2024年第二季度网络安全威胁报告

亚信安全 网络安全研究院 亚信安全2024年 第二季度 网络安全威胁报告 应急响应中心 -1- 2024年8月 亚信安全 网络安全研究院 前言 《亚信安全2024年第二季度网络安全威胁报告》的发布旨在从一个全面的视角解析当前的网络安全威胁环境。此报告通过详尽梳理和总结2024年第二季度的网络攻击威胁，目的是提供一个准确和直观的终端威胁感知。帮助用户更好地识别网络安全风险，并采取有效的防御策略。如下是报告内容摘要： 2024年第二季度，亚信安全积极应对威胁，共截获了9,896,004个恶意样本，平均每天拦截10万个恶意样本。 2024年第二季度，亚信安全拦截勒索软件攻击共计6,975次，从全球拦截数量分析，沙特阿拉伯位居勒索软件感染数量首位，占比达到33%，其次是印度和巴西。从勒索攻击行业分析，快速消费品行业勒索攻击的数量以27%居首位，其次是科技和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗行业和政府。 勒索团伙更倾向于重塑品牌，节省开发时间和成本，提升功能和效率。同时，勒索软件将目标瞄准ESXi等虚拟化平台，请注意定期更新ESXi和相关软件，及时应用安全补丁。 亚信安全威胁情报中心捕获到多个来自印度方向的APT组织，这些组织频繁针对高校进行网络钓鱼攻击。 “银狐”组织策划并实施了多起商业投毒事件。 亚信安全持续追踪“银狐”组织，发布了“银狐”治理方案。依托于技术、人员和服务，针对“银狐”木马进行事前风险排查，事中应急处置和事后安全加固。 亚信安全持续致力于治理勒索软件问题，推出了勒索攻击演练服务。通过分析历年勒索攻击事件，提取不同勒索团伙在勒索各阶段常用的攻击手段，孵化出一系列勒索攻击场景，通过模拟勒索攻击的方式，以此验证客户针对于勒索攻击不同阶段的防御能力。 亚信安全 网络安全研究院 目录 前言.-2- 目录.............................................................................................-3-2024年第二季度网络安全威胁分析.........................................-4- 一、2024年第二季度平均每天截获将近10万个恶意样本.............................................-4- 二、勒索攻击态势分析........................................................................................................-6- 三、“银狐”再现！发现多起商业投毒事件.......................................................................-16- 四、APT组织频繁针对高校进行钓鱼攻击.......................................................................-30- 2024年第二季度网络安全威胁治理.......................................-45- 一、银狐治理方案..............................................................................................................-45- 二、勒索攻击演练服务......................................................................................................-48- 2024年第二季度网络安全数据分析.......................................-50- 一、病毒拦截信息统计......................................................................................................-50- 二、勒索软件信息统计......................................................................................................-51- 三、挖矿病毒信息统计......................................................................................................-53- 四、漏洞攻击拦截统计......................................................................................................-55- 亚信安全 网络安全研究院 2024年第二季度网络安全威胁分析 一、2024年第二季度平均每天截获将近10万个恶意样本 2024年第二季度，亚信安全积极应对威胁，共截获了9,896,004个恶意样本，平均每天拦截10万个恶意样本。这些恶意样本包括各种恶意软件、病毒、木马等，它们的目标是危害个人用户、企业组织和公共机构的计算机系统和数据。与上个季度相比，第一季度拦截的恶意样本数量有所减少。这表明随着技术的进步和安全意识的增强，亚信安全的客户能够更加有效地抵御恶意攻击活动。 尽管如此，数字威胁的不断演变使安全专家们不得不保持警惕，并持续开发出更强大的防御手段。这需要密切关注新的攻击技术和威胁趋势，并及时采取相应措施，例如实时监控、网络流量分析、威胁情报共享等，以提前发现并遏制恶意样本的传播。 病毒检测情况 14,100,000 13646358 12190518 12,100,000 10,100,000 9011700 8,100,000 6927606 6052271 6,100,000 5068724 4,100,000 4282250 3642615 2679237 2056388 24612842365997 2,100,000 100,000 【2023年7月--2024年6月恶意样本月拦截数量图】 从恶意样本检测类型来看TROJ(木马程序)以51%的比重位居首位，其次是PE(感染型病毒)、Mal(恶意软件)、Adware(广告软件)和WORM(蠕虫病毒)。这些病毒类型有其特定的功能和攻击方式。木马程序通常伪装成合法软件，秘密执行恶意活动，例如窃取个人信息或允许远程控制。PE感染型病毒利用可执行文件格式来传播恶意代码，常见于通过电子邮件或下载不安全文件时感染系统。广告软件则通过弹出广告来干扰用户，有时还会监控用户行为以投放定向广告。而广义上的Mal包括各类恶意软件，它们可能具有破坏数据、 亚信安全 网络安全研究院 Mal（恶意软件） 8% PE（感染型病毒） 23% Adware（广告软件） 5% WORM（蠕虫病毒）4% HackTool(黑客工具）4% DDOS（分布式拒绝服务攻击） 2% Ransom（勒索病毒）1% TROJ（木马程序） 51% X97M（Excel宏病毒） 1% VBS（VBScript脚本病毒） 1% 窃取凭证或创建后门的功能。蠕虫病毒能自我复制并通过网络传播，它们不依赖于宿主文件，能快速在网络中造成广泛感染。 【2024年第2季度恶意样本检测类型ľOP10】 亚信安全将持续监控病毒发展趋势，继续致力于提供高效而可靠的安全解决方案，以确保用户和企业的数字资产得到充分的保护。同时，用户和组织也需保持警惕，采取必要的网络安全措施，如使用强密码、及时更新软件和系统补丁、谨慎点击可疑链接和附件等，以最大程度地降低受到威胁的风险。 亚信安全 网络安全研究院 二、勒索攻击态势分析 美国 13% 土耳其 7% 巴西 13% 阿拉伯联合酋长国 5% 南非 5% 西班牙 4% 马来西亚 3% 墨西哥 2% 印度 15% 沙特阿拉伯 33% 2024年第二季度，亚信安全拦截勒索攻击共计6,975次，较上一季度拦截攻击数量有所减少。从全球拦截数量看，沙特阿拉伯位居勒索软件感染数量首位，占比达到33%，其次是印度和巴西。 【2024第2季度勒索软件全球感染国家分布】 政府 12% 医疗 10% 金融 9% 银行 7% 科技 13% 传媒 6% 房地产 6% 快速消费品 27% 制造业 5% 通讯 5% 本季度，全球多个国家的不同行业遭遇了勒索团伙攻击。其中，快速消费品行业勒索攻击的数量以27%居首位，其次是科技和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗行业和政府。 【2024第2季度勒索软件全球攻击行业分布】 亚信安全 网络安全研究院 勒索团伙攻击事件分析 除了分析感染国家和感染行业的分布，我们还对本季度的勒索攻击事件进行了深入研究。我们观察到，这些攻击背后的勒索团伙不仅包括新兴的团伙，还有包括一些“老牌”团伙再次浮现。我们详细梳理了五个典型的勒索案例，深入分析了这些勒索攻击事件背后的团伙，揭露了他们的攻击手法，并探讨了他们的未来发展趋势。这样的分析帮助我们更好地理解勒索软件的演变，以及制定有效的防护策略。 RansomHub勒索软件：从Knight到新一代威胁的演变 Ransomhub勒索团伙是一个新兴的勒索软件组织，主要以勒索金钱为目的。自2024年进入公众视野以来，已入侵了数十家企业和机构，涵盖政府、能源、金融、医疗、教育等多个领域，其主要目标主要集中在欧美地区。该勒索团伙自2月份开始运作以来，至少有45个组织成为其受害者。 今年6月初，RansomHub组织在其泄密网站上发布了消息，声称其掌握了FrontierCommunications超过200万用户的敏感数据。该团伙曾花费两个多月的时间试图向Frontier提出勒索要求，但始终未得到任何回应。 RansomHub勒索组织在其暗网Tor数据泄露站点上公布美国西部最大的牛肉生产商之一HARRIS公司成为其受害者，声称窃取了该组织的500GB的数据信息，并将于近日公开所有信息。 RansomHub勒索团伙在其暗网Tor数据泄露站点上公布GBRICAMBI备件生产商成为其受害者，声称窃取了超过400GB的数据，并发布了可证明其攻击的员工身份证件照片。据悉，GBRicambi于1962年成立，如今已成为意大利在农业机械和土木工程备件和生产领域的领导者。 研究人员通过分析发现，RansomHub是一种新的勒索软件即服务（RaaS），其很可能是旧Knight勒索软件的更新和更名版本。今年2月，Knight勒索组织决定关闭其运营，并在地下论坛出售源代码，因此，研究人员推测可能是RansomHub勒索购买了Knight源代码并对其进行了更新。 亚信安全 网络安全研究院 【RansomHub勒索信】 RansomHub与Knight两个勒索的有效负载都是用Go语言编写的，并使用独特的混淆技术，其中每个重要字符串都使用唯一的密钥进行编码，并在运行时进行解码。这两只勒索的源代码重叠程度很高，因此很难区分它们。在许多情况下，只能通过查看数据泄漏站点的嵌入式链接来确定。 RansomHub勒索团伙利用Zerologon漏洞(CVE-2020-1472)获得了初始访问权限，该漏洞可允许攻击者获得域管理员权限并控制整个域。在获得初始访问权限后，攻击者在部署勒索软件之前使用了多种工具，如：使用Atera和Splashtop工具进行远程访问，使用NetScan工具发现和检索有关网络设备的信息。另外，RansomHub有效负载利用iisre