Emotet被摧毀,TrickBot爬上來
在 CheckPoint 的月度跟蹤中,TirckBot 在 2021 年 2 月的威脅指數(shù)超過了 Emotet。TirckBot 增大了惡意郵件投遞活動的強度,同時 Emotet 被聯(lián)手拆除在全球范圍內(nèi)陷入沉寂。使得 TirckBot 一舉躍升為 CheckPoint 監(jiān)測的最活躍惡意軟件榜單首位。
僅在一個月前,TirckBot 只能在榜單上排名第三,而在 2020 年整體排名為第四,那時的第一名被 Emotet 牢牢占據(jù)。但是進入 2021 年 1 月份,在全球執(zhí)法部門的聯(lián)合行動下,Emotet 的攻擊基礎(chǔ)設施被大量拆除。網(wǎng)絡犯罪者也從 Emotet 轉(zhuǎn)向了 TrickBot,這二者都常作為第一階段的 Loader 來下載其他惡意軟件。
“即使拆除了排名第一的惡意軟件網(wǎng)絡,仍然有許多其他惡意軟件對全球網(wǎng)絡構(gòu)成威脅。組織必須擁有強大的安全系統(tǒng),才能防止受到網(wǎng)絡攻擊,并最大程度地降低其風險” CheckPoint 在報告中表示。
但 CheckPoint 表示,現(xiàn)在的 TrickBot 還遠沒有達到之前 Emotet 的威脅程度。“盡管暫時還沒有其他惡意軟件能夠達到 Emotet 的規(guī)模,但是 Emotet 留下的空白會被其他威脅補位,對網(wǎng)絡和環(huán)境仍然構(gòu)成極高的風險”。
TrickBot 活動
TrickBot 在二月發(fā)起了針對保險和法律行業(yè)的攻擊,誘使用戶點擊執(zhí)行惡意的 .ZIP 文件。網(wǎng)絡犯罪分子正在尋找 Emotet 的接班人,而 TrickBot 可能是進入視線范圍內(nèi)的好選擇。
2020 年 TrickBot 針對通用醫(yī)療服務發(fā)起了多次攻擊,進入網(wǎng)絡后竊取重要數(shù)據(jù)并投遞 Ryuk 勒索軟件。輝煌戰(zhàn)績證明了 TrickBot 的能力,與此同時 TrickBot 還提供了很強的靈活性。
2016 年 TrickBot 剛剛問世時是為了竊取銀行密碼,其高度模塊化和躲避檢測的能力都為人稱道。2020 年 12 月,TrickBot 又更新了被命名為 TrickBoot 的新模塊來感染系統(tǒng)的 UEFI/BIOS 固件。
卷土重來
微軟在去年十月主導的拆除行動嚴重摧毀了 TrickBot 的根基,一度 TrickBot 陷入基本停擺。顯然,TrickBot 正卷土重來。
微軟副總裁 Tom Burt 表示:“微軟通過法院授權(quán)與全球電信運營商的合作,從技術(shù)上摧毀了 TrickBot”,“由于摧毀了其關(guān)鍵攻擊基礎(chǔ)設施,TrickBot 的運營方已經(jīng)不能再發(fā)起新的感染或者勒索了”。
二月,排名第二的惡意軟件是 XMRing,該惡意軟件正在偽裝成廣告攔截工具但進行門羅幣挖礦和勒索加密的雙重打擊。安全公司卡巴斯基表示,過去的兩個月內(nèi) XMRing 共感染了超過 2 萬多名用戶。
漏洞
根據(jù) CheckPoint 的報告,在 2 月份被發(fā)現(xiàn)攻擊者利用最多的漏洞是 “Web Server Exposed Git Repository Information Disclosure”,該漏洞影響了全球 48% 的公司。其次是 “HTTP Headers Remote Code Execution”(CVE-2020-13756),該漏洞影響了全球 46% 的公司。“MVPower DVR Remote Code Execution” 漏洞則排名第三,影響了全球 45% 的公司。
移動惡意軟件
排名第一的是 Hiddad,其次是 xHelper 與 FurBall 遠控(MRAT)。
總結(jié)
除了定期修補漏洞、定期更新系統(tǒng)進行安全更新,CheckPoint 還建議對用戶進行培訓,這是保護任何組織免受網(wǎng)絡安全侵害的最佳方法。
參考來源:Threatpost
