受疫情影响,远程办公的增加使得 RDP 协议仍然是暴力破解的头号目标。与此同时,移动恶意软件和加密货币相关的威胁也日益增长。执法机构在全球取缔了Emotet后,这种方式以后可能会成为打击网络犯罪的主要形式。
注:ESET 威胁报告一年三期:T1(1-4月)、T2(5-8月)、T3(9-12月)
整体威胁情况
2021 T1 的威胁检测数量与 2020 T3 大致持平,略微下降了5%。
- 执法机构关停了Emotet后,Downloader遭到了沉重的打击,依赖Emotet作为主要传播途径的恶意软件都出现了大幅度地下降
- 针对RDP的攻击继续增长,但是涨势趋缓。
- 由于加密货币价格的快速上涨,挖矿相关的恶意软件仍然保持着增长的势头
- 信息窃密中仍然是 AgentTesla 主导,占比接近四分之一
- Mac的威胁有所下降,Android的威胁也有所下降,但安卓银行类恶意软件增加了159%
- 物联网僵尸网络中Mozi已经扩展到几十万的级别
主要威胁仍然保持基本稳定,HTML/Phishing.Agent蹿升至第三。与此同时,HTML/Fraud从第三下滑到第六。新上榜的MSIL/TrojanDownloader.Agent从上一期的十二名上升至第九。
信息窃取
信息窃取包括银行恶意软件、间谍软件、后门程序和密码窃取程序,任何以数据窃取为主要目的的恶意软件都包含在内。
相比2020 T3,信息窃取类恶意软件增长了12%。其中间谍软件增长了31.7%,主要是Win32/Formbook.AA的几次攻击行动引起的。
TOP10也由间谍软件主导,MSIL/Spy.Agent是一个基于.NET的恶意软件家族,占检测到的间谍软件的36.7%。其中最主要的就是Agent Tesla,它已经开始提供恶意软件即服务(MaaS)。
在世界范围看,土耳其和西班牙都受到了极大地影响。
勒索软件
勒索软件已经实现了“二连降”,本期下降27%,相比上一期下降47%而言,下降速度在放缓。
Win/Filecoder.WannaCryptor以41%的占比遥遥领先,永恒之蓝漏洞仍然受到攻击者的青睐。后续也有很多知名的组织,如Phobos、GandCrab、Sodinokibi、Avaddon等。
勒索软件在全球仍然是泛滥成灾的。
Downloader
由于Emotet被彻底摧毁,Downloader出现了大幅度地下降,降幅达32.4%。
单独看Emotet则更为明显:
利用VBA的占到了半壁江山,而DOC文档也是攻击者的心头好。
Downloader对欧洲的影响相较其他地方更为严重。
挖矿
加密货币价格一路上扬,挖矿相关的恶意软件也越来越多。
俄罗斯、中国和美国都是受影响较大的国家。
Web 威胁
总体来说 Web 类的威胁还是呈下降趋势的:
钓鱼、仿冒等Web类攻击除了除了传统针对Google、Hotmail、Twitter,区块链也成功登顶。
被阻止最多的恶意域名如下所示:
邮件威胁
恶意邮件的整体检出情况变化不大:
但由于Emotet的覆灭,垃圾邮件的数量大幅下降了:
恶意附件仍然以 Windows 的可执行程序为主:
移动威胁
安卓银行恶意软件快速攀升,值得用户警惕:
安卓木马的Dropper已经超过了该类的四分之一:
俄罗斯和东欧是重灾区。
Mac 威胁
Mac类的威胁主要集中在美国。
威胁整体趋势变化不大:
IoT 威胁
弱口令仍然十分有效:
攻击者也越来越多地使用漏洞进行攻击:
漏洞利用
针对RDP的攻击在增长:
但针对SQL和SMB的攻击在下降:
其中,较为典型的永恒之蓝和BlueKeep的攻击都出现了下降: