今年，又是新冠病毒和恶意软件持续猖獗的一年。无论是在现实世界还是在虚拟网络，世界各地的人们仍在与病毒(现实的新冠病毒和网络上的病毒程序)斗争。不过，今年的网络世界还是呈现出了一些可怕的新变化：攻击关键基础设施和供应链已成为一种新趋势。

今年，我们看到一些久负“盛”名的玩家纷纷退场，一些去了海滩度假，一些进了监狱。不过，无论如何，2021年仍然是网络威胁(尤其是勒索软件)主导新闻头条的一年。

勒索软件攻击已从一种趋势演变为一种新常态。每个主要的勒索软件活动都在使用“双重勒索”策略，这对小企业来说无疑是一种可怕的现象。在“双重勒索”中，威胁行为者不仅会窃取和锁定文件，而且如果没有达成赎金协议，他们还会以最具破坏性的方式泄露受害者数据。不过，好消息是，去年平均赎金的峰值为200000 美元，而如今的平均水平已经略低于150000美元。

坏消息是，攻击者正在扩大目标群并瞄准各种规模的企业。事实上，大多数受害者都是小企业，他们最终都支付了约50000美元的赎金。而且，勒索软件攻击者的策略正日益完善，不断招募人才并提供简化的用户体验。更重要的是，除了勒索软件攻击外，供应链攻击也正成为一个棘手的问题。

网络钓鱼仍然是这些活动的关键，它通常是恶意软件危害企业的第一步。这也凸显了用户教育的重要性。企业只需要培训用户不要点击这些网络钓鱼诱饵或启用附件中的宏——这些方法已被证明可以阻止这些恶意软件的活动。

下面就为大家盘点2021年最恶劣的恶意软件(排名不分先后)：

1. LemonDuck

LemonDuck作为一个著名的僵尸网络和加密货币挖掘有效负载，仅仅存在了几年。它是最恼人的有效载荷之一，因为它将使用几乎所有的感染媒介，例如以新冠病毒为主题的电子邮件、漏洞利用、无文件powershell模块和暴力破解。在2021年，LemonDuck再次变得越来越流行，甚至添加了一些新功能，例如窃取凭证、删除安全协议等。

更糟糕的是，LemonDuck会同时攻击Linux系统和Windows，这一点既便利又罕见。而且，它还会利用受害者只专注于修补最近和流行漏洞的心态，通过旧的漏洞进行攻击。

一个有趣的怪癖是，LemonDuck还会“黑吃黑”，通过消除相互竞争的恶意软件感染，将其他黑客从受害者的设备中移除。LemonDuck希望成为最大、最恶劣的恶意软件，他们甚至通过修补用于访问的漏洞来防止新的感染。它还会挖掘门罗币(XMR)，以实现最大利润。这些利润是即时的，甚至可以说是“多劳多得”的。攻击没有赎金要求，因此受害者不会了解这种攻击/破坏。

2. REvil

即便是不了解信息安全的人，想必也都听说过发生在七月份的Kaseya供应链攻击事件，致使其他企业中招，其中包括全球肉类供应商JBS。

你可能在2018年听说过名为Gandcrab的勒索软件，或在2019年听说过Sodinokibi。没错，他们都是同一个团体，今年他们的身份是REvil。他们提供勒索软件即服务(RaaS)，这意味着他们制作加密有效载荷，并为暗网上的勒索泄露网站提供便利。附属公司将使用勒索软件有效载荷进行攻击，并共享所有利润。

在Kaseya攻击事件以及随后白宫和普京的会晤后不久，REvil支付和泄露网站就下线了。根据相关信息所示，REvil服务器基础设施遭到了政府的取缔，迫使REvil完全删除服务器基础设施并消失。

与此列表中的许多恶意软件一样，REvil并没有自此消失，而是于9月初在暗网上的泄露网站上重新上线。在稍作休整后，他们又重新启动了自己的基础设施。

3. Trickbot

作为一种流行的银行木马，Trickbot已经存在了10年，现在已经发展为最广为人知的僵尸网络之一。Trickbot因其多功能性和弹性被大量网络犯罪组织使用，也与许多勒索软件组织存在关联。

去年秋天晚些时候，美国国防部(DoD)、微软和其他机构对该组织的僵尸网络进行了攻击，几乎将其摧毁。但就像任何优秀的僵尸一样，它在Emotet关闭后再次崛起，发展成头号僵尸网络。

Trickbot感染几乎总是会导致勒索软件攻击。一旦进入设备，它就会在网络中横向移动，利用漏洞传播和收集尽可能多的凭据。有时，收集所有域凭据需要几周或几个月的时间。一旦他们完全控制了环境，就能确保勒索软件发挥最大威力，即便是采取缓解措施也无济于事。

4. Dridex

作为另一个流行多年的银行木马和信息窃取程序，Dridex与Bitpaymer/Doupelpaymer/Grief等勒索软件紧密相关。Dridex一直在Emotet的机器上运行，Emotet关闭后，它便开始运行自己的恶意垃圾邮件活动。

一旦进入设备，它也会通过网络横向移动，在每台机器上放置Dridex加载程序。就像Trickbot一样，Dridex也会花大量时间收集凭证，直至获得完全控制权，从而对目标网络造成最大程度的破坏，同时防止缓解策略生效。

5. Conti

这个勒索软件组织对人们来说并不陌生，它曾是Ryuk(使用Emotet和Trickbot)背后的勒索软件运营商。事实上，他们曾被美国联邦调查局评为“2019年最成功的勒索软件组织”。虽然Conti通过RDP部署，但它通常不会对不安全的RDP进行暴力破解。大多数情况下，凭据是从Trickbot或Qakbot等窃取信息的木马程序中获取。

这些勒索软件开发者还运营着一个泄露网站，以进一步恐吓受害者支付赎金。Conti在2021年登上了许多头条新闻，并入侵了许多大型组织，且至今仍在活跃。此外，研究人员还注意到，LockFile勒索软件将Conti团伙的电子邮件地址列为付款联系人，这一线索将这两个群体联系在了一起。

6. Cobalt Strike

Cobalt Strike是白帽公司设计的渗透测试工具，其目的是帮助红队模拟攻击，以便黑客可以渗透到环境中，确定它的安全漏洞并做出适当的更改。这个工具有几个非常强大和有用的功能，如进程注入、权限提升、凭证和散列获取、网络枚举、横向移动等。

所有这些对黑客来说都极具吸引力，所以我们经常看到黑客使用Cobalt Strike也就不足为奇了。在“最恶劣的恶意软件”榜单中列出一个白帽子工具，可以说是绝无仅有的，但是这个工具很容易用于可扩展的自定义攻击。也难怪如此多的攻击者将其作为武器库中的工具之一。

7. Hello Kitty

HelloKitty勒索软件运营商自2020年11月以来一直处于活跃状态，今年7月以来，他们开始使用其恶意软件的Linux变体以VMware ESXi虚拟机平台为目标实施攻击。

而它最出名的事迹还要数破坏CD Projekt RED并窃取其游戏源代码，包括著名的《CyberPunk 2077》和《Witcher 3》等。

8. DarkSide

Colonial Pipeline攻击是2021年最引人注目的攻击事件，导致了天然气短缺和恐慌性购买情绪。不过，此事也提醒我们，勒索软件攻击的破坏性有多大，就像当年的Wannacry。

该勒索软件即服务(RaaS)组织声称，他们无意攻击基础设施，并将攻击行为推给其附属机构。但就在袭击发生几周后，又出现了一种名为“Black Matter”的类似 RaaS组织，并声称将攻击除医疗和国家机构以外的所有环境。同时，他们还声称与DarkSide不是同一个人。但老实说，谁相信呢?