报告称勒索软件已成为2017年Q2最流行的邮件投递恶意程序

根据来自网络安全公司 Cyren、Check Point、卡巴斯基实验室、Proofpoint 和赛门铁克的报告，2017 年第二季度恶意软件活动持续增加。

由于数据通过不同系统采用遥测技术收集而来，所以各个公司的统计数据不尽相同，但所有报告均显示  4 月、5 月和 6 月的恶意软件活动有所增加。

无独有偶，恶意软件活动中增加幅度最大的是勒索软件类别，这种情况毫无疑问要归功于以下两个全球性爆发的勒索软件事件 — WannaCry 和 NotPetya。

尤其是 WannaCry，在 Check Point 和卡巴斯基实验室提供的报告中排名较高。 NotPetya 排名较低，但其所影响的范围远远小于 WannaCry 攻击，主要集中在乌克兰地区。与日常勒索软件操作相比，遭受 NotPetya 攻击的用户数量更少，例如 Jaff 和 Locky，这两种日常勒索软件在 2017 年第二季度都较为活跃。

                                                             源自：Check Point

                                                              源自：卡巴斯基实验室

上方图表由 Check Point 和卡巴斯基提供，显示全球勒索软件的检测结果。下方图表由 Proofpoint 提供，显示每天通过邮件附件形式传播的勒索软件 payload。

WannaCry 和 NotPetya 没有采用邮件分发的方式进行传播，但正如预期的那样，Jaff 和 Locky 的数量高于其他攻击，主要原因是这两个勒索软件家族通过 Necurs（当今最大的垃圾邮件僵尸网络）传播。

                                                                源自：Proofpoint

此外，Proofpoint 还根据恶意邮件中附带的恶意软件类别对恶意邮件威胁进行了细分。再次证明，勒索软件是迄今为止最流行的 payload，紧随其后的是银行木马。

                                                               源自：Proofpoint

就整体邮件威胁来说，在 Cyren 向 Bleeping Computer 提供的报告中显示，检测到的恶意邮件附件增加了 586％，全球通用垃圾邮件增加了 3％。

在 2017 年 7 月的活动报告中，赛门铁克宣布上升趋势仍在持续，上个月全球垃圾邮件数量达到了自 2015 年 3 月以来的最高水平。

                                                                 源自：Cyren

针对恶意邮件附件的增加趋势，网络安全公司 Proofpoint 也进行了相关记录并得以证实。

                                                              源自：Proofpoint

再次印证，同样通过 Necurs 僵尸网络分发的 Dridex 是以恶意邮件形式传播的最流行的银行木马。

                                                              源自：Proofpoint

但是，根据 Check Point 提供的数据，就整体检测来说，包括通过其他方法传播的银行木马，检测到的感染绝大多数是 Zeus 类，而 Dridex 仅排第六位。

                                                               源自：Check Point

此外，Check Point 在上述研究中对时下流行的 Android 恶意软件进行了数据分析。其中最流行的威胁是 Hiddad，主要用于 Android 设备的基本信息窃取威胁和恶意软件 downloader。

                                                                 源自：Check Point

根据 Cyren 的统计数据，Andriod 和桌面系统中检测到的恶意软件数量分别增加了 57% 和 23%。

                                                                   源自：Cyren

Web 恶意软件活动同样呈上升趋势。Cyren 报告中显示托管恶意软件的 URL 增加了 16%，钓鱼 URL 增加了 13%。

                                                                     源自：Cyren

至于 Exploit kit，业内专业人士都懂的，随着 Angler、Nuclear、Neutrino 和 Sundown 这几个大佬级工具包陆续退出市场，Exploit kit 活动继续呈下降趋势。

                                                                     源自：Proofpoint

不过，RIG Exploit kit 适时填补了这片空白，恶意广告活动（如 AdGholas 或 RoughTed）可以利用它，通过恶意广告和隐蔽强迫下载来定位用户。

                                                                    源自：Proofpoint

Exploit kit 之所以能继续与时俱进，保持强势活跃，是因为浏览器和 Web 相关插件仍然是漏洞工具包攻击的最佳目标。

在 2017 年第二季度恶意软件活动报告中，另外记录了以下一些重要发现。

Proofpoint:

在包含恶意软件的恶意消息中，勒索软件占比高达 68%。

与上一季度相比，恶意消息量飙升 250%。

Dridex 强势回归。

从第一季度开始，“一对一”邮件欺诈攻击激增了近 30％。

由 RIG EK 产生的 Exploit kit流量与去年持平。

漏洞利用工具包通过恶意web 广告传播破坏性勒索软件。

虚假社交媒体支持账户与第一季度相比增加了三倍。

攻击者正在使用社交工程来诱骗用户，借此访问他们的帐户和个人信息。

卡巴斯基实验室:

1, 319, 148 个恶意安装包。

28, 976 个移动端银行木马（安装包）。

200, 054 个移动端勒索软件木马（安装包）。

在六月遭受 SMS 垃圾邮件攻击的用户是四月的三倍。

最流行的 Android 恶意软件是 Boogr (15%) 和 Hiddad (4%)。

检测到最多移动端恶意软件的国家是伊朗(44%) 和中国 (31%)。

Fusob 仍然在移动端勒索软件威胁中位居榜首，占所有检测到的移动端勒索软件的 20％。

Zbot（32％）和 Nymaim（26％）是目前为止较流行的银行木马。

位于美国和荷兰的服务器是恶意软件 payload 的主要来源。

在本季度中，其中17.26% 计算机因连接到互联网而遭受至少一次恶意软件类 web 攻击。

经调查，网络环境最安全的国家包括古巴（5％）、芬兰（11.32％）、新加坡（11.49％）、以色列（13.81％）和日本（7.56％）。另一方面，感染风险最大的国家包括阿尔及利亚（29.15％），阿尔巴尼亚（26.57％）和白俄罗斯（25.62％），主要原因是连接互联网的系统已过时。

Check Point:

RoughTed 是最活跃且最流行的恶意软件活动。

Fireball 恶意广告软件家族排名第二。

Top3 勒索软件家族占所有攻击的 48%。

*本文作者：羽裳，参考来源：BleepingComputer，转载请注明来自 FreeBuf.COM