在最近几周内,一些重要恶意软件的使用率急剧下降。受此事件影响的有Dridex (W32.Cridex)、Locky (Trojan.Cryptolocker.AF)、Angler漏洞利用工具包和Necurs (Backdoor.Necurs)等恶意软件。据报道,大量网络犯罪团伙降低了网络攻击频率。随后,赛门铁克遥测技术团队证实一些网络犯罪团伙已停止网络攻击活动,而其它团伙也大程度地降低了攻击频率。
Locky是近几个月中最为常见的一个勒索软件。然而,自六月份起,赛门铁克很少发现Locky进行网络攻击的新案例,且在垃圾邮件和漏洞利用工具包中均见不到踪影。这种威胁虽然仍未消失,但却有明显下降。这种情况说明网络攻击者遇到了某种阻碍,或是有意而为之。
图1.所示为每周Locky感染受阻拦的次数,表明过去两周有关Locky的攻击活动大有下降。
总所周知,金融诈骗木马Dridex使用与Locky 相同的垃圾邮件攻击附件。该木马的攻击频率也明显下降,但却没有完全消失。Dridex僵尸网络分隔为几个僵尸子网,我们称其为子网。这些子网通过三位数识别,如120、220等数字。一些子网(如120)仍在继续工作。除此之外,赛门铁克发现一些Word宏下载器(W97M.Downloader)仍然在通过恶意软件发送Dridex木马。
图2.所示为每周Dridex感染受阻拦的次数,表明过去两周有关Dridex的攻击活动大有下降。
有关报道还声称虽然Necurs僵尸网络在之前再次活跃,但在最近几天也已销声匿迹。该恶意软件与很多重大垃圾邮件攻击活动紧密相关,因此其活动中断可很好地解释Locky及Deidex攻击活动频率的下降。
另外一个查不到踪迹的恶意软件是Angler漏洞利用工具包。自六月初起,赛门铁克遥测技术团队便再没有报道过有关Angler发送任何净负载信息的事件。这不是赛门铁克第一次发现Angler停止活动,因此我们无法确定该知名漏洞利用工具包能否永远消失。
Angler是CryptXXX的一个主要传输通道,因此它的销声匿迹也促进CryptXXX勒索软件(Trojan.Cryptolocker.AN)活动频率大幅下降。
Angler不是最近唯一退出舞台的漏洞利用工具包。知名恶意工具包Nuclear自五月初就已不再活跃。这件事发生在一个月前,因此我们尚不清楚其是否与最近这些事件有着任何联系。
图3. Nuclear漏洞利用工具包传输的有效负载数据。其活动在五月份第一个星期终止。
与逮捕事件的联系 众多恶意软件突然停止活动存在着种种谜团,但是俄罗斯政府在此之前不久曾逮捕了五十名指控参与Lurk银行诈骗团伙行动的人员。
由于绝大多数恶意软件并没有完全消失,我们还不能直接将这些事件与Lurk团伙直接联系在一起。一种行得通的解释是俄罗斯执法机关重创Lurk团伙后继续大展拳脚,导致很多其它网络攻击团伙所使用的相关设备遭到关闭或没收。
赛门铁克安全响应部门将继续监测有关情况,如有新消息则将做进一步通知。