深入研究并准备好应对本文提到的五种威胁，你将能更好地保护企业的网络、资产和员工。

威胁形势是高度多样化的，攻击的复杂程度也从最基本的骗局发展为国家级别的网络间谍活动。企业需要优先考虑可能影响业务运营和员工安全的最常见威胁，并部署针对性防御措施。

网络安全公司Malwarebytes在其最新发布的《年度恶意软件状态报告》中，选择了五种威胁，他们认为这些威胁是2022年观察到的一些最常见的恶意软件家族的原型：

• LockBit勒索软件
• Emotet僵尸网络
• SocGholish网页挂马攻击/过路式下载攻击( drive-by download )
• Android木马
• macOS Genio广告软件

该公司在报告中指出，“想要在2023年剩余的时间里保护业务正常运营，你需要明白一点：你将面临的最危险的网络威胁并非你所见过的最奇怪的攻击，也非最复杂或最引人注目的攻击，它们甚至并非最普遍的攻击。相反地，这些最危险的威胁往往来自一系列已知的、成熟的工具和策略，整个网络犯罪生态系统都依赖这些工具和策略，且每年从中获利数十亿美元。”

勒索软件之王LockBit

去年，勒索软件威胁形势发生了巨大变化，像Conti这样非常成功的团伙关闭了业务。这一空白很快被大量其他规模较小的组织填补。到目前为止，最突出的是LockBit，这是一家勒索软件即服务(RaaS)公司，它迅速创新并吸引了大量的附属机构。

附属机构是地下网络犯罪组织的雇佣兵。无论是单独的黑客还是专业的个人团体，他们主要负责处理入侵的初始访问和横向移动等任务，然后部署与他们相关的勒索软件程序，以获得受害者支付的很大一部分赎金。同时，勒索软件的开发者负责提供软件本身、后端基础设施，并处理与受害者的谈判过程。

LockBit并非一种新型威胁，它自2019年以来就已经存在了，最初的名字是ABCD。在成立后的头两年里，它们在Maze、Ryuk和Conti等更大、更多产的组织面前可谓黯然失色，后者也成功地吸引了大部分黑客人才。但这种情况在2021年随着LockBit 2.0的发布开始发生改变，并在去年LockBit 3.0推出时真正呈现爆发态势。现在的整个附属计划进行了大量修改，使其对在Conti消亡后寻找工作的附属机构而言更有吸引力。

Malwarebytes的研究人员称，LockBit花了很多精力向附属机构推销自己，维护一个光鲜的暗网网站，搞公关噱头，并为发现软件缺陷的人支付漏洞奖金。它声称自己已拥有100个附属机构。因此，如果其中一个被捕获，LockBit的运营也不会中断。

根据Malwarebytes的遥测数据显示，LockBit是去年迄今为止最活跃的勒索软件，受害者数量是第二活跃的勒索软件ALPHV的3.5倍。总体而言，2022年三分之一的勒索事件涉及LockBit，该团伙索要的最高赎金为5000万美元。LockBit的附属机构旨在攻击所有类型的企业——从小型律师事务所到大型跨国公司——并使用各种方法获得初始访问权限，从滥用弱远程访问凭据(RDP和VPN)，到利用面向公众的系统的漏洞，再到带有恶意附件的钓鱼电子邮件。成功入侵目标后，便会销毁备份并使用横向移动技术获得域管理访问权。

恶意软件研究人员表示，如果能够理解并解决LockBit问题，你将大大降低企业受到任何勒索软件攻击的风险。

不朽的僵尸网络Emotet

地下网络犯罪的另一个大玩家是Emotet，作为一个僵尸网络，它是其他恶意软件家族的传播平台，包括近年来最多产的一些勒索软件和木马程序。

从2014年开始，Emotet经历了多次迭代，最初是一个银行木马——一个专注于窃取网上银行凭证的程序。当这一网络犯罪分支变得不那么受欢迎时，僵尸网络的所有者开始将目光转向了恶意软件的传播。Emotet的模块化架构使其非常灵活，易于定制不同的任务。

欧洲刑警组织曾将Emotet称为“世界上最危险的恶意软件”。2021年，包括美国、英国、加拿大、德国和荷兰在内的多个国家的执法机构成功接管了该僵尸网络的C2基础设施。可惜的是，拆除的喜悦只是短暂的，Emotet很快得以重建，凸显出它的弹性。

2022年11月，该僵尸网络在中断四个月后，以新的迭代形式回归，每天分发数十万封恶意电子邮件。使用电子邮件作为主要的传递机制，Emotet的创建者专门利用线程劫持和语言本地化等技术来发送垃圾邮件。最新的垃圾邮件活动将包含恶意宏的Excel文件与存档一起分发。

部署后，Emotet将在系统中删除额外的恶意软件。在过去，它曾安装与Ryuk勒索软件有密切关系的另一个僵尸网络TrickBot。在最近的攻击中，可以看到僵尸网络丢弃了XMRig加密程序和IcedID木马，后者本身与其他恶意软件家族有关。Emotet还会从安装在电脑上的Outlook帐户中窃取联系人，并使用它们发送更多的垃圾邮件，并试图破解网络共享的密码。

Malwarebytes的研究人员指出，“因为Emotet病毒会非常凶猛地感染和重新感染其他机器，所以从企业中删除Emotet病毒可能是一项极其复杂和代价高的任务。例如，在宾夕法尼亚州阿伦敦市，一次错误的点击便导致了病毒爆发，据报道花费了100万美元才完成补救。”

就像LockBit是现代勒索软件程序的原型一样，Emotet也是僵尸网络的原型，充当恶意软件传递平台，是进入企业网络的初始访问提供商之一。

SocGholish网页挂马攻击十分活跃

网页挂马攻击，也称过路式下载攻击(Drive-by download)，指的是通过网站而非电子邮件发送的恶意软件威胁。在Java、Flash Player和Adobe Reader等浏览器插件的时代，这曾经是一种流行的技术，因为攻击者可以利用这些插件的过时版本中的漏洞。然而，这种方法仍然在使用，即使它现在需要用户交互和一点社交工程手段。

SocGholish是一种远程访问木马(RAT)，用作恶意软件加载程序。它通常是通过虚假的弹出窗口传播的，这些弹出窗口会显示在受攻击的网站上，或者通过恶意广告传播。如果用户接受了恶意的浏览器更新，他们通常会得到一个包含JavaScript文件的ZIP存档。如果执行，该文件将对机器和网络执行侦察，然后部署一些其他恶意软件威胁，通常是勒索软件。

Malwarebytes的研究人员警告称，“SocGholish很简单，但它利用了社交工程和目标指纹技术，其有效性足以危及知名公司，甚至关键的基础设施。它的最终目标是传播勒索软件，这是一个需要认真对待的威胁。”

Android dropper

由于移动设备在任何公司的设备中都占了很大比例，Android的威胁不应被忽视。Android droppers是一种木马程序，通常伪装成合法应用程序或付费应用程序的免费版本，由第三方应用商店和用户可能访问的各种网站分发。

一般来说，在Windows上安装它们不像安装恶意软件那么容易，因为用户需要更改默认的安全设置并忽略警告，但在谷歌官方Play商店中也有恶意应用程序被发现的案例。这些dropper可用于部署其他威胁，如隐藏广告、银行木马和窃取密码、电子邮件、录制音频和拍照的应用程序。

Malwarebytes表示，在2022年，安卓系统检测到的漏洞中，有14%是dropper。其他恶意软件的传播更为广泛，但dropper对企业构成的威胁最大。

广告软件是Mac电脑上最普遍的威胁

与Windows相比，macOS恶意软件生态系统要小得多，但威胁确实存在。其中最常见的一种是广告软件(adware)，即注入不必要广告的应用程序。macOS上最古老的此类程序之一叫做Genio，用于劫持浏览器搜索。

就像Android dropper一样，大多数macOS广告软件和恶意软件一般都是作为虚假应用程序或更新分发的。Genio曾经伪装成Flash Player更新或捆绑视频编解码器，最近它开始伪装成PDF阅读或视频转换应用程序。

一旦部署了Genio，就很难删除，因为它非常积极地隐藏自己。它会模仿系统文件和属于其他应用程序的文件，并使用代码混淆。它还会向其他进程注入库，利用系统缺陷授予自己权限，未经同意安装浏览器扩展，并操纵用户的密码密钥链。

Malwarebytes的研究人员表示，尽管Genio被归类为广告软件，但它也包含了一系列类似恶意软件的行为，旨在隐藏自己以进一步深入安装它的计算机，穿透防御系统并危及安全。去年，在macOS上检测到的威胁中，有10%是这种威胁。