Check Point 的最新威脅指數報告顯示，RansomHub 繼續位居榜首，Meow 勒索軟件因其新型攻擊手段和強大破壞力而風頭漸起。

2024 年 9 月 ，領先的云端 AI 網絡安全平臺提供商 Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）發布了其 2024 年 8 月《全球威脅指數》報告。該指數報告顯示，勒索軟件仍占主導地位，RansomHub

依然是頭號勒索軟件團伙。這一勒索軟件即服務 (RaaS) 變體的前身是?Knight 勒索軟件，自更名以來便快速蔓延，在全球范圍內攻擊了 210 多家受害者。與此同時，Meow 勒索軟件風頭漸起，攻擊重點從文件加密轉向在數據泄露市場上售賣被盜數據。

上月，RansomHub 鞏固了其作為頭號勒索軟件威脅的地位。這種 RaaS 操作利用復雜的加密技術，針對 Windows、macOS、Linux 等系統，尤其是 VMware ESXi 環境展開猛烈攻擊。

8 月份，Meow 勒索軟件風頭漸起，首次躋身主要勒索軟件排行榜第二位。Meow 是已知?Conti 勒索軟件的變體，現已將攻擊重點從文件加密轉向數據提取，并將其勒索網站轉變為數據泄露市場。在這種模式下，被盜數據被售賣給出價最高者，這不同于傳統的勒索軟件敲詐策略。

Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示：“RansomHub 成為 8 月份的頭號勒索軟件威脅，這充分說明勒索軟件即服務的復雜性與日俱增。各機構需要提高警惕。Meow 勒索軟件的興起凸顯了向數據泄露市場的轉變，即越來越多的被盜數據被售賣給第三方，而不僅僅是發布到網上，這是勒索軟件運營組織的一種新型牟利方式。隨著這些威脅持續演變，企業必須時刻保持警惕，采取主動安全防護措施，并不斷加強防御，以有效應對日益復雜的攻擊。”

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates ?是本月最猖獗的惡意軟件，全球? 8% ?的機構受到波及，其次是? Androxgh0st ?和? Phorpiex ，分別影響了全球? 5% ?和? 5% ?的機構。

1.? ?FakeUpdates? – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進一步破壞。

2.? ?Androxgh0st -? Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網絡。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3.? ↑ Phorpiex ?- Phorpiex 是一種僵尸網絡，因通過垃圾郵件攻擊活動分發其他惡意軟件家族并助長大規模性勒索攻擊活動而廣為人知。

最常被利用的漏洞 ? ?

1.? ?HTTP 載荷命令行注入（CVE-2021-43936，CVE-2022-24086） – 現已發現一種 HTTP 載荷命令行注入漏洞。遠程攻擊者可以通過向受害者發送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目標計算機上執行任意代碼。?

2.? ?Zyxel ZyWALL 命令注入 (CVE-2023-28771) -? 這是一種存在于 Zyxel ZyWALL 中的命令注入漏洞。遠程攻擊者可利用該漏洞在受影響系統上執行任意操作系統命令。

3.? ?HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）-? HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。 ?

主要移動惡意軟件

本月， Joker ?位列最猖獗的移動惡意軟件榜首，其次是? Anubis ?和? Hydra 。

1.?? Joker? – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯系人列表及設備信息。此外，該惡意軟件還能夠在廣告網站上偷偷地為受害者注冊付費服務。

2.? ?Anubis –? Anubis 是一種專為 Android 手機 設計的銀行木馬惡意軟件。自最初檢測到以來，它已經具有一些額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數百款不同應用中均已檢測到該銀行木馬。

3.? ↑ Hydra ?– Hydra 是一種銀行木馬，可通過要求受害者啟用高危權限來在每次入侵銀行應用時竊取銀行憑證。

主要勒索軟件團伙 ?

這些數據基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網站”（攻擊者在這些網站上公布受害者信息）獲得的洞察分析。本月， RansomHub ?是最猖獗的勒索軟件團伙，其攻擊數量占已發布攻擊的? 15% ，其次是? Meow ?和? Lockbit3 ，分別占? 9% ?和? 8% 。

1.? RansomHub? – RansomHub 是一種勒索軟件即服務 (RaaS) 操作，據稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網絡犯罪論壇上初露鋒芒，因其針對各種系統（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環境）發起的破壞性攻擊活動，以及采用的復雜加密方法而臭名昭著。

2.? Meow? - Meow 勒索軟件是一種基于 Conti 勒索軟件的變體，因能夠加密受感染系統上的各種文件而廣為人知。它會在文件名后添加“.MEOW”擴展名，然后留下一封名為“readme.txt”的勒索信，要求受害者通過電子郵件或 Telegram 聯系攻擊者，談判贖金支付事宜。Meow 勒索軟件通過各種向量傳播，包括未受保護的 RDP 配置、垃圾電子郵件及惡意下載，并使用 ChaCha20 加密算法來鎖定文件，不包括“.exe”和文本文件。

3.? Lockbit3 ?– LockBit 是一種以 RaaS 模式運行的勒索軟件，于 2019 年 9 月首次發現。它主要瞄準各個國家和地區的大型企業和政府機構。

關于 ?Check Point? 軟件技術有限公司 ??

Check Point 軟件技術有限公司是一家領先的云端?AI 網絡安全平臺提供商，為全球超過?10 萬家企業與機構提供安全保護。Check Point 利用強大的?AI 技術通過?Infinity 平臺提高了網絡安全防護效率和準確性，憑借業界領先的捕獲率實現了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網絡安全的 Check Point Quantum，以及支持協同式安全運維和服務的 Check Point Infinity Core Services。

關于 ? Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據，以便在防范黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。