本文來自微信公眾號“嘶吼專業(yè)版”,作者/xiaohui。
金融威脅統(tǒng)計
在2023年第二季度,卡巴斯基解決方案阻止了旨在從95546個獨(dú)立用戶的計算機(jī)上竊取銀行賬戶資金的惡意軟件。
2023年第二季度受金融惡意軟件攻擊的用戶數(shù)量
金融惡意軟件攻擊的地理分布
為了評估和比較全球范圍內(nèi)被銀行木馬和ATM/POS惡意軟件攻擊的風(fēng)險,對于每個國家和地區(qū),研究人員計算了在報告期內(nèi)面臨此威脅的卡巴斯基用戶占該國家或地區(qū)所有卡巴斯基產(chǎn)品用戶的百分比。
受攻擊用戶比例排名前10的國家和地區(qū)
十大銀行惡意軟件家族
勒索軟件季度趨勢
MOVEit傳輸漏洞被利用
Cl0p勒索軟件組織開始大量利用MOVEit傳輸漏洞,MOVEit Transfer是一種流行的目標(biāo)管理文件傳輸(MFT)解決方案,主要在美國的數(shù)千家企業(yè)中使用,包括政府機(jī)構(gòu)、銀行、軟件供應(yīng)商和其他組織。5月下旬,攻擊者利用了當(dāng)時應(yīng)用程序中的零日漏洞,成功地攻擊了許多公司的網(wǎng)絡(luò)并獲得了機(jī)密數(shù)據(jù)的訪問權(quán)限。在這一系列攻擊中,攻擊者利用的MOVEit Transfer中的漏洞后來被分配為標(biāo)識符CVE-2023-34362、CVE-2023235708和CVE-2023-35036。
對市政組織、教育和醫(yī)院機(jī)構(gòu)的攻擊
第二季度出現(xiàn)了大量關(guān)于市政機(jī)構(gòu)、醫(yī)院和大學(xué)遭受勒索軟件攻擊的報道。在這些網(wǎng)絡(luò)被攻擊和數(shù)據(jù)被盜的企業(yè)中,有路易斯安那州的機(jī)動車輛辦公室(OMV)和俄勒岡州的司機(jī)和機(jī)動車輛服務(wù)部(DMV)。聲稱對此次攻擊負(fù)責(zé)的Cl0p組織利用了上述MOVEit漏洞。
據(jù)聯(lián)邦調(diào)查局稱,Bl00dy組織在5月份利用PaperCut中的CVE-2023-27350漏洞攻擊了教育機(jī)構(gòu),PaperCut是數(shù)萬家企業(yè)使用的打印管理軟件。
某些勒索軟件組織曾表示,他們不會以這類組織為目標(biāo),但許多網(wǎng)絡(luò)組織顯然未能堅(jiān)持他們宣稱的原則。
雙重勒索軟件
本節(jié)介紹從事所謂“雙重勒索”的勒索軟件組織,即竊取和加密機(jī)密數(shù)據(jù)。這些組織大多以大公司為目標(biāo),并經(jīng)常維護(hù)DLS(數(shù)據(jù)泄露網(wǎng)站),在那里發(fā)布他們攻擊過的組織的列表。2023年第二季度最繁忙的勒索軟件:
2023年第二季度最多產(chǎn)的勒索軟件組織
上圖顯示了每個組織的受害者所占的比例。
新迭代惡意軟件的數(shù)量
在2023年第二季度,研究人員檢測到15個新的勒索軟件家族和1917個迭代的惡意軟件。
2022年第二季度至2023年第二季度迭代數(shù)量
被勒索軟件攻擊的用戶數(shù)量
在2023年第二季度,卡巴斯基產(chǎn)品和技術(shù)保護(hù)了57612名用戶免受勒索軟件攻擊。
2023年第二季度被勒索軟件攻擊的用戶數(shù)量
受攻擊用戶的地理位置
十大最常見的勒索家族
統(tǒng)計數(shù)據(jù)基于卡巴斯基產(chǎn)品的檢測結(jié)果
挖礦軟件
挖礦軟件迭代數(shù)量
在2023年第二季度,卡巴斯基解決方案檢測到2184個新迭代的挖礦軟件。
2023年第二季度挖礦軟件迭代數(shù)量
被挖礦軟件攻擊的用戶數(shù)量
在第二季度,研究人員在全球384063名卡巴斯基用戶的計算機(jī)上檢測到使用挖礦軟件的攻擊。
2023年第二季度受挖礦軟件攻擊的用戶數(shù)量
挖礦軟件攻擊的地理分布
被挖礦軟件攻擊的十大國家和地區(qū)
攻擊者使用的易受攻擊的應(yīng)用程序
2023年第二季度值得注意的是,發(fā)現(xiàn)了一系列影響大量組織的漏洞。影響最大的是MOVEit Transfer中的漏洞:CVE-2023-34362、CVE-2023235036和CVE-2023-3 5708。為了利用這些漏洞,攻擊者使用SQL注入來訪問數(shù)據(jù)庫并在服務(wù)器端執(zhí)行代碼。
PaperCut打印管理應(yīng)用程序也存在類似的嚴(yán)重問題:一個被指定為CVE-2023-27350的漏洞。攻擊者可以使用它通過特制的請求在具有系統(tǒng)權(quán)限的操作系統(tǒng)中運(yùn)行命令,這個漏洞也被攻擊者利用了。
在檢測對用戶系統(tǒng)的攻擊時,發(fā)現(xiàn)了Google Chrome、Microsoft Windows和Microsoft Office的新漏洞。Google Chrome包含兩個類型混淆漏洞(CVE-2023-2033和CVE-2023-3079)和一個整數(shù)溢出漏洞(CVE-2023-2136)。上述漏洞在被利用時被檢測到,允許攻擊者逃離瀏覽器沙箱。
在Windows中發(fā)現(xiàn)了零日漏洞,同時防止對用戶的攻擊,其中一個(CVE-2023-28252)是由卡巴斯基研究人員發(fā)現(xiàn)的。第二季度還發(fā)現(xiàn)了CVE-2023-29336(Win32k子系統(tǒng)漏洞,允許攻擊者獲得系統(tǒng)權(quán)限)和CVE-2023-24932(安全啟動繞過漏洞,惡意行為者可以利用該漏洞替換任何系統(tǒng)文件),微軟已經(jīng)發(fā)布了針對每個漏洞的修復(fù)程序。
漏洞統(tǒng)計
卡巴斯基產(chǎn)品在第二季度檢測到大約30萬次攻擊企圖。與往常一樣,大多數(shù)檢測都與Microsoft Office應(yīng)用程序有關(guān)。他們的份額(75.53%)環(huán)比降低了3個百分點(diǎn)。
最常被利用的漏洞如下:
CVE-2017-11882和CVE-2018-0802:公式編輯器漏洞,允許在公式處理過程中攻擊應(yīng)用程序內(nèi)存,然后在系統(tǒng)中運(yùn)行任意代碼。
CVE-2017-0199允許使用MS Office加載惡意腳本。
CVE-2017-8570允許將惡意HTA腳本加載到系統(tǒng)中。
其次最常見的類別是瀏覽器漏洞攻擊(占總數(shù)的8.2%,環(huán)比下降了1個百分點(diǎn))。
緊隨其后的是Java平臺(4.83%)、Android(4.33%)和Adobe Flash(4.10%)。
2023年第二季度,按受攻擊應(yīng)用程序類型劃分的漏洞利用情況
與之前一樣,2023年第二季度網(wǎng)絡(luò)威脅包括MSSQL和RDP暴力攻擊。EternalBlue和EternalRomance仍然是操作系統(tǒng)漏洞的熱門漏洞。記錄了大量針對log4j類型漏洞(CVE-2021-44228)的攻擊和掃描。
針對macOS的攻擊
macOS的Lockbit版本在第二季度被發(fā)現(xiàn)。這種勒索軟件曾經(jīng)以Linux為目標(biāo),但現(xiàn)在運(yùn)營商已經(jīng)擴(kuò)大了它的范圍。
JokerSpy Python后門在攻擊期間將修改過的TCC數(shù)據(jù)庫部署到目標(biāo)設(shè)備上,以在該設(shè)備上啟動應(yīng)用程序時繞過限制。
macOS面臨的前20大威脅
在第二季度,macOS用戶主要遇到的是廣告軟件和所謂的系統(tǒng)優(yōu)化服務(wù),但前提是用戶要花錢才能修復(fù)不存在的問題。
macOS被攻擊地理分布
受攻擊的macOS用戶中,中國所占比例最大,分別為1.4%和1.19%。意大利、西班牙、法國、俄羅斯、墨西哥和加拿大的攻擊頻率有所下降,其他國家變化不大。
物聯(lián)網(wǎng)的攻擊
物聯(lián)網(wǎng)威脅統(tǒng)計
在2023年第二季度,大多數(shù)攻擊卡巴斯基蜜罐的設(shè)備再次使用Telnet協(xié)議。
就會話數(shù)量而言,Telnet占絕對多數(shù)。
攻擊物聯(lián)網(wǎng)蜜罐
與往常一樣,第二季度SSH攻擊的主要來源是美國(11.5%)和亞太地區(qū)。中國的份額增長尤為顯著,從6.80%增長到12.63%。
受SSH攻擊的前10個國家/地區(qū)
來自中國臺灣的SSH和Telnet攻擊比例明顯下降。來自中國大陸的Telnet攻擊份額下降到35.38%,相反,越南的份額從0.88%大幅上升至5.39%。印度(14.03%)和巴西(6.36%)分別保持第二和第三的位置。
圖片通過Telnet向物聯(lián)網(wǎng)設(shè)備發(fā)送的10大威脅
由于Telnet攻擊成功而向受攻擊設(shè)備發(fā)送的每個威脅占所發(fā)送威脅總數(shù)的百分比
通過web資源進(jìn)行攻擊
本節(jié)統(tǒng)計數(shù)據(jù)基于Web防病毒功能,當(dāng)從惡意/受攻擊的網(wǎng)頁下載惡意對象時,它可以保護(hù)用戶。攻擊者故意創(chuàng)建這些網(wǎng)站,它們可以攻擊被黑客攻擊的合法資源以及用戶創(chuàng)建的內(nèi)容(如論壇)的網(wǎng)絡(luò)資源。
排名前10的網(wǎng)絡(luò)攻擊的來源國和地區(qū)
以下統(tǒng)計數(shù)據(jù)顯示了卡巴斯基產(chǎn)品在用戶計算機(jī)上攔截的互聯(lián)網(wǎng)攻擊來源的國家或地區(qū)分布(重定向到漏洞利用的網(wǎng)頁,托管惡意程序的網(wǎng)站,僵尸網(wǎng)絡(luò)C&C中心等)。任何唯一的主機(jī)都可能是一個或多個基于網(wǎng)絡(luò)的攻擊的來源。
為了確定web攻擊的地理來源,使用GeoIP技術(shù)將域名與域名所在的真實(shí)IP地址進(jìn)行匹配。
在2023年第二季度,卡巴斯基解決方案在全球范圍內(nèi)阻止了8億多次從在線資源發(fā)起的攻擊。Web防病毒組件總共檢測到2億多個唯一鏈接。
2022年第二季度按國家/地區(qū)劃分的網(wǎng)絡(luò)攻擊源分布
用戶面臨網(wǎng)絡(luò)攻擊風(fēng)險最大的國家和地區(qū)
為了評估不同國家/地區(qū)用戶面臨的在線攻擊風(fēng)險,研究人員計算了卡巴斯基用戶在每個國家/地區(qū)本季度計算機(jī)上至少觸發(fā)一次網(wǎng)絡(luò)反病毒的百分比。由此產(chǎn)生的數(shù)據(jù)表明了計算機(jī)在不同國家和地區(qū)運(yùn)行的環(huán)境的危險性。
請注意,這些排名僅包括惡意軟件類別下的惡意對象的攻擊,它們不包括對潛在危險或不需要的程序(如RiskTool或廣告軟件)的網(wǎng)絡(luò)反病毒檢測。
本季度,全球8.68%的互聯(lián)網(wǎng)用戶的電腦平均至少遭受過一次惡意軟件類網(wǎng)絡(luò)攻擊。
本地威脅
研究人員分析了從卡巴斯基產(chǎn)品的OAS和ODS模塊獲得的統(tǒng)計數(shù)據(jù)。它考慮了直接在用戶計算機(jī)或與其連接的可移動介質(zhì)(閃存驅(qū)動器、相機(jī)存儲卡、手機(jī)、外部硬盤驅(qū)動器)上發(fā)現(xiàn)的惡意程序,或最初以非開放形式進(jìn)入計算機(jī)的惡意程序,例如,復(fù)雜安裝程序中的程序、加密文件等。
在2023年第二季度,研究人員的文件反病毒檢測到3千萬個惡意和潛在不需要的對象。
用戶面臨本地攻擊風(fēng)險最高的國家和地區(qū)
對于每個國家和地區(qū),研究人員計算了報告期內(nèi)卡巴斯基產(chǎn)品用戶在其計算機(jī)上觸發(fā)文件反病毒的百分比。這些統(tǒng)計數(shù)字反映了不同國家/地區(qū)的個人電腦攻擊水平。
這些排名只包括惡意程序的攻擊,屬于惡意軟件類別;它們不包括針對潛在危險或不需要的程序(如RiskTool或廣告軟件)的文件反病毒觸發(fā)。
在全球范圍內(nèi),第二季度平均有15.74%的用戶的計算機(jī)上至少記錄了一次惡意軟件級別的本地威脅。
參考及來源:https://securelist.com/it-threat-evolution-q2-2023-non-mobile-statistics/110413/