Check Point软件技术有限公司发布了2024年6月的全球威胁指数。上个月，研究人员注意到勒索软件即服务（RaaS）领域发生了变化，相对较新的RansomHub取代了LockBit3，成为最热门的勒索软件价目表组根据公开的耻辱网站。与此同时，一个名为BadSpace的Windows后门被发现，涉及被感染的WordPress网站和虚假的浏览器更新es。

在印度，教育/研究仍然是上个月受影响最大的行业其次是医疗保健和政府/军队。在过去的六个月里，印度企业平均每周遭受2924次攻击，而全球平均每周遭受1401次攻击

上个月，RansomHub成为最热门的今年2月，执法部门对LockBit3采取了行动，导致该公司失去了其分支机构的忠诚。结果，LockBit3报告了创纪录的低点04月份只有27名受害者，随后是5月份不明原因的170多名受害者，6月份不到20人，这表明它可能会下降。

许多LockBit3分支机构现在使用其他RaaS组织的加密器，导致其他威胁行为者的受害者报告增加。RansomHub于2024年2月首次出现，据报道是骑士勒索软件的转世，6月份出现了近80个新受害者。值得注意的是,阿其公布的受害者中只有25%来自美国，还有大量来自巴西、意大利、西班牙和英国。

在其他方面，研究人员强调了最近的一次fakeupdate（也被称为SocGholish），它被评为最具影响力的运动恶意软件，现在提供了一个新的后门，叫做坏空间。FakeUpdates的扩散通过第三方附属网络得到了促进，该网络将流量从受损网站重定向到FakeUpdates的登陆页面。这几页然后就结束了建议用户下载看似浏览器更新的内容。然而，这个下载实际上包含一个Js。cript-ba它随后下载并执行BadSpace后门程序。BadSpace采用复杂的混淆和反沙箱技术来避免检测，并通过计划任务维护持久性。其command-and-co控制通信是加密的，使其难以拦截。

“看来针对LockBit3的行动已经产生了预期的影响。然而，如前所述，它的下降只会给其他团体让路控制和co继续他们针对全球组织的勒索软件活动，”Check Point Software研究副总裁玛雅·霍洛维茨说。

FakeUpdates是最重要的这个月的恶意软件第n位，全球组织影响力为7%，其次是Androxgh0st，全球影响力为6%，AgentTesla全球影响力为3%。

1. FakeUpdates（又名SocGholish）是一个用java编写的下载程序图书馆的。它在启动有效负载之前将其写入磁盘。虚假更新通过许多添加导致了进一步的妥协包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult等恶意软件。

2. Androxgh0st - Androxgh0st是一个针对Windows， Mac和Linux平台的僵尸网络。对于初始感染，Androxgh0st利用多个漏洞，专门针对- PHPUnit， Laravel f框架和Apache Web Server。恶意软件窃取敏感信息，如Twilio帐户信息，SMTP凭据，AWS密钥等。它使用Laravel文件收集所需的信息。它有不同的变体，扫描不同的信息。

3. AgentTesla—AgentTesla是一个高级的RAT函数宁作为一个键盘记录者和信息窃取者，这是没有能力的监控和收集受害者的键盘输入、系统键盘、截图，并将凭证泄露到受害者机器上安装的各种软件（包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端）。

最易被利用的漏洞
1. Check Point VPN信息泄露漏洞(CVE-2024-24919) -在Check Point VPN中发现了一个信息泄露漏洞。该漏洞可能允许攻击者读取Internet-co上的某些信息已连接的网关已启用远程接入VPN或移动接入功能。

2. Web服务器恶意URL目录遍历（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） -在不同的Web服务器上存在目录遍历漏洞。该漏洞是由于web服务器中的输入验证错误导致的，该错误没有正确地为目录遍历模式清理URI。成功的利用允许未经身份验证的远程攻击者公开或访问易受攻击的服务器上的任意文件。

3. HTTP报头远程代码执行(CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - HTTP报头允许客户端和服务器通过添加使用HTTP请求获取所有信息。远程攻击者可以使用易受攻击的HTTP头在受害机器上运行任意代码。


https://techgig.com/generateHttpWebService-v2.php?tgtype=SAVE_NEWS_READ_LOGS&news_id=111680620&news_title=RansomHub超过LockBit3成为2024年6月最大的勒索软件威胁&news_sec=IT Security&tags=RansomHub, LockBit3, Global threat Index, FakeUpdates, Check Point Software Technologies Ltd, BadSpace, &news_url=https://content.techgig.com/it-security/ransomhub-surpasses-lockbit3-as-top-ransomware-threat-in-june-2024/articleshow/111680620.cms&ppuserinfo=