2024年第一季度安全威胁报告

亚信安全2024年 第一季度 网络安全威胁报告 应急响应中心2024年5月 前言 《亚信安全2024年第一季度网络安全威胁报告》的发布旨在从一个全面的视角解析当前的网络安全威胁环境。此报告通过详尽梳理和总结2024年第一季度的网络攻击威胁，目的是提供一个准确和直观的终端威胁感知。帮助用户更好地识别网络安全风险，并采取有效的防御策略。如下是报告内容摘要： ➢2024年第一季度，亚信安全积极应对威胁，共截获了8,378,240个恶意样本，平均每天拦截9万个恶意样本。 ➢2024年第一季度，亚信安全拦截勒索软件攻击共计12,603次，从全球拦截数量分析，科威特位居勒索软件感染数量首位，占比达到36%，其次是土耳其和阿拉伯联合酋长国。从勒索攻击行业分析，全球银行业以29%的比重居首位，其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗和通信行业。 ➢漏洞利用依然是勒索行为的主要攻击手段。同时，勒索软件越来越倾向于进行跨平台攻击，其使用的加密技术也在持续提升。 ➢“银狐”组织通过即时通信软件和钓鱼邮件向财税相关人员发动定向攻击。 ➢亚信安全持续追踪“银狐”组织，发布了“银狐”治理方案。依托于技术、人员和服务，针对“银狐”木马进行事前风险排查，事中应急处置和事后安全加固。 ➢在攻防演练即将到来之际，亚信安全重磅发布攻防演练解决方案3.0。以攻击者视角评估企业暴露的外部攻击面，协助摸清家底、及时收敛外部风险资产、排查敏感数据泄密风险。模拟入侵攻击行为，验证现有安全防护体系的防护能力，包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护等方面。 ➢亚信安全勒索攻击演练服务重磅发布。亚信安全通过分析历年勒索攻击事件，提取不同勒索团伙在勒索各阶段常用的攻击手段，孵化出一系列勒索攻击场景，通过模拟勒索攻击的方式，以此验证客户针对于勒索攻击不同阶段的防御能力。 目录 前言.............................................................................................-2- 目录.............................................................................................-3- 2024年第一季度网络安全威胁分析.........................................-4- 一、2024年第一季度共拦截838万个恶意样本...............................................................-4-二、勒索攻击态势分析........................................................................................................-6-三、“银狐”组织利用财税钓鱼发动定向攻击...................................................................-17-四、卷王“银狐”进化成“树狼”...........................................................................................-25-五、恶意软件伪装成名单册进行攻击..............................................................................-30- 2024年第一季度网络安全威胁治理.......................................-35- 一、银狐治理方案发布......................................................................................................-35-二、攻防演练解决方案3.0重磅发布...............................................................................-38-三、勒索攻击演练服务重磅发布......................................................................................-40- 2024年第一季度网络安全数据分析.......................................-42- 一、病毒拦截信息统计......................................................................................................-42-二、勒索软件信息统计......................................................................................................-43-三、挖矿病毒信息统计......................................................................................................-45-四、漏洞攻击拦截统计......................................................................................................-47- 2024年第一季度网络安全威胁分析 一、2024年第一季度共拦截838万个恶意样本 2024年第一季度，亚信安全积极应对威胁，共截获了8,378,240个恶意样本，平均每天拦截9万个恶意样本。这些恶意样本包括各种恶意软件、病毒、木马等，它们的目标是危害个人用户、企业组织和公共机构的计算机系统和数据。与上个季度相比，第一季度拦截的恶意样本数量有所减少。这表明随着技术的进步和安全意识的增强，亚信安全的客户能够更加有效地抵御恶意攻击活动。 尽管如此，数字威胁的不断演变使安全专家们不得不保持警惕，并持续开发出更强大的防御手段。这需要密切关注新的攻击技术和威胁趋势，并及时采取相应措施，例如实时监控、网络流量分析、威胁情报共享等，以提前发现并遏制恶意样本的传播。 从恶意样本检测类型来看TROJ(木马程序)以57%的比重位居首位，其次是PE(感染型病毒)、Adware(广告软件)、Mal(恶意软件)和WORM(蠕虫病毒)。这些病毒类型有其特定的功能和攻击方式。木马程序通常伪装成合法软件，秘密执行恶意活动，例如窃取个人信息或允许远程控制。PE感染型病毒利用可执行文件格式来传播恶意代码，常见于通过电子邮件或下载不安全文件时感染系统。广告软件则通过弹出广告来干扰用户，有时还会监控用户行为以投放定向广告。而广义上的Mal包括各类恶意软件，它们可能具有破坏数据、 窃取凭证或创建后门的功能。蠕虫病毒能自我复制并通过网络传播，它们不依赖于宿主文件，能快速在网络中造成广泛感染。 亚信安全将持续监控病毒发展趋势，继续致力于提供高效而可靠的安全解决方案，以确保用户和企业的数字资产得到充分的保护。同时，用户和组织也需保持警惕，采取必要的网络安全措施，如使用强密码、及时更新软件和系统补丁、谨慎点击可疑链接和附件等，以最大程度地降低受到威胁的风险。 二、勒索攻击态势分析 2024年第一季度，亚信安全拦截勒索攻击共计12,603次，较上一季度拦截攻击数量有所减少。从全球拦截数量看，科威特位居勒索软件感染数量首位，占比达到36%，其次是土耳其和阿拉伯联合酋长国。 本季度，全球多个国家的不同行业遭遇了勒索团伙攻击。其中，银行业遭遇勒索攻击的数量以29%居首位，其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗和通信行业。 勒索团伙攻击事件分析 除了分析感染国家和感染行业的分布，我们还对本季度的勒索攻击事件进行了深入研究。我们观察到，这些攻击背后的勒索团伙不仅包括新兴的团伙，还有包括一些“老牌”团伙再次浮现。我们详细梳理了五个典型的勒索案例，深入分析了这些勒索攻击事件背后的团伙，揭露了他们的攻击手法，并探讨了他们的未来发展趋势。这样的分析帮助我们更好地理解勒索软件的演变，以及制定有效的防护策略。 LockBit新版本LockBit-NG-Dev勒索 自2020年初开始运营RaaS组织的LockBit已发展成为勒索软件生态圈中最大的RaaS组织之一，该组织目前已造成数千名受害者，是迄今为止对金融行业造成最大威胁的勒索组织。LockBit勒索团伙使用联盟模式运营，在协商并支付赎金后，收益在开发人员及其关联公司之间分配。LockBit通常收取20%的赎金份额，其余80%归负责勒索软件攻击的联盟成员所有。 LockBit以创新而闻名，其发布了多个版本的勒索软件，从最初的v1（2020年1月）到LockBit 2.0（2021年6月开始），再到LockBit 3.0（从2022年3月开始）。勒索团伙引入了LockBit Linux来实现对Linux和VMWare ESXi系统的攻击。近日，我们发现了LockBit新版本LockBit-NG-Dev，该版本是在今年2月19日LockBit团伙被捣毁后发布的，说明LockBit勒索团伙正在试图卷土重来。 该版本与以往的LockBit版本有所不同，采用了.NET编程语言并配合CoreRT编译，这使得它能在多个操作系统上运行。为了逃避静态检测，其使用MPRESS进行打包。除此之外，新版本具有多种加密模式，包括"快速"、"间歇"、"全加密"三种，其可以根据文件扩展名配置执行不同的加密模式。 ⚫快速加密：只加密文件的第一个0x1000字节。⚫间歇性加密：根据配置加密文件的特定部分。⚫全加密：加密整个文件。 LockBit-NG-Dev使用AES算法加密文件，并使用嵌入的RSA公钥加密AES密钥。AES密钥是为每个要加密的文件随机生成的。其将被加密文件进行随机命名，以增加数据恢复的难度。此外，它还配备了自删除机制，可以通过将LockBit文件内容覆盖为零字节来实现。 善于利用Web应用漏洞的TellYouthePass勒索 2024年第一季度，研究人员监测到数千台运行财务管理服务的计算机设备被植入勒索软件。经关联分析，我们可以确认这一波攻击的来源为TellYouThePass老牌勒索家族。该家族最早于2019年3月出现，惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对 暴 露 于 网 络 上 并 存 在 有 漏 洞 的 机 器 发 起 攻 击 。 其 曾 经 使 用"永 恒 之 蓝"系 列 漏 洞 、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。利用Web应用漏洞对运行应用的服务器发起勒索攻击是该勒索的典型特征。 Tellyouthepass勒索曾多次占据国内勒索软件流行榜的榜首位置。2023年，该勒索团伙发动了3轮较大规模的攻击，包括针对NC服务器勒索攻击，文档安全管理系统攻击和针对医药系统攻击，该系统常用于医药行业的智能仓储管理系统，具备库存盘点、库存对账等功能。黑客攻入该系统并投递勒索病毒，会导致系统中的库存数据库、商品标签等文件被加密，对部署该系统企业商户的数据及财产安全造成巨大威胁。 2024年初，Tellyouthepass又开始发动新一轮针对财务电脑的攻击，此次攻击导致众多财务电脑中招，中招电脑的数据库与文