2024 年 8 月頭號惡意軟件：RansomHub 霸榜，Meow 勒索軟件肆虐

Check Point 的最新威脅指數(shù)報告顯示，RansomHub 繼續(xù)位居榜首，Meow 勒索軟件因其新型攻擊手段和強(qiáng)大破壞力而風(fēng)頭漸起。

2024 年 9 月 ，領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商 Check Point® 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 8 月《全球威脅指數(shù)》報告。該指數(shù)報告顯示，勒索軟件仍占主導(dǎo)地位，RansomHub

依然是頭號勒索軟件團(tuán)伙。這一勒索軟件即服務(wù) (RaaS) 變體的前身是 Knight 勒索軟件，自更名以來便快速蔓延，在全球范圍內(nèi)攻擊了 210 多家受害者。與此同時，Meow 勒索軟件風(fēng)頭漸起，攻擊重點從文件加密轉(zhuǎn)向在數(shù)據(jù)泄露市場上售賣被盜數(shù)據(jù)。

上月，RansomHub 鞏固了其作為頭號勒索軟件威脅的地位。這種 RaaS 操作利用復(fù)雜的加密技術(shù)，針對 Windows、macOS、Linux 等系統(tǒng)，尤其是 VMware ESXi 環(huán)境展開猛烈攻擊。

8 月份，Meow 勒索軟件風(fēng)頭漸起，首次躋身主要勒索軟件排行榜第二位。Meow 是已知 Conti 勒索軟件的變體，現(xiàn)已將攻擊重點從文件加密轉(zhuǎn)向數(shù)據(jù)提取，并將其勒索網(wǎng)站轉(zhuǎn)變?yōu)閿?shù)據(jù)泄露市場。在這種模式下，被盜數(shù)據(jù)被售賣給出價最高者，這不同于傳統(tǒng)的勒索軟件敲詐策略。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“RansomHub 成為 8 月份的頭號勒索軟件威脅，這充分說明勒索軟件即服務(wù)的復(fù)雜性與日俱增。各機(jī)構(gòu)需要提高警惕。Meow 勒索軟件的興起凸顯了向數(shù)據(jù)泄露市場的轉(zhuǎn)變，即越來越多的被盜數(shù)據(jù)被售賣給第三方，而不僅僅是發(fā)布到網(wǎng)上，這是勒索軟件運營組織的一種新型牟利方式。隨著這些威脅持續(xù)演變，企業(yè)必須時刻保持警惕，采取主動安全防護(hù)措施，并不斷加強(qiáng)防御，以有效應(yīng)對日益復(fù)雜的攻擊�！�

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件，全球 8% 的機(jī)構(gòu)受到波及，其次是 Androxgh0st 和 Phorpiex，分別影響了全球 5% 和 5% 的機(jī)構(gòu)。

1.  FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

2.  Androxgh0st - Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3. ↑ Phorpiex - Phorpiex 是一種僵尸網(wǎng)絡(luò)，因通過垃圾郵件攻擊活動分發(fā)其他惡意軟件家族并助長大規(guī)模性勒索攻擊活動而廣為人知。

最常被利用的漏洞  

1.  HTTP 載荷命令行注入（CVE-2021-43936，CVE-2022-24086）– 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目標(biāo)計算機(jī)上執(zhí)行任意代碼。 

2.  Zyxel ZyWALL 命令注入 (CVE-2023-28771) - 這是一種存在于 Zyxel ZyWALL 中的命令注入漏洞。遠(yuǎn)程攻擊者可利用該漏洞在受影響系統(tǒng)上執(zhí)行任意操作系統(tǒng)命令。

3.  HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）- HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請求的其他信息。遠(yuǎn)程攻擊者可能會使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運行任意代碼。 

主要移動惡意軟件

本月，Joker 位列最猖獗的移動惡意軟件榜首，其次是 Anubis 和 Hydra。

1.  Joker – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費服務(wù)。

2.  Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

3. ↑ Hydra – Hydra 是一種銀行木馬，可通過要求受害者啟用高危權(quán)限來在每次入侵銀行應(yīng)用時竊取銀行憑證。

主要勒索軟件團(tuán)伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。本月，RansomHub 是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的 15%，其次是 Meow 和 Lockbit3，分別占 9% 和 8%。

1. RansomHub – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動，以及采用的復(fù)雜加密方法而臭名昭著。

2. Meow - Meow 勒索軟件是一種基于 Conti 勒索軟件的變體，因能夠加密受感染系統(tǒng)上的各種文件而廣為人知。它會在文件名后添加“.MEOW”擴(kuò)展名，然后留下一封名為“readme.txt”的勒索信，要求受害者通過電子郵件或 Telegram 聯(lián)系攻擊者，談判贖金支付事宜。Meow 勒索軟件通過各種向量傳播，包括未受保護(hù)的 RDP 配置、垃圾電子郵件及惡意下載，并使用 ChaCha20 加密算法來鎖定文件，不包括“.exe”和文本文件。

3. Lockbit3 – LockBit 是一種以 RaaS 模式運行的勒索軟件，于 2019 年 9 月首次發(fā)現(xiàn)。它主要瞄準(zhǔn)各個國家和地區(qū)的大型企業(yè)和政府機(jī)構(gòu)。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司（www.checkpoint.com.cn）是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團(tuán)隊負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個計算機(jī)安全應(yīng)急響應(yīng)組展開合作。