在虹科我們喜歡展望未來，著眼于未來。然而，過去也可以給我們一些寶貴的教訓，特別是在網(wǎng)絡安全方面。2022年是該領域多事之秋，發(fā)生了許多備受矚目的攻擊，包括全面的網(wǎng)絡戰(zhàn)。

在過去一年我們看到的所有威脅中有幾個脫穎而出，這篇文章將涵蓋2022年最危險的七種網(wǎng)絡威脅，順序不分先后。眾所周知，網(wǎng)絡攻擊團隊和惡意軟件類別在任何時候都會出現(xiàn)和消失，但其中大多數(shù)將繼續(xù)構成威脅直到2023年。

LockBit勒索軟件(+泄露的構建器)

LockBit入侵集在2022年非?；钴S，在2019年以ABCD勒索軟件的形式出現(xiàn)后，LockBit已成為最復雜的勒索軟件家族之一，具有強大的惡意軟件功能和蓬勃發(fā)展的附屬計劃。

正是這個聯(lián)屬計劃使LockBit成為如此廣泛的威脅。使用勒索軟件即服務(RaaS)模型，LockBit允許有意愿的各方為自定義雇傭攻擊支付定金。勒索成功后，贖金將在LockBit開發(fā)者和攻擊者之間分配。

橫向移動在勒索軟件家族中很常見，包括LockBit。在第一臺主機被感染后，惡意軟件會自動檢測其他可訪問的主機，并在整個環(huán)境中傳播。

2022年6月，LockBit勒索軟件團伙推出了他們的惡意軟件的最新變種，名為LockBit 3.0，該惡意軟件帶有一個漏洞賞金計劃，獎勵從1000美元到100萬美元不等。該團伙歷來以醫(yī)療保健和教育部門的組織為目標，隨著最新變體的發(fā)布，這種攻擊只會加速。僅在2022年6月，LockBit就聲稱對50起攻擊負責。

Emotet

Emotet是一種銀行特洛伊木馬程序，最早出現(xiàn)在2014年。它主要是通過偽裝來自熟悉品牌的垃圾電子郵件傳播的。這些電子郵件通常包含“您的發(fā)票”或“付款詳情”等消息，以誘騙用戶點擊惡意鏈接。

Emotet具有類似蠕蟲的功能，這使得它可以在連接的計算機之間傳播。這使得它具有極強的破壞性，每次事故的損失超過100萬美元。

此外，Emotet使用技術來防止檢測。值得注意的是，它可以檢測它是否在沙箱環(huán)境(虛擬機)中運行，并將保持非活動狀態(tài)以避免檢測。

在互聯(lián)網(wǎng)絡中，Emotet通過暴力攻擊使用一系列常見密碼進行傳播。這就是為什么使用強密碼保護您的環(huán)境是至關重要的。

Qakbot惡意軟件

Qakbot自2008年以來一直活躍，是一種不斷進化的特洛伊木馬程序，旨在竊取密碼。它通過一個由電子郵件驅動的僵尸網(wǎng)絡傳播，該網(wǎng)絡在活動的電子郵件線程中插入回復。最近，威脅攻擊者開始使用各種技術來避免被發(fā)現(xiàn)，例如：

Zip文件擴展名；

常見文件格式的誘人文件名；

惡意的Excel宏；

Qakbot文件通常包含商業(yè)和金融文檔的典型關鍵字。這增加了感染的可能性，因為用戶更有可能將這些項目視為日常業(yè)務文件或查看新數(shù)據(jù)的機會。組織必須對員工進行培訓，防止打開來自未知或未經(jīng)驗證的發(fā)件人的附件。此外，員工應在輸入憑據(jù)之前驗證URL。

Black Basta勒索軟件

作為一個相對較新的參與者，Black Basta不失時機地成為2022年最危險的勒索軟件團伙之一。它在4月份首次被發(fā)現(xiàn)，到9月份已經(jīng)影響了全球90個知名組織。這些組織大多設在美國，但也有相當數(shù)量的組織設在德國。

短時間內的高感染人數(shù)告訴我們，這次行動組織嚴密，資金充足。Black Basta在選擇目標時更加挑剔，并憑借先進的雙重勒索策略在RAAS市場開辟了一個利基市場。

Black Basta可能是臭名昭著的Conti勒索軟件團伙的重新命名，該團伙在2022年發(fā)動了幾次毀滅性的攻擊，包括對哥斯達黎加政府的一次攻擊，造成了數(shù)百萬人的損失。BlackBasta出現(xiàn)的時機與Conti關閉其業(yè)務的時間相關。勒索軟件最初的感染是通過Qakbot通過電子郵件或惡意Microsoft Office附件傳遞的。

大黃蜂惡意軟件BumbleBee

大黃蜂是一種高度復雜的惡意軟件，主要通過釣魚電子郵件傳播。它與幾個備受矚目的勒索軟件操作有關，包括Conti和Quantum。大黃蜂專門從事隱形，具有幾個規(guī)避功能，包括反虛擬化。

大黃蜂是2022年幾波勒索軟件攻擊的基石。攻擊者使用了不同的技術來分發(fā)惡意軟件。一種是包含ISO文件的釣魚電子郵件，一旦打開附件，該文件就會執(zhí)行大黃蜂。

讓大黃蜂特別危險的是它的不斷進化，使它變得不可預測。惡意軟件根據(jù)所處環(huán)境的類型使用不同的有效負載。例如，惡意軟件會在共享同一個Active Directory服務器的系統(tǒng)中丟棄一個復雜的攻擊后工具，如Cobalt Strike。相反，在屬于工作小組的系統(tǒng)上，大黃蜂通常會拋棄銀行和其他信息竊取者。

Raccoon Stealer v2

2022年3月，浣熊偷竊者的管理員宣布了該項目第一個版本的結束。兩個月后，也就是5月，Raccoon Stealer v2發(fā)行了，案例數(shù)量很多，并收集了超過5000萬份憑據(jù)。

Raccoon Stealer每月花費200美元，為網(wǎng)絡犯罪分子提供了一個從受害者電腦中獲取和竊取敏感數(shù)據(jù)的工具。分支機構主要通過SEO優(yōu)化網(wǎng)站推廣免費或破解軟件來傳播信息竊取者。

當受害者點擊這些網(wǎng)站上的下載鏈接時，他們會被重定向到另一個網(wǎng)站，并指示下載受密碼保護的RAR文件。打開下載的文件會導致受害者的設備執(zhí)行Raccoon Stealer v2。

Royal 勒索軟件

Royal勒索軟件被列為2022年最大的威脅之一，很大程度上是因為它仍然非?；钴S。Royal勒索軟件于2022年1月出現(xiàn)，全年都在造成破壞，最近幾個月的活動驚人地增加。更令人震驚的是，他們無情地針對醫(yī)療保健組織。

盡管Royal是一個相對較新的行動，但根據(jù)他們的戰(zhàn)術和技術，背后的威脅參與者很可能非常有經(jīng)驗。他們的贖金要求從25萬美元到200萬美元不等。這封勒索信的標題是“Readme.txt”。

Royal惡意軟件是用C++編寫的64位Windows可執(zhí)行文件。它是通過命令行啟動的，需要真人在獲得目標環(huán)境的訪問權限后觸發(fā)感染。

Royal勒索軟件傳播的一些主要方式是通過以下方式提供的惡意鏈接：

惡意廣告

虛假論壇頁面

博客評論

釣魚電子郵件

Royal勒索軟件刪除系統(tǒng)上的卷影副本，并利用OpenSSL加密庫按照AES標準對文件進行加密。與其他類似的惡意軟件不同，該軟件會在受影響的文件后附加“.Royal”擴展名。

虹科網(wǎng)絡安全評級

威脅格局在不斷演變和變化，虹科網(wǎng)絡安全評級易于閱讀的A-F評級等級使其更容易掃描攻擊者可能利用的威脅和漏洞。

虹科網(wǎng)絡安全評級提供了對十個風險因素的可見性，包括IP聲譽、終端安全、網(wǎng)絡安全、Web應用安全、DNS運行狀況、修補節(jié)奏、黑客通訊、信息泄露和社會工程。由于我們持續(xù)監(jiān)控風險并發(fā)送可操作的警報，因此IT部門可以對新的風險做出實時響應。

虹科網(wǎng)絡安全評級還提供事件響應解決方案。如果您了解到對手訪問了您的數(shù)據(jù)，請立即聯(lián)系我們。發(fā)現(xiàn)后的最初24小時是至關重要的。我們會找到根本原因并消除它。之后，我們的詳細取證服務可以發(fā)現(xiàn)所有被泄露的信息。我們的團隊將為您提供以下專業(yè)知識：

阻止其他數(shù)據(jù)丟失

修復漏洞并實施防止進一步攻擊的措施

收集和保存法院可接受的證據(jù)

記錄并記錄事件和過程

協(xié)助執(zhí)法部門/監(jiān)管機構的參與

根據(jù)您的行業(yè)要求通知受影響的各方