Emotet被摧毁，TrickBot爬上来

在CheckPoint的月度跟踪中，TirckBot在2021年2月的威胁指数超过了 Emotet。TirckBot增大了恶意邮件投递活动的强度，同时Emotet被联手拆除在全球范围内陷入沉寂。使得TirckBot一举跃升为CheckPoint监测的最活跃恶意软件榜单首位。

仅在一个月前，TirckBot只能在榜单上排名第三，而在2020年整体排名为第四，那时的第一名被Emotet牢牢占据。但是进入2021年1月份，在全球执法部门的联合行动下，Emotet的攻击基础设施被大量拆除。网络犯罪者也从Emotet转向了TrickBot，这二者都常作为第一阶段的Loader来下载其他恶意软件。

“即使拆除了排名第一的恶意软件网络，仍然有许多其他恶意软件对全球网络构成威胁。组织必须拥有强大的安全系统，才能防止受到网络攻击，并最大程度地降低其风险”CheckPoint在报告中表示。

但CheckPoint表示，现在的TrickBot还远没有达到之前Emotet的威胁程度。“尽管暂时还没有其他恶意软件能够达到Emotet的规模，但是 Emotet留下的空白会被其他威胁补位，对网络和环境仍然构成极高的风险”。

TrickBot 活动

TrickBot在二月发起了针对保险和法律行业的攻击，诱使用户点击执行恶意的 .ZIP文件。网络犯罪分子正在寻找Emotet的接班人，而TrickBot 可能是进入视线范围内的好选择。

2020 年TrickBot针对通用医疗服务发起了多次攻击，进入网络后窃取重要数据并投递 Ryuk 勒索软件。辉煌战绩证明了TrickBot的能力，与此同时TrickBot还提供了很强的灵活性。

2016年TrickBot刚刚问世时是为了窃取银行密码，其高度模块化和躲避检测的能力都为人称道。2020年12 月，TrickBot又更新了被命名为 TrickBoot的新模块来感染系统的UEFI/BIOS固件。

卷土重来

微软在去年十月主导的拆除行动严重摧毁了TrickBot的根基，一度 TrickBot陷入基本停摆。显然，TrickBot正卷土重来。

微软副总裁Tom Burt表示：“微软通过法院授权与全球电信运营商的合作，从技术上摧毁了TrickBot”，“由于摧毁了其关键攻击基础设施，TrickBot的运营方已经不能再发起新的感染或者勒索了”。

二月，排名第二的恶意软件是XMRing，该恶意软件正在伪装成广告拦截工具但进行门罗币挖矿和勒索加密的双重打击。安全公司卡巴斯基表示，过去的两个月内XMRing共感染了超过2万多名用户。

漏洞

根据CheckPoint的报告，在2月份被发现攻击者利用最多的漏洞是 “Web Server Exposed Git Repository Information Disclosure”，该漏洞影响了全球48%的公司。其次是“HTTP Headers Remote Code Execution”（CVE-2020-13756），该漏洞影响了全球 46％ 的公司。“MVPower DVR Remote Code Execution”漏洞则排名第三，影响了全球 45％ 的公司。

移动恶意软件

排名第一的是Hiddad，其次是xHelper 与 FurBall 远控（MRAT）。

总结

除了定期修补漏洞、定期更新系统进行安全更新，CheckPoint 还建议对用户进行培训，这是保护任何组织免受网络安全侵害的最佳方法。