................................................................................................-51-三、挖矿病毒信息统计......................................................................................................-53-四、漏洞攻击拦截统计......................................................................................................-55- 2024年第二季度网络安全威胁分析 一、2024年第二季度平均每天截获将近10万个恶意样本 2024年第二季度，亚信安全积极应对威胁，共截获了9,896,004个恶意样本，平均每天拦截10万个恶意样本。这些恶意样本包括各种恶意软件、病毒、木马等，它们的目标是危害个人用户、企业组织和公共机构的计算机系统和数据。与上个季度相比，第一季度拦截的恶意样本数量有所减少。这表明随着技术的进步和安全意识的增强，亚信安全的客户能够更加有效地抵御恶意攻击活动。 尽管如此，数字威胁的不断演变使安全专家们不得不保持警惕，并持续开发出更强大的防御手段。这需要密切关注新的攻击技术和威胁趋势，并及时采取相应措施，例如实时监控、网络流量分析、威胁情报共享等，以提前发现并遏制恶意样本的传播。 从恶意样本检测类型来看TROJ(木马程序)以51%的比重位居首位，其次是PE(感染型病毒)、Mal(恶意软件)、Adware(广告软件)和WORM(蠕虫病毒)。这些病毒类型有其特定的功能和攻击方式。木马程序通常伪装成合法软件，秘密执行恶意活动，例如窃取个人信息或允许远程控制。PE感染型病毒利用可执行文件格式来传播恶意代码，常见于通过电子邮件或下载不安全文件时感染系统。广告软件则通过弹出广告来干扰用户，有时还会监控用户行为以投放定向广告。而广义上的Mal包括各类恶意软件，它们可能具有破坏数据、 窃取凭证或创建后门的功能。蠕虫病毒能自我复制并通过网络传播，它们不依赖于宿主文件，能快速在网络中造成广泛感染。 亚信安全将持续监控病毒发展趋势，继续致力于提供高效而可靠的安全解决方案，以确保用户和企业的数字资产得到充分的保护。同时，用户和组织也需保持警惕，采取必要的网络安全措施，如使用强密码、及时更新软件和系统补丁、谨慎点击可疑链接和附件等，以最大程度地降低受到威胁的风险。 二、勒索攻击态势分析 2024年第二季度，亚信安全拦截勒索攻击共计6,975次，较上一季度拦截攻击数量有所减少。从全球拦截数量看，沙特阿拉伯位居勒索软件感染数量首位，占比达到33%，其次是印度和巴西。 本季度，全球多个国家的不同行业遭遇了勒索团伙攻击。其中，快速消费品行业勒索攻击的数量以27%居首位，其次是科技和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗行业和政府。 勒索团伙攻击事件分析 除了分析感染国家和感染行业的分布，我们还对本季度的勒索攻击事件进行了深入研究。我们观察到，这些攻击背后的勒索团伙不仅包括新兴的团伙，还有包括一些“老牌”团伙再次浮现。我们详细梳理了五个典型的勒索案例，深入分析了这些勒索攻击事件背后的团伙，揭露了他们的攻击手法，并探讨了他们的未来发展趋势。这样的分析帮助我们更好地理解勒索软件的演变，以及制定有效的防护策略。 RansomHub勒索软件：从Knight到新一代威胁的演变 Ransomhub勒索团伙是一个新兴的勒索软件组织，主要以勒索金钱为目的。自2024年进入公众视野以来，已入侵了数十家企业和机构，涵盖政府、能源、金融、医疗、教育等多个领域，其主要目标主要集中在欧美地区。该勒索团伙自2月份开始运作以来，至少有45个组织成为其受害者。 ⚫今年6月初，RansomHub组织在其泄密网站上发布了消息，声称其掌握了FrontierCommunications超过200万用户的敏感数据。该团伙曾花费两个多月的时间试图向Frontier提出勒索要求，但始终未得到任何回应。⚫RansomHub勒索组织在其暗网Tor数据泄露站点上公布美国西部最大的牛肉生产商之一HARRIS公司成为其受害者，声称窃取了该组织的500GB的数据信息，并将于近日公开所有信息。⚫RansomHub勒索团伙在其暗网Tor数据泄露站点上公布GB RICAMBI备件生产商成为其受害者，声称窃取了超过400GB的数据，并发布了可证明其攻击的员工身份证件照片。据悉，GB Ricambi于1962年成立，如今已成为意大利在农业机械和土木工程备件和生产领域的领导者。 研究人员通过分析发现，RansomHub是一种新的勒索软件即服务（RaaS），其很可能是旧Knight勒索软件的更新和更名版本。今年2月，Knight勒索组织决定关闭其运营，并在地下论坛出售源代码，因此，研究人员推测可能是RansomHub勒索购买了Knight源代码并对其进行了更新。 RansomHub与Knight两个勒索的有效负载都是用Go语言编写的，并使用独特的混淆技术，其中每个重要字符串都使用唯一的密钥进行编码，并在运行时进行解码。这两只勒索的源代码重叠程度很高，因此很难区分它们。在许多情况下，只能通过查看数据泄漏站点的嵌入式链接来确定。 RansomHub勒索团伙利用Zerologon漏洞(CVE-2020-1472)获得了初始访问权限，该漏洞可允许攻击者获得域管理员权限并控制整个域。在获得初始访问权限后，攻击者在部署勒索软件之前使用了多种工具，如：使用Atera和Splashtop工具进行远程访问，使用NetScan工具 发现和检 索有关网络设 备的信息 。另外 ，RansomHub有效负 载利用iisreset.exe和iisrstas.exe命令行工具停止所有Internet Information Services(IIS)服务。 BLACKHUNT勒索软件：攻击巴拉圭电信巨头 BLACKHUNT勒索软件最早出现于2022年，该勒索软件因攻击巴拉圭最大的电信运营商而引起了广泛关注。此次攻击影响了云服务和托管服务，导致超过330台服务器被加密，备份也受到了影响。不仅如此，超过300家与该运营商相关联的公司也受到影响。 BlackHunt勒索软件与LockBit有显著的相似之处，这也表明它使用了泄露的Lockbit代码。此外，它还采用了与REvil勒索软件类似的一些技术。BlackHunt采用C++编写，涉及多种技术和功能，如修改进程权限、隐藏其窗口以在后台隐秘运行、检测调试器的存在、以及针对特定文件类型的加密策略。它还通过提供命令行参数来修改其行为，如跳过共享或网络驱动器加密、仅加密网络驱动器、特定文件类型加密等。 BlackHunt勒 索加 密系统中 的文 件， 并 在被 加 密 的文件名 后添加 扩展名“[受害 者ID].[sentafe@rape.lol].Black”，其还会修改桌面背景，并释放两个勒索信文件。 TargetCompany的最新变种：攻击ESXi环境 TargetCompany勒索软件于2021年6月首次被发现。由于其有一个名为“Mallox”的泄漏站点，因此我们也称之为Mallox勒索软件。今年以来，这个勒索团