2024网络安全报告.docx

cp<r>rHFfpnmifsfarc»t三2024I网谯全U八土口+于员口6CHECKPOINT噂040725467075818593101第1章2024年网络安全报告引言研究副总裁MAYAHOROWITZ第2章2023年重大网络事件时间表第3章网络安全趋势26勒索软件零日攻击和大型攻击30攻击面不断扩大：边缘设备的新风险34政府背景的黑客行动主义和Wiper成为新常态38令牌遭受攻击：云计算的致命弱点41PIP安装恶意软件：软件存储库遭受攻击第4章全球分析第5章引人注目的全球性漏洞第6章CHECKPOINT事件响应相关见解第7章为首席信息安全官提供独到洞察一预测第8章人工智能：当今网络安全战中的前沿防御者第9章恶意软件系列说明第10章结语2024年网络安全报告引言欢迎查看CheckPoint2024年安全报告。2023年，网络安全世界发生重大变化，网络攻击的性质和规模都在迅速演变。这一年，我们看到网络威胁从隐形匿迹于虚拟世界，到明目张胆登上现实舞台，吸引了从政府机构到普罗大众的无数关注目光。这些攻击使用的方法花样百出，背后的原因同样五花八门。勒索软件仍然是主要威胁之一，攻击者不只索要钱财，还想寻求“赏识”。勒索软件利用零日漏洞发起攻击，同时利用羞辱性网站来披露受害者身份，攻击者对这种攻击方式越发趋之若鹫，勒索软件也因此成为网络犯罪分子之间攀比的筹码。遭受这些攻击的代价不仅仅是支付赎金，有些公司和组织，比如米高梅（MGM）、迪拜环球港务集团（DPWOrId）和大英图书馆（BritiSh1.ibrary）等还要面对重建系统的巨额开支。此外我们看到，黑客行动主义（即因政治或社会原因而产生的黑客行为）有所增加。这类黑客行为曾是个体行动者的工具，现在则由政府用作间接攻击对手的方式。在俄乌冲突和巴以冲突等事件发生后，这一点尤为明显。攻击者找到了侵入系统的新方法，路由器和交换机等设备便成为容易攻击的目标。包括Okta和23AndMe在内的一些大型组织都遭到过利用窃取的登录信息或恶意软件发动的攻击。人工智能（AI）在本年度网络攻击中扮演了更重要的角色。攻击者开始使用人工智能工具来更有效地实施钓鱼活动。不过好消息是，网络防御者同样也在使用人工智能来更好地防范这些威胁。网络犯罪分子阻击战亦有捷报传来。包括美国联邦调查局(FBI)在内的多个执法机构在消除HiVe勒索软件网络和Qbot基础设施等主要威胁方面，取得了进展。但其中些组织卷士重来，也在提醒着我们，与网络犯罪的斗争任重而道远。本报告将回顾2023年发生的重大网络安全事件，提供独到洞察和分析，帮助大家了解并提前筹备，应对未来挑战。我们的目标是为组织、政策制定者和网络安全专业人员提供有价值的信息，协助他们在日益数字化的世界中构筑更强大的防御体系。希望本报告能为您提供丰富、翔实的信息，对您保障数字环境安全有所助益。MayaHorowitzCheckPointSoftwareTechnologies研究副总裁2023年重大网络事件时间表一月在某暗网论坛发现一个包含逾1400万用户名和密码的数据库，该数据库中有超过10万条澳大利亚政府机构门户网站的登录信息。ViceSociety勒索软件组织针对英国和美国的学校发动了一系列大范围攻击。作为对这些事态发展的回应，美国联邦调查局(FBI)已就该组织的活动发布官方警报。CheckPointThreatEmulation提供针对此威胁的防护(Trojan.Wins.ViceSociety.*)CheckPointReSearCh报告称,黑客论坛上的威胁执行者已开始利用ChatGPT等人工智能工具来创建恶意软件和攻击工具，例如信息窃取程序和加密程序。英国皇家邮政集团的国际邮件服务RoyalMail因网络攻击而中断运营。由于无法将包裹派送至目的地，该服务已告知用户暂停寄件。经证实，1.oCkBit勒索软件团伙是此次攻击的实施者，他们威胁称，如果赎金要求得不到满足，他们将泄露窃取的数据。CheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(RanSOmWare.Win.1.ockbit)CheckPointResearch&现，俄罗斯网络犯罪分子试图绕过OPenAl的限制，将ChatGPT用于恶意目的。在地下黑客论坛上，黑客们正在讨论如何绕过IP地址、支付卡和电话号码控件，而所有这些都是从俄罗斯访问ChatGPT所必需的流程。二月CheckPointResearch将市值为1094.1525万美元的Dingoo加密代币标记为骗局。该代币背后的威胁执行者在其智能合约中添加了后门功能，用于操纵费用。具体而言，他们使用代币智能合约代码中的“SetTaxFeePercent”函数来操纵买卖费用，将其提升至交易额99%的惊人比例。该函数已被使用47次，Dingo代币的投资者有可能面临损失全部资金的风险。亲俄黑客组织KilINet针对美国医疗行业发起大规模行动，实施了多次DDOS攻击。英国运动服饰零售商JDSPOrtS宣攵发生数据泄露事件，约100O万客户受到影响。所称泄露的数据涵盖了客户在2018年11月至2020年10月期间提交的在线订单，其中包括全名、电子邮件、电话号码、账单详情、送货地址等信息。CheckPointResearchC光了两个恶意代码包Python-drgn和Bloxflip,它们由威胁执行者分发,利用程序包存储库作为可靠、可扩展的恶意软件分发渠道。大规模"ESXiArgs”勒索软件活动影响数千台VMWareESXi主机，幕后组织已里通其恶意软件的加密流程。更新后的恶意软件版本现在还对原先可能用于触发恢复流程的文件进行加密，因此，用户无法通过研究人员推荐的可行方法进行恢复。CheckPointIPS提供针对此威胁的防护VMWareOpenS1.P堆缓冲区溢出(CVE-2019-5544；CVE-2021-21974)社交媒体平台Reddit遭受安全漏洞攻击，此前他们的一名员工不幸落入网络钓鱼圈套。根据该公司的声明，虽然内部文件和源代码失窃，但用户信息和凭据并未受到影响。以色列顶尖大学之一以色列理工学院(TeChnion)成为勒索软件攻击的旦蛇，被迫关闭学院网络并将期末考试推迟到下学期。有人怀疑此次攻击可能出于政治或个人动机，因为作案者是以前不为人知的组织，而且勒索凭证中包含非常规信息。CheCkPoirlt研究人员发现，威胁执行者正绕过ChatGPT的限制创建恶意内容，并企图改进最早出现于2019年的初级信息窃取恶意软件的代码。研究人员分析了多个使用恶意软件包试图进行供应链攻击的活动。其中一项Pypi(Python)活动创建了450余个与加密货币相关的程序包，这些程序包将替换加密货币钱包地址，另一项活动则注册了5个用于传播凭据窃取恶意软件的程序包。此外还观察到项传播远程访问木马程序的npm(Java)活动。新西兰奥克兰市宣布当地进入紧急状态，需全力应对导致城市IT系统离线的勒索软件攻击。大规模ESXiArgS勒索软件活动愈演愈烈，近日影响了500余台主机,其中大多数位于法国、德国、荷兰、英国和乌克兰。随着OPenAl推出名为ChatGPTPlus的付费ChatGPT服务，威胁执行者现以提供所谓的免费平台访问权限为名，诱使用户下载恶意应用程序或访问钓鱼网站。三月日客运量约为1.8万人的美国华盛顿州公共交通运营商PierCeTranS计成为1.ockBit团伙实施的勒索软件攻击的受害者。该勒索软件组织声称其窃取了往来信件、保密协议、客户数据、合同等资料。CheckPointThreatEmulation和HarmonyEndPOint提供针对此威胁的防护(Ransomware.Win.1.ockbit)CheckPOint研究人员发现工中国大陆高级持续性威胁(APT)组织SharpPanda的网络间谍活动。该活动针对东南亚政府实体，利用SOUl框架建立对受害者网络的访问通道并窃取信息。CheckPointThreatEmulation和Anti-bot提供针对此威胁的防护(Trojan.WIN32.SharpPanda)CheckPointResearch披露了名为FakeCaIIs的Android木马，它可以模仿20多种金融应用程序，并通过模拟与银行员工的对话来进行语音钓鱼。这种针对韩国市场设计的恶意软件还可以从受害者的设备中提取私人数据。CheckPQintHhtomnmoanrwvMMQofabatee和ThreatEmulafon提供针对此威胁的防护。CheckPointResearch,国际象棋对弈平台CheSS.com存在安全漏洞，可能导致用户操纵对局结果。利用该漏洞，研窕人员可以缩短对手的可用时间，从而赢得棋局。CheckPointResearch对ChatGPT4进行了父衽，确定了五种允许威胁执行者绕过限制并利用ChatGPT4创建钓鱼电子邮件和恶意软件的场景。意大利豪华跑车制造商法拉利在公司IT系统遭到勒索攻击后宣布发生数据泄露。流出的数据包括公司客户的全名、地址、电子邮件地址和电话号码等个人信息。CheckPointReSearCh在PyPI(Pythorl软件包索引)上检测到恶意软件包,它们使用网络钓鱼技术隐藏其恶意意图。这些恶意软件包在安装过程中偷偷下载并执行混淆代码，导致供应链出现风险。gCheckPointCIoudGuardSpectral提供针对此威胁的防护。四月3CX通信公司VOlP应用程序3CXDesktopApp的Windows和macOS版本双双遭到被用于在大规模供应链攻击中分发木马化版本。该大范围攻击称为SmoothOperator,其中威胁执行者使用3CXDesktopApp来加载恶意文件，并向攻击者的基础设施发送信标，对3CX的应用程序进行滥用。全球有超过60万家使用3CX的公司可能受到此次攻击的影响。该攻击与朝鲜1.azarus组织有关，追踪编号为CVE-2023-29059。CheckPointThreatEmulation和HarmonyEndpoint提供针对此威胁的防护(TrOjan-DoWnIOader.Win.SmoothOperator;Trojan.Wins.SmoothOperator)澳大利亚最大的博彩娱乐公司皇冠度假集团(CrOWnReSOrtS)稣，其遭到C1.oP勒索软件组织的勒索。此次勒索攻击也是C1.OP组织利用FOrtraGoAnyWhere漏洞的结果。CheckPointThreatEmulation和HarmonyEndPoint提供针对此威胁的防护(Ransomware.Wins.Clop；Ransomware.Win.Clop；Ransomware_1.inux_Clop)研究人员一直在追踪黑客组织AnOnymoUSSUdan,该组织向欧洲、澳大利亚、以色列等地的组织发动了多次DDoS攻击，针对的通常是视为反穆斯林的活动。业界认为该组织隶属于与俄罗斯有关的黑客组织Killnet并支持其秘密计划。CheckPointReSearCh发现了名为Rorschach的新型勒索软件，该软件通过D1.1.旁加我合法签名安全产品进行部署。该勒索软件高度可定制，具有前所未见的独特技术功能，并且就加密速度而言，它是目前观察到的速度最快的勒索软件之一。gCheckPointHarmonyEndPoint提供针对此威胁的防护。CheckPointResearch在MicrosoftMessageQueuing服务(通常简称为MSMQ)中发现下三个漏洞(CVE-2023-28302.CVE-2023-21769和CVE-2023-21554).CPR将其中最严重的漏洞称为QUeUeJUmPer(CVE-2023-21554),该漏洞为超危级别，可能允许未经身份验证的攻击者在Windows服务进程mqsvc.exe的情景中远程执行任意代码。OCheckPointIPS提供针对此威胁的防护MicrosoftMessageQueuing远程代码执行(CVE-2023-21554)CheckPointResearchJfH,针对物联网设备的网络攻击急剧增加，与2022年相比，2023年前两个月各组织每周遭受攻击的平均次数增加了41%0平均而言，每周有54%的组织遭受针对物联网设备的网络攻击，主要集中在欧洲，其次是亚太地区和拉丁美洲。gCheckPointQuantumIoTProtect提供针对此威胁的防护CheckPointResearch,有关被盗ChatGPT帐户的讨论和交易有所增加，尤其是高级帐户。网络犯罪分子会泄露ChatGPT帐户的凭据，交易高级ChatGPT帐户，并使用针对ChatGPT的暴力破解工具，这让网络犯罪分子能够绕过OPenAl的地理围栏限制，并获取现有ChatGPT帐户的历史查询信息。CheckPointResearch团队发现/RaspberryRobin恶意软件所使用的新技术。这些方法包括若干种反躲避技术、混淆技术和反虚拟机措施。该恶意软件还利用Win32k中的两个漏洞(CVE-2020-1054和CVE-2021-1732)来提升其权限。OCheckPointThreatEmulation和IPS提供针对此威胁的防护Trojan.Wins.7RaspberryRobin；MicrosoftWin32k权限提升(CVE-2021-1732)、MicrosoftWin32k权限提升(CVE-20201054)五月CheckPointResearch公布了与EducatedManticore有关的新发现，该活动集群与出没于中东和北美地区的伊朗关联威胁执行者Phosphorus存在明显重合。EducatedManticore紧随最新趋势，开始使用ISO映像（可能还有其他存档文件）来启动感染链。gCheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(APT.Wins.APT35.ta)CheckPointReSearCh披雷了名为FIuHorse的新型Android恶意软件。该恶意软件模仿多款合法应用程序，其中大部分应用程序的安装量均超过100万次。该恶意软件会窃取受害者的凭据和双因素身份验证（2FA）代码。FIllHorSe针对东亚市场的不同行业，通过电子邮件进行分发。eCheckPointHarmonyMobile提供针对此威胁的防护(F1.UJHORSE_STR)CheckPointResearchC意到,利用ChatGPT品牌相关网站实施的网络攻击急剧增多。这些攻击包括通过与ChatGPT看似相关的网站分发恶意软件和实施网络钓鱼攻击，诱使用户下载恶意文件或泄露敏感信息。数据存储巨头WeStemDigitaI匚证实发生数据泄露，公司客户的个人信息遭到曝光。流出的数据包括姓名、账单和送货地址、电子邮件地址和电话号码。威胁执行者声称他们与A1.PHV（又名BIackCat）勒索软件团伙无关，但会利用该组织的泄密网站对上述公司实施恐吓与勒索。CheckPointReSearCh发现工专为TP-1.ink路由器定制的固件植入程序，该植入程序与中国大陆的APT组织（名为CamaroDragon）有关，该组织与MustangPanda存在相似之处。该植入程序用于针对欧洲外交实体发起定向攻击，由多个恶意组件构成。其中包括名为“HorseSheII”的自定义后门程序，它使攻击者能够保持持续访问、构建匿名基础设施，并允许横向移动至已遭入侵的网络。CheckPointQuantumIoTProtect和ThreatEmulation提供针对此威胁的防护(APT.Wins.HorseShell)美国联邦调查局（FBI）、美国网络安全和基础设施安全局（CISA）和澳大利亚网络安全中心（ACSC）警告称,Bian1.ian勒索软件组织已将其策略转变为只进行勒索攻击。该组织现在不再加密文件及索要赎金，而是重点窃取敏感数据，并威胁称若不支付赎金便公开这些数据。CheckPointThreatEmulation提供针对此威胁的防护(RanSOmWare.Win.GRansom.glsf.A)CheckPointResearch发布了关于GlJ1.Oader的报告。Gu1.oader是基于shellde的知名下载程序，已在大量攻击中用于传播一系列榜上有名的恶意软件。Gu1.oader的有效负载完全加密，允许威胁执行者使用常见公有云服务存储有效负载，并绕过病毒防护机制。CheckPointThreatEmulation提供针对此威胁的防护(Dropper.Win.CIoudEyE.*)CheCkPoirltReSearCh建细介绍工中国大陆的最新攻击及其对网络设备的使用。在此之前，美国和国际网络安全机构针对中国大陆的网络攻击者（也称为VOItTyPhOOn）发布了联合网络安全公告。该攻击者对包括政府和通信组织在内的多个行业的“关键”网络基础设施实施了破坏。六月Progress披露fMOVEitTransfer和MOVEitCloud中的一个漏洞（CVE-2023-34362）,该漏洞可导致权限升级以及对环境的无授权访问。发现该漏洞后，Progress立即着手开展调查，48小时内便发布了缓解措施和安全补丁。然而与俄罗斯有关联的勒索软件组织Clop网络犯罪分子还是趁虚而入，利用该漏洞对MC）VEit用户发起了供应链攻击。作为受害者之一，薪资服务提供商ZeIliS率先披露了安全漏洞攻击，此外还有许多其他组织也都受到了影响。RCheckPointIPSBlade提供针对此威胁的防护MOVEitTransferSQ1.注入7(CVE-2023-34362)CheckPointReSearCh发布了对中国大陆APT组织CamaroDragon所用后门工具的分析报告。该后门工具称为TinyNote,使用GO语言编写，其中包含可绕过东南亚国家/地区常用的印度尼西亚防病毒软件SmadAV的功能。APT组织的受害者可能包括东南亚国家/地区的大使馆。gCheckPointThreatEmulation提供针对此威胁的防护(APT.Wins.MustangPanda.ta.*)美国伊利诺伊州某医院因遭受勒索软件攻击而面临便业，成为首家因此类事件而关闭的医疗机构。SMPHealth曾在2021年遭受攻击，医院长达数月之久无法向保险公司提交理赔申请(包括MedicareflMedicaid)。这一情形导致医院财务状况急剧恶化。美国路易斯安那州机动车辆办公室(OMV)和俄勒冈州机动车辆管理处(DMVSerViCeS)览表声明警告美国公民，有数百万驾照数据遭到泄露。在此之前，CIoP勒索软件团伙入侵了上述机构的MOVEitTransfer安全文件传输系统，并窃取了其中存储的数据。CheckPointIPSBladeHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(PrOgreSSMOVEitTransfer的多个漏洞)；Webshell.Win.Moveit,Ransomware.Win.Clop,Ransomware_1.inux_Clop；Exploit.Wins.MOVEitCheCkPoint研究人员发现,欧洲一家医疗机构受到复杂恶意软件影响。攻击由中国大陆的APT组织CamaroDragon(MustangPanda)发起。威胁执行者使用恶意U盘作为初始访问向量，对受限网络进行攻击，其有效负载包含的模块可对插入受感染主机的任何其他U盘实施进步感染。据信，该恶意软件的传播已超出攻击者原本的目标，有可能悄然之间感染全球数十家组织。CheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(APT.Wins.MustangPanda;APT.Wins.MustangPanda.ta)七月CheCkPOintReSearCh发现工热门消息应用程序Telegram的恶意修改版本。该恶意应用程序会安装Triada木马，可为受害者注册各种付费订阅，执行应用内购买并窃取登录凭据。美国电视频道NiCkelOdeon疑似发生数据泄露，致使500GB数据外流。这些数据包括脚本、动画文件和完整剧集，经该电视频道证实为合法内容，但都是几十年前的旧数据。上述泄露事件发生在1月，起因是信息反馈门户网站存在身份验证漏洞。CheckPointResearch发布j'对Google生成式人工智能平台Bard的分析报告，介绍了该平台允许会生成恶意内容的几种场景。威胁执行者可以利用Bard生成网络钓鱼电子邮件、恶意软件键盘记录程序和初级勒索软件代码。挪威政府报告称,由12个主要部门使用的软件平台遭到网络攻击。黑客在此之前利用了IVamiEndpointManagerMobile(EPMM)中的零日身份验证来绕过漏洞。八月ProspectMedicalHoldings是一家大型医疗服务提供商，在美国经营着16家医院和166家专科诊所及服务中心，日前遭受了严重的勒索软件攻击。攻击至少扰乱了公司在三个州的运营，迫使医院将患者转移到其他设施。目前还未有勒索软件团伙公开宜称对此次攻击负责。CheckPoint研究人员就基于NPM的漏洞分不了最新调查结果,表示在50多个热门软件包中都发现了这类漏洞，令无数项目和组织面临风险。乡CheckPointCIoudGuardCNAPP提供针对此威胁的防护DiSeord实公司正在处理一起数据泄露事件，该事件曝光了76万名会员的信息，导致服务暂时中止。此前，名为Akihirah的网络犯罪分子在某地下论坛公开了Discord的数据库。九月FBI宣布，“猎鸭行动”(DuckHunt)成功瓦解了至少从2008年开始活跃的QakbOt恶意软件组织。据了解，Qakbot通过带有恶意附件和链接的垃圾邮件来感染受害者，同时还充当勒索软件操纵者的平台。全球有超过70万台计第机受到影响，其中包括金融机构、政府承包商和医疗设备制造商等。CheckPointResearch化工对Qakbot恶意软件及其多年来运作情况的分析。CheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(Trojan.Wins.Qbot；Trojan.Win.Qbot；Trojan.Downloader.Win.Qbot；Trojan-PSW.Win32.Qakbot;Trojan.WlN32.Qakbot)CheckPoim警告称,最近发生了一起滥用数据可视化工具Google1.ookerStudio的电子邮件网络钓鱼活动。攻击者使用该工具从官方Google帐户向受害者发送幻灯片电子邮件，指示他们访问第三方网站领取加密货币。这些网站随后会提示受害者输入凭据，继而窃取这些凭据。gCheckPointHarmonyEmail提供针对此威胁的防护。CheckPoint研究人员分血工新兴的生成式人工智能技术对选举造势活动的潜在影响。生成式人工智能可以针对选民大规模构建单独定制的视听宣传内容，使民主选举的公正性面临更大的风险。为应对这一问题，Google将要求披露涉及人工智能的政治广告。美国度假村、赌场和连锁酒店集团米高梅(MGM)逊网络攻击，公司旅下酒店和赌场由此发生大面积业务中断，为谨慎起见，该公司已关闭其内部网络。此次网络攻击导致该公司的自动取款机、老虎机、客房数字钥匙卡和电子支付系统陷入瘫痪。A1.PHV勒索软件关联组织已声称对此次攻击负责。CheckPointResearch分享了对A1.PHV组织过去12个月活动的分析洞察。Monti勒索软件团伙重继对新西兰第三大高校奥克兰理工大学遭受的网络攻击负责。威胁执行者声称窃取了60GB数据，要求受害者在10月9日最后期限之前支付赎金。CheckPointThreatEmulation提供针对此威胁的防护(RanSOmWare.Wins.Monti)CheckPointResearch发现BBTok银行恶意软件的新版本，其攻击目标是40多家墨西哥和巴西银行的众多客户。研究团队重点介绍了新发现的感染链，其中使用了独特的离地攻击二进制文件(1.c)1.BinS)组合，因此检出率很低。研窕团队还披露了威胁执行者在攻击中使用的些服务器端资源，其攻击目标是巴西和墨西哥的数百名用户。gCheckPointThreatEmulation和HarmonyEndpoint提供针对此威胁的防护(Banker.Wins.BBTok；Banker.Win.BBTok；Technique.Wins.SuxXII；Trojan.Win.XIIAddings)十月CheckPoint研究人员检测到利用主流文件共享程序Dropbox的网络钓鱼活动。威胁执行者使用合法的Dropbox页面向受害者发送官方电子邮件，这些邮件随后会将收件人重定向至凭据窃取页面。CheckPoint研究人员发现工影响WEB3社交媒体平台Friendlech的多个严重漏洞。这组漏洞可能会允许攻击者访问和修改属于该公司的数据库值，并获得对付费功能的访问权限。服务于美国威斯康星地区逾16万人口的洛克县公共卫生局或为勒索软件攻击的受害者，攻击导致工作人员被迫下线了部分系统。古巴勒索软件团伙已声称对此次攻击负责，并宣布财务文件、税务信息等已落入其手中。gCheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(Ransomware.Win.CubaRansomware.Wins.Cuba.ta.*)市值数十亿美元的IT产品和服务经销商CDW据称遭受攻击，1.ockBit勒索软件团伙声称对此次攻击负责。该团伙索要8000万美元赎金，并威胁要公布窃取的数据，据说其中包括员工通行卡、审计、佣金支付数据等等。该公司已隔离受影响的服务器，据称这些服务器并非面向客户。CheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(Ransomware.Win.1.ockbit；Gen.Win.Crypter.1.ockbit；Ransomware.Wins.1.ockBit.ta；Ransomware_1.inux_1.ockbit)FBI与CISA在其#StopRansomware活动中工一份联合网络安全咨询报告，就Avos1.ocker勒索软件发出警告并对其进行了深入研究，该勒索软件以勒索软件即服务(RaaS)模式运作。两大机构重点介绍了相关技术细节及该组织的TTP,以协助采取缓解和防御措施。CheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(RanSOmWareWinsAvoslocker.ta.AGen.Win.Crypter.Avos1.ockerB>Ransomware.Win.Avos1.ocker.BRansomware_1.inux_Avos1.ocker)攻击者已获得云身份认证巨头Okta部分网络的访问权限。黑客已成功潜入该公司的支持部门至少两周，他们试图使用从支持票证复制的令牌来访问该公司的客户网络。据称，该公司是在一名客户报告称支持票证令牌遭到滥用后才意识到这一事件。CheckPointResearch9辽与巴以冲突前十日局势相关的网络活动。与中东、伊斯兰和俄罗斯有关的多个黑客组织加大了针对以色列的攻击力度。研究人员已观察到多种攻击向量，包括DDoS、篡改和一些以色列网站的信息泄露，其中大多数产生的影响都非常有限。斯坦福大学她一起网络攻击的受害者，攻击对该校公共安全部(SUDPS)的系统造成r影响。Akira勒索软件团伙声称对此次攻击负责，据称攻击导致该校430GB数据发生外泄。gCheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(Ransomware_1.inux_Akira；Ransomware.Wins.Akira)十一月波音公司承认网络攻击s工其零部件和分销业务，公司正配合执法部门展开调查。本周早些时候，勒索软件组织1.oCkBit将波音公司添加到其受害者页面，并声称已窃取大量数据。gCheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(RanSOmWare.Win.1.ockbit、Ransomware_1.inux_1.ockbit)CheckPointResearch披1.匚与伊朗情报和安全部(MOIS)有关的威胁组织ScarredManticore进行的持续间谍活动。这些攻击依赖于安装在Windows服务器上的高级被动恶意软件框架1.iontail0当前活动的攻击目标是中东地区高知名度的组织，重点针对政府、军事和电信部门。CheckPOintlPS、ThreatEmulation和HarmonyEndPoint提供针对此威胁的防护(BaCkdOOr.WIN32.1.iontail.AZB、APT.Wins.1.iontail.C/D)CheckPointReSearCh近日&辽关于巴以冲突中不断演变的网络事件的述评。最近几周的情况表明，亲巴勒斯坦黑客组织已将其活动范围扩大到以色列以外，主要针对被视为以色列盟友的国家/地区。这些网络行动旨在发挥情报和反击作用，但据悉造成的破坏有限。值得注意的是，攻击目标选择的决定因素除了不断演变的地缘政治事件，还有这些组织先前确立的利益。中国大陆最大的商业银行中国工商银行（ICBC）美国子公司遭受勒索软件攻击，导致其部分金融服务系统瘫痪，据悉影响了美国国债的流动性。据报道,1.OCkBit勒索软件团伙是此次攻击的幕后黑手。gCheckPointThreatEmulation和HarmonyEndPOim提供针对此威胁的防护(Ransomware.Wins.1.ockBit.ta*；Ransomware.Win.1.ockbit；Gen.Win.Crypter.1.ockbit.AI；Ransomware_1.inux_1.ockbit)据报道,与俄罗斯有关的军事情报组织SandWorm对丹麦22家关键基础设施公司发动了攻击。这是丹麦有史以来最严重的网络攻击，多个工业控制系统遭到入侵，多家能源企业被迫离网运营。CheckPointReSearCh进行了一次实验性深度解析,旨在测试ChatGPT的恶意软件分析功能。研究结果重点关注人工智能系统需要哪些指导才能扩展其功能并做出裁决。总部位于美国内华达州的医疗转录公司PerryJohnson&Associates（PJ&位披美因一起数据泄露事件，美国多家医疗机构的超过900万名患者在该事件中受到影响。外泄数据包括患者的姓名、地址、出生日期、社会安全号码和医疗记录。这起攻击被认为是近年来最严重的医疗数据泄露事件之一。CheckPointResearch使用ThreatIntelBlockchain系统发现了一场正在进行的复杂RugPUll骗局，该计划已顺利窃走近100万美元。研究人员已追踪到骗局的幕后主使，曝光了犯罪分子利用围绕不正当收入的群体炒作，诱骗亳无防备的受害者进行投资。十二月CheckPointResearch重点介绍了CyberAv3ngers组织的活动，该组织表示对破坏美国宾夕法尼亚州Aliquippa市水务局工作站的行为负责。攻击发生后，CiSA郑虹一份关于该黑客组织的公告，该组织与伊朗革命卫队（IRGe）有关。据报道，他们以UnitroniCS的P1.C设备作为突破口，对美国多家水务公司实施攻击。服务于数百万人的美国大里士满交通公司（GRTC）成为一起网络攻击的受害者，攻击影响了GRTC网络的某些应用程序和部分功能。PIay勒索软件团伙声称对此次攻击负责。CheckPointHarmonyEndpoint和ThreatEmulation提供针对此威胁的防护(RanSOmWare.Win.Play；Rasomware.Wins.P1.AY)CheckPointReSearCh逼丞工加密货币领域一项令人担忧的趋势。欺诈攻击者通过操纵代币池流动性，使代币价格暴涨22000%。操纵代币池流动性的行为导致亳无戒心的代币持有者被有计划地迅速窃走8万美元。这一事件揭示了诈骗者为利用去中心化金融平台所采取的不断演变的策略。乌克兰最大的移动运营商KViVStar遭受了“针对全球电信基础设施的最大规模网络攻击”，导致数百万人在至少48小时内无法使用移动和互联网服务。据报道，此次攻击还影响了空袭警报、自动取款机和销售点终端。与俄罗斯有关的组织Solntsepek（此前与俄罗斯军事黑客组织Sandworm有关联）声称对此次攻击负责。另一个与俄罗斯关联的组织KiMet也声称对此次攻击负责，但其参与情况尚未得到证实。KyiVStar拥有2430万移动用户和超过110万家庭互联网用户。网络安全趋势勒索软件零日攻击和大型攻击2023年的几起重大勒索软件攻击均利用了零日漏洞。与我们之前介绍的其他勒索软件趋势不同,其他攻击者是否采用此策略完全取决于经济层面的考虑:多受害者勒索软件攻击的收益是否能证明用于实现该攻击的零日漏洞的时价具有合理性?为了回答这个问题,我们仔细研究了这些攻击以及为这些攻击创造条件的生态系统。就当前状态而言，“勒索软件”一词不仅指加密数据，还用于描述网络攻击，在这类攻击中，受经济利益驱使的执行者获得对受害者资产的重大控制权，并通过向受害者施压来勒索钱财。这一犯罪生态系统由不断变化的团体和个人组成，他们小心翼翼地把握着平衡，一边寻求公众关注和“名声”以吸引潜在关联方，并维护自己的信誉，一边避免自己引来执法部门的过多关注。这些执行者频频改名换姓，导致归因变得很困难。在分析勒索软件生态系统内的攻击趋势时，我们经常会研究勒索软件即服务(RaaS)提供商为增强其操纵能力而推出的新功能。这些包括中间加密机制或安全模式重启等躲避技术，以及加密速度的提升。其他增强包括扩展勒索策略，例如数据窃取和数据暴露威胁)以及实现被盗数据索引并与其他操作系统兼容。我们在2023年幽的另一个重要变化是，针对1.inux的勒索软件版本已成为标配。勒索软件对业务运营的影响不断升级，并在2023年达到顶峰，这点从A1.PHV入侵米高梅国际酒店集团等多起备受瞩目的攻击事件中即可见一斑。这种特定攻击导致大量数据失窃，业务运营遭到严重干扰，米高梅公司蒙受的损失据估算高达1亿美元。此外，澳大利亚港口运营商DPWorId遭遇了严重的勒索软件攻击，导致澳大利亚40%的集装箱贸易中断数日。据称，此次攻击不涉及加密，这也体现了威胁不断演化的性质。过去一年中，殃及多个受害者的大规模勒索软件网络攻击显著增加，其中有些事件影响了数百甚至数千个组织。C1.OPRaaS组织利用GOAnyWhere安全文件传输工具中的零日漏洞，致使受影响的130余个组织发生数据泄露。6