卡巴斯基专家揭示该地区出现两个最为活跃的勒索软件家族，因此网络防御应当有所提高

卡巴斯基今天确认，2020年是亚太地区（APAC）的“勒索软件2.0”年。这家全球网络安全公司的专家还揭示了两个臭名昭著的特别针对该地区受害者的勒索软件家族，分别为REvil和JSWorm。

勒索软件2.0几乎都是“针对性勒索软件”，指的是那些从挟持数据转到窃取数据，同时还进行敲诈勒索的网络犯罪组织。这类攻击一旦成功，造成的后果包括重大的金钱损失以及毁灭性的声誉损失。

“对于从挟持数据转到窃取数据，同时进行敲诈勒索的恶意软件家族来说，2020年是最具成效的一年。在亚太区，我们注意到一个有趣的现象，即两个高度活跃的勒索软件威胁组织再度出现，分别为REvil和JSWorm。去年在疫情肆虐期间，这两个威胁组织重新浮出水面，而且我们没有看到他们会停止的迹象，”卡巴斯基首席恶意软件分析师Alexey Shulmin说。

Revil（又名Sodinokibi、Sodin）

卡巴斯基最早在2019年7月写到过REvil勒索软件。该威胁组织也被称为Sodonokibi和Sodin，他们最初通过Oracle Weblogic漏洞进行传播，并对管理服务提供商（MSP）进行攻击。

虽然REvil的活动在2019年8月达到顶峰，有289名潜在受害者，但直到2020年7月之前，卡巴斯基的遥测监控到的感染数量都比较少。从2020年6月在全球只感染了44名卡巴斯基用户，到7月该勒索软件组织开始加速攻击，感染了近877名用户，感染数量在短短一个月的时间内增长了1893%。

此外，专家的监控还显示该威胁组织是如何积极将其恶意武器从亚太区（APAC）传播到全世界的。

“早在2019年，大多数受害者都来自亚太区——特别是中国台湾、中国香港和韩国。但去年，卡巴斯基检测到这种威胁几乎出现在所有国家和地区。可以肯定地说，在其“沉寂的几个月”，REvil的作者花费了很多时间来改善其武器机器，改进其攻击受害者的手段并提高其网络覆盖范围，”Shulmin补充说。

2020年遭受REvil勒索软件攻击的企业和个人在不同地区的地理分布趋势

但是，有一点没有变。亚太地区仍然是REvil的首要攻击目标之一。

在2020年遭受该威胁组织攻击的1,764名卡巴斯基用户中，635家（36%）的企业和个人都来自亚太地区。但是，巴西感染的用户数量最多，其次则是越南、南非、中国和印度。

根据威胁行为者在其数据泄露网站上公布的数据，卡巴斯基专家还可以将该威胁组织攻击的目标分为几个行业类别。就行业而言，他们最大的攻击目标属于工程和制造行业（30%）。其次则是金融行业（14%）和专业及消费者服务行业（9%）。法律、IT和电信以及食品和饮料行业受到同等关注，攻击比例占7%。

JSWorm（又名Nemty、Nefilim、Offwhite、Fusion和Miliphen等）

与REvil一样，JSworm也是在2019年进入勒索软件领域的。但是其最初受害者的地理分布更加多样化。在最初的几个月，该恶意软件在全球范围内都被检测到——包括北美和南美（巴西、阿根廷、美国）、中东和非洲（南非、土耳其、伊朗）、欧洲（意大利、法国、德国）和亚太区（越南）。

与REvil相比，JSWorm的受害者数量相对较少，但很明显，这种勒索软件家族正在发展壮大。整体看，卡巴斯基解决方案在全球已经拦截了对230名用户的攻击，但与2019年相比只有29个用户几乎被感染，攻击数量仍然增加了752%。

最值得注意的是，卡巴斯基专家发现该组织的注意力转移到了亚太地区。中国成为全球几乎感染JSWorm的卡巴斯基安全网络用户数量最多的国家，其次是美国、越南、墨西哥和俄罗斯。该威胁组织在去年所攻击的所有企业和个人用户中，超过三分之一（39%）也位于亚太地区。

2020年遭受JSWorm勒索软件攻击的企业和个人在不同地区的地理分布趋势

在所攻击的行业方面，很显然这种勒索软件家族盯上了全球的关键基础设施和主要行业。JSWorm攻击的企业中有近一半（41%）都属于工程和制造行业的公司。他们首要的攻击目标行业还包括能源和公共事业行业（10%）、金融行业（10%）、专业和消费者服务行业（10%）、交通运输行业（7%）以及医疗行业（7%）。

这些结果基于威胁者行为者在其数据泄露网站上公布的数据。

为了保护自己不受勒索软件2.0的危害，卡巴斯基专家建议企业和组织采取以下措施：

确保您的操作系统和软件及时安装补丁和更新。

当员工进行远程工作时，对他们进行网络安全最佳实践培训。

仅适用安全技术进行远程连接。

对您所在组织的网络进行安全评估。

使用具有行为检测和自动文件回滚功能的端点安全解决方案，例如卡巴斯基网络安全解决方案。

不要听从犯罪分子的要求。不要与他们单打独斗——请联系执法部门、CERT以及安全供应商（如卡巴斯基）。

通过订阅高级威胁情报（如卡巴斯基APT情报服务），关注最新的威胁趋势。

了解你的敌人：利用卡巴斯基威胁溯源引擎识别在本地未检测到的恶意软件。

要了解更多有关勒索软件2.0详情，请访问Seculist.com.