QSnatch 感染目前是企業環境中最大的僵尸網絡威脅

　　攻擊可能導致服務器癱瘓、數據被盜和服務中斷

　　在全球范圍內,約有 12% 的企業在過去一年中出現了數據泄露跡象

　　2023年 4月 3日 –負責支持和保護網絡生活的云服務提供商阿卡邁技術公司(Akamai Technologies, Inc.,以下簡稱:Akamai)(NASDAQ:AKAM),于近日發布了全新的《互聯網現狀》報告,該報告重點說明了惡意域名系統 (DNS) 流量對亞太地區企業和消費者造成的威脅。

　　這份亞太地區 (APAC) 報告的主要結論包括:

　　● QSnatch 成為亞太地區最大的僵尸網絡威脅:專門針對 QNAP(企業用于備份或文件存儲的網絡連接存儲 (NAS) 設備)的惡意軟件 QSnatch 是 2022 年迄今為止亞太地區企業環境中最大的僵尸網絡威脅。亞太地區近 60% 的受影響設備感染了 QSnatch,僅次于北美。

　　● 企業命令和控制流量增多:在任意季度,全球都有 10% 至 16% 的企業會在其網絡中遇到命令和控制 (C2) 流量,這表明有可能正在發生攻擊或存在數據泄露。在亞太地區,Akamai 觀察到,約有 15% 的受影響設備會連接初始訪問代理 (IAB) 域。這些域的背后是網絡犯罪團伙,他們向其他網絡犯罪分子(比如勒索軟件團伙)出售遭到入侵網絡的未經授權的訪問權。

　　● 亞太地區遭受的家庭網絡威脅全球最高:亞太地區記錄的消費者家庭網絡威脅遠遠高于全球其他地區。2022 年下半年,北美標記的惡意查詢數量位居第二,與之相比,亞太地區是它的兩倍。我們發現,亞太地區有超過 3.5 億次查詢與 Pykspa 有關,Pykspa 是一種利用 Skype 消息傳播的蠕蟲病毒,通過向受影響用戶的聯系人發送惡意鏈接來竊取信息。

　　企業受到 DNS 攻擊的威脅日趨嚴重

　　由于對于互聯網的大多數使用都是通過 DNS 進行的,這種普遍性使 DNS 成為了攻擊基礎架構的一個重要環節。Akamai 每天觀察到近七萬億次 DNS 請求,并將惡意 DNS 事務分為三大類:惡意軟件、網絡釣魚以及命令和控制。

　　根據 Akamai 的數據,在任意給定季度,全球有 10% 至 16% 的企業會在其網絡中遇到命令和控制 (C2) 流量。C2 流量的存在表明可能有攻擊正在進行中,或已發生數據泄露,而威脅則包括竊取信息的僵尸網絡、初始訪問代理 (IAB)(他們向其他網絡犯罪分子出售遭到入侵網絡的未經授權的訪問權)等。

　　在亞太地區,15% 的受影響設備已連接到已知的 IAB C2 域(比如 Emotet),這些域首先進行初始入侵,然后向 Lockbit 等勒索軟件團伙和其他網絡犯罪團伙出售訪問權。在該地區,還發現 Revil 和 Lockbit 等勒索軟件變體也位列影響所有企業設備的五大 C2 威脅類型。

　　網絡連接存儲設備正中攻擊者的下懷,因為這些設備不太可能安裝修補程序,而且存有大量高價值的數據。Akamai 的數據顯示,2022 年,亞太地區近 60% 的受影響設備感染了 Qsnatch(一種針對 NAS 設備的信息竊取惡意軟件),這使得該地區的感染數量僅次于北美。由于數據中心大量集中在亞太地區,再加上 NAS 設備在中小企業領域的普及,這些因素最有可能增加整體感染數量。

　　Akamai 亞太地區及日本安全技術和戰略總監 Reuben Koh 表示:“隨著作為全球經濟和數字化轉型中心的亞太地區的發展步伐不斷加快,攻擊者繼續探索各種攻擊企業的手段以獲取經濟利益也就不足為奇了。在 Akamai 的最新發現中,不僅重點指出了每個地區最為普遍的攻擊,而且還指出多階段攻擊已經成為針對我們地區現代網絡環境的主要攻擊手段。攻擊者發現,當他們合作開展攻擊或在一次攻擊中結合使用多種工具時,他們的得手率會提高。C2 基礎架構對于這些攻擊的成功至關重要,因為它們可以用于通信,以及促進下載攻擊負載和下一階段的惡意軟件,以繼續推進攻擊。”

　　他還表示:“由于多階段攻擊可能會對企業產生不利影響,因此,企業必須搶先一步阻擊攻擊者。除了直接經濟損失、客戶信心和信任受損等直接影響外,還會付出用于恢復遭到破壞的基礎架構的長期成本,比如法律、賠償和清理費用。”

　　家庭用戶要對 DNS 攻擊保持高度警惕

　　雖然攻擊者的攻擊目標往往是企業,因為成功入侵企業網絡會帶來更大的回報,但攻擊家庭用戶更容易而且更快,因為家庭用戶的網絡不像企業環境那樣安全。攻擊者不僅試圖濫用計算機等傳統設備,而且還試圖濫用手機和物聯網設備。

　　根據 Akamai 的數據,2022 年下半年,亞太地區出現與家庭網絡威脅有關的查詢數量最多。該地區的數量是北美地區的兩倍,北美地區是標記查詢次數第二多的地區。

　　我們發現,亞太地區有超過 3.5 億次與 Pykspa 有關的查詢,此威脅借由 Skype 來傳播,通過向受影響用戶的聯系人發送惡意鏈接來竊取信息。它的后門功能允許攻擊者連接到遠程系統并執行任意命令,比如下載文件、終止進程,并通過各種方式傳播,包括映射的驅動器和網絡共享。

　　網絡釣魚活動也在積極攻擊亞太地區的金融品牌,誘使毫無戒心的消費者成為網絡釣魚受害者。Akamai 的研究發現,超過 40% 的網絡釣魚活動以金融服務客戶為目標,導致近 70% 的受害者遭受與金融相關的網絡釣魚詐騙和攻擊。這清楚地表明,針對金融服務行業及其客戶的攻擊在 2022 年非常有效。

　　Akamai 亞太地區及日本安全技術和戰略總監 Reuben Koh 表示:“家庭用戶在其網絡遭到入侵時可能失去所有數據,除了這種個人面對的后果外,如果他們的設備成為大規模僵尸網絡的一部分,攻擊者可以調動僵尸設備,并在用戶不知情的情況下進行網絡犯罪活動,比如發送垃圾郵件,甚至對企業發動 DDoS 攻擊,這會產生更為隱蔽的嚴重后果。”

　　他還表示:“我們看到此類攻擊在本地區興起,這并不奇怪,亞太地區目前有超過 12 億人在使用移動互聯網服務,而且預計 2026 年物聯網支出將達到 4360 億美元。該地區對于移動設備和智能設備的使用和采用持續增加,可能預示著此類攻擊也會增加,這要求家庭用戶保持高度警惕,避免成為網絡攻擊的受害者。”

　　給企業和家庭用戶的建議

　　在分析了 DNS 態勢后,Akamai 向企業和家庭用戶提供了以下指導建議:

　　- 保持積極主動,確保為您的所有數字資產和用戶提供出色的網絡安全保護:

　　o 企業應首先實現對所有軟件和硬件資產的監測,并繪制出企業數據歷程中每一步的所有關鍵漏洞以及所需的控制措施,比如防范 DDoS、惡意軟件攻擊和采集以及橫向移動和滲透。

　　o 最佳做法包括保持更新所有系統和軟件,實施反惡意軟件和多重身份驗證,并在任何時候都對用戶和設備實施最低權限訪問。對于較大的企業或要求更復雜的企業,請讓專業供應商提供幫助,同時也要積極監控性能和異常事件。

　　- 在家里培養良好的安全做法:

　　o 家庭用戶應采取積極措施,確保定期進行軟件更新,安裝反惡意軟件和對家庭 WIFI 網絡使用 WPA2 AES 或 WPA3 加密,從而保護所有設備。他們還應該對任何潛在的可疑網站、下載內容和通過電子郵件或短信發送的消息保持高度警惕。

　　關于Akamai

　　Akamai 為在線生活提供支持和保護。全球領先的公司選擇 Akamai 來構建、交付和保護他們的數字體驗——為數十億人每天的生活、工作和娛樂提供幫助。借助全球廣泛分布的覆蓋從云到邊緣的計算平臺,我們幫助客戶輕松開發和運行應用程序,同時讓體驗更貼近用戶,讓威脅距離用戶更遠。