2021年最主要的恶意软件识别报告

关键要点

• 美国网络安全与基础设施安全局（CISA）和澳大利亚网络安全中心（ACSC）发布了11种对企业和政府造成严重影响的恶意软件。
• 这些恶意软件大多数有多年的历史，许多仍在持续变异以规避检测。
• 组织需要采取多种措施来保护关键基础设施，特别是更新软件和增强用户培训。

本周，美国网络安全与基础设施安全局（CISA）和澳大利亚网络安全中心（ACSC）联合发布了一份报告，列出了2021年对企业、政府和关键基础设施造成严重影响的11种恶意软件。这些恶意软件大多数是老牌角色的更新版本，包括特洛伊木马如盗取凭证和信息的
、、、、等，以及后门特洛伊木马如
和多用途的
黑客工具。

这些恶意软件大多数已流通至少五年，而Qakbot和Ursnif这两款则已用于黑客活动超过十年。各机构表示，这些恶意软件多年来的持续有效性和2021年的主导地位主要归因于网络犯罪者不断修改、改变或重用相同的漏洞，以避免被检测并感染新主机。

“恶意软件开发者的更新和对这些恶意软件源代码的重用，为其长久存在和演变为多种变体做出了贡献，”美国和澳大利亚的网络机构写道。他们补充说：“恶意行为者使用已知的恶意软件让组织有机会更好地准备、识别和减轻来自这些已知恶意软件的攻击。”

恶意软件名称 | 类型 | 使用年限
—|—|—
Agent Tesla | 特洛伊木马 | ≥ 5年
AZORult | 特洛伊木马 | ≥ 5年
Formbook | 特洛伊木马 | ≥ 5年
LokiBot | 特洛伊木马 | ≥ 5年
NanoCore | 特洛伊木马 | ≥ 5年
Remcos | 后门特洛伊木马 | ≥ 5年
Trickbot | 黑客工具 | ≥ 5年
Qakbot | 多年使用的恶意软件 | > 10年
Ursnif | 多年使用的恶意软件 | > 10年

Qakbot和Trickbot都是大型僵尸网络的一部分，这些僵尸网络用于劫持设备，随后可用作恶意软件传递工具，进一步感染其他机器并获取组织的初始访问权限，随后可能被勒索软件或其他网络犯罪组织用于更大规模的攻击。尤其是Trickbot，多家威胁情报机构将其视为Conti勒索软件团伙的初始访问途径，而美国政府报告将450多起勒索软件攻击归因于该团伙。

这些恶意软件的开发者处于网络犯罪生态系统的前端，他们不断调整现有的恶意软件，通过分销商和经纪人将其出售给希望在黑客活动中利用这些恶意软件的终端用户。这一工作利润丰厚，且由于很多开发者在俄罗斯或其他非美国及其盟国的法律管辖区外运营，风险相对较低。

拜登政府在就任的第一年与俄罗斯政府进行了密