勒索軟件“變形術”升級 大規模垃圾郵件瞄準銀行

近日,一種新型的勒索軟件攻擊了加拿大的努納武特地區,導致該地區政府的所有聯網服務都受到了影響,甚至影響了整個城市居民的生活。在過去的幾個月,工廠遭“劫持”、勒索軟件“復出”出演“變身記”、TA505網絡間諜對銀行發動APT攻擊、阿聯酋航空“簽證取消”......這些出自《亞信安全2019年第三季度安全報告》的真實案例,在網絡安全的“大熒幕”上爭相上演,要比阿諾的“終結者T-800”還有想象力。

勒索病毒也走“少而美”路線

第三季度報告依然對勒索病毒發出了“紅色警報”。雖然第三季度亞信安全檢測到的勒索病毒數量呈現出遞減態勢,但是這些勒索病毒的功能設計上卻越來越復雜。在與安全軟件的持續對抗中,勒索軟件正持續、快速更新變種,并采用“無文件”等先進的技術手段,以更好地隱藏自己。其中,本季度被截獲的 Sodinokibi 勒索軟件就利用了“無文件”方式來傳播,該勒索軟件會通過漏洞注入惡意的 PowerShell 腳本,然后下載加密的 Sodinokibi 勒索軟件主體文件到系統內存中,最終完成勒索行為。

被該勒索軟件修改的用戶計算機桌面

在第三季度攔截勒索軟件 TOP 10 中,排名第一位的是 RANSOM_WCRY,占到總攔截次數的 90%。該勒索軟件并不新鮮,屬于利用了“永恒之藍”攻擊程序的WannaCry/Wcry勒索軟件,盡管這一勒索軟件家族“出道”已經有幾年時間,但是依然憑借著其成熟的攻擊技術、成熟的商業化模式、廣泛的變種,從而獲得了犯罪分子的普遍青睞。

2019年第3季度勒索軟件檢測類型TOP10

第三季度報告與第二季度存在類似的一些狀況,本季度勒索軟件感染的高發地是巴西、中國與印度,高發行業則是制造業、保險這兩個行業,這些地區與行業的共同點在于,其網絡安全防護能力都相對薄弱,而且終端設備數量龐大,更容易被勒索軟件找到可乘之機。 安全專家提醒用戶:要防范勒索軟件,養成良好的網絡安全習慣,迅速修補漏洞并部署全面的勒索軟件防護解決方案,顯然至關重要。

垃圾郵件攻擊瞄準金融機構

在本季度,亞信安全截獲了針對中國、加拿大和印度發動的垃圾郵件攻擊活動,此次攻擊活動主要目的是傳播 Trickbot 銀行木馬。該木馬除了盜竊用戶信息外,還會刪除可移動磁盤和網絡驅動器中的特定擴展名文件,使用病毒副本代替這些文件。Trickbot 銀行木馬最新變種通過帶有附件的垃圾郵件傳播,其會偽裝成為偽裝成廣告提供商的訂閱通知,并誘導用戶點擊附件中帶有宏的 Word 文檔。

此外,在本季度還截獲了大量針對亞洲銀行發動的垃圾郵件攻擊活動,這些郵件使用“阿聯酋航空 NBD 電子聲明”或者“簽證取消”等主題誘騙用戶點擊郵件附件,郵件附件是嵌入惡意程序的 Excel 文件。運行后,其會下載 ServHelper 加載器,并借此傳播不法分子事先準備好的惡意軟件。

亞信安全截獲的攻擊亞洲銀行的垃圾郵件樣本

在報告中亞信安全特別指出:“金融機構一向是垃圾郵件瞄準的重點行業,網絡不法分子慣用社交工程攻擊的方式,以引誘受害者上鉤。我們建議金融機構通過部署網關類產品作為第一道防線,在源頭上進行阻斷,并部署桌面防護產品,以有效阻止威脅到達客戶端。此外,人員安全意識培訓也是必不可少的環節,需要教育員工不要輕易打開來歷不明的郵件,更不要輕易下載郵件中的附件。”

挖礦病毒持續肆虐

在前一段時間亞信安全發布的挖礦病毒半年報告中,指出挖礦病毒隨著數字貨幣價格的高漲出現了新一波的熱度,其傳播與幾款熱門挖礦病毒高度相關。而在第三季度,挖礦病毒“強者恒強”的趨勢依然體現的非常明顯,“WORM_COINMINER”這一挖礦病毒占據了挖礦病毒檢測數量的半壁江山。

2019年第3季度挖礦病毒TOP10

本季度,亞信安全截獲了一款新型XMR 挖礦病毒“Coinminer.Linux.MALXMR.UWEJY”,該病毒通過 Redis 未授權訪問漏洞以及 tomcat manager 管理頁面弱口令在內網中進行傳播,并且在 Web 業務中留下后門。挖礦病毒運行后,進程會占滿 CPU 資源,導致電腦卡頓,給業務帶來巨大影響。

隨著近期“區塊鏈”再次變成熱門話題,挖礦病毒很有可能出現一波新的傳播高潮。安全專家提醒用戶需要提升安全防護意識,密切關注病毒的傳播情況,并采用更有效的安全防護措施,以避免被不法分子找到可乘之機。

此外,亞信安全在第三季度監測的安全風險還包括:

·在本季度檢測到的病毒種類中,PE(感染型病毒)的數量在所有檢測病毒類型中所占比重最大,占到總檢測數量的 25%。

·本季度新增數量較多的病毒類型依次為感染型病毒、漏洞利用型病毒、木馬程序、蠕蟲病毒以及黑客工具。

·亞信安全對APK文件的處理數量依舊呈上升趨勢,截止到本季度,安卓 APK 處理數量累計達到 8,779 萬個。

·在通過Web傳播的惡意程序中,“.EXE” 類型的可執行文件占總數的 90.11%,與上季度相比有所增加。

·在所有釣魚網站中,“金融證券類”釣魚網站所占比例最多,占總數的99%以上,其中銀行為仿冒對象的釣魚網站占絕大多數,其仿冒類型大多為主頁型。

601390股票行情