2022年12月勒索軟件流行態(tài)勢(shì)分析

2023-01-09 14:40:14
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2022年12月，全球新增的活躍勒索軟件家族有:Seoul、Lucknite、Blocky、HentaiLocker等家族。本月沒(méi)有新增雙重勒索軟件家族，但Mallox勒索軟件家族從本月開(kāi)始在暗網(wǎng)公布受害者數(shù)據(jù)，目前已對(duì)外公布5個(gè)受害組織或企業(yè)的數(shù)據(jù)。

以下是本月值的關(guān)注的部分熱點(diǎn)：

一、TellYouThePass勒索軟件再次對(duì)國(guó)內(nèi)OA服務(wù)器發(fā)起攻擊。

二、以比利時(shí)市政部門(mén)為目標(biāo)的勒索軟件團(tuán)伙實(shí)際攻擊了警察系統(tǒng)。

三、勒索軟件攻擊迫使法國(guó)醫(yī)院轉(zhuǎn)移病人。

基于對(duì)360反勒索數(shù)據(jù)的分析研判，360政企安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：TellYouThePass家族占比22.14%居首位，其次是占比20.61%的phobos，而TargetCompany(Mallox)家族則以12.72%位居第三。

TellYouThePass勒索軟件在最近一年異常活躍，本月中旬，其再次使用高危漏洞，攻擊國(guó)內(nèi)OA服務(wù)器。攻擊共持續(xù)約16小時(shí)，造成大量安全防護(hù)不當(dāng)，未打補(bǔ)丁的機(jī)器感染該家族勒索軟件。

TargetCompany(Mallox)勒索軟件今年也動(dòng)作頻頻，近期我們監(jiān)測(cè)到，該家族開(kāi)始在其網(wǎng)站公開(kāi)被攻擊者數(shù)據(jù)，目前已公布了5個(gè)受害組織或企業(yè)的數(shù)據(jù)。若受害者收到的勒索提示信息中包含暗網(wǎng)地址，那么可能遭到了數(shù)據(jù)竊取攻擊。若只是郵箱，則有較大概率未被竊取數(shù)據(jù)。

本月TOP10家族中的CryLock家族，我們監(jiān)測(cè)到其傳播團(tuán)伙已將它重命名為T(mén)rigona，并建立了獨(dú)立的贖金談判網(wǎng)站。

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows 2008。?

2022年12月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

TellYouThePass勒索軟件再次對(duì)國(guó)內(nèi)OA服務(wù)器發(fā)起攻擊

本月，360政企安全集團(tuán)高級(jí)威脅研究分析中心 (CCTGA勒索軟件防范應(yīng)對(duì)工作組成員)監(jiān)測(cè)到Tellyouthepass勒索軟件利用多個(gè)漏洞進(jìn)行入侵攻擊，包括Atlassian Confluence OGNL 注入漏洞CVE-2022-26134、用友(Yonyou) GRP-U8 /UploadFileData 接口任意文件上傳漏洞、用友(Yonyou) NC accept 接口文件上傳漏洞、用友(Yonyou) NC NCInvokerServlet 接口任意代碼執(zhí)行漏洞、致遠(yuǎn)OA漏洞等。

攻擊者在12月12日至13日持續(xù)發(fā)起批量攻擊。最早監(jiān)測(cè)到的攻擊是在2022年12月12日凌晨02:31:43，而最近一次攻擊則是發(fā)生在2022年12月13日18:47。利用Web漏洞入侵后，攻擊者直接利用Web宿主進(jìn)程（如java.exe）進(jìn)行對(duì)系統(tǒng)進(jìn)行加密并提出勒索。該勒索軟件家族通常通過(guò)漏洞利用批量掃描進(jìn)行攻擊，受影響較大的是存在Web漏洞且對(duì)外網(wǎng)映射的服務(wù)器。

Tellyouthepass勒索軟件已經(jīng)不是第一次利用高危漏洞發(fā)起攻擊：早在2020年該家族就已利用永恒之藍(lán)漏洞攻擊多個(gè)目標(biāo)，而2021年其再次利用Apache Log4j2遠(yuǎn)程代碼執(zhí)行高危漏洞(CVE-2021-44228)攻擊了多個(gè)目標(biāo)。

以比利時(shí)市政部門(mén)為目標(biāo)的勒索軟件團(tuán)伙實(shí)際攻擊了警察系統(tǒng)

Ragnar Locker勒索軟件團(tuán)伙發(fā)布了他們認(rèn)為是竊取自比利時(shí)茲維因德雷赫特市的數(shù)據(jù)，但事實(shí)證明是從比利時(shí)安特衛(wèi)普警察部門(mén)茲維因德利赫特警察局所竊取到的數(shù)據(jù)。

據(jù)報(bào)道，泄露的數(shù)據(jù)暴露了數(shù)千輛汽車(chē)牌照、罰款、犯罪報(bào)告文件、人員詳情、調(diào)查報(bào)告等信息。而這類數(shù)據(jù)可能會(huì)暴露舉報(bào)犯罪或虐待的舉報(bào)人員隱私信息，并可能危及正在進(jìn)行的執(zhí)法及調(diào)查行動(dòng)。

比利時(shí)媒體稱此次數(shù)據(jù)泄露是此類事件中影響該國(guó)公共服務(wù)的最大事件之一，暴露了茲維因德利赫特警方從2006年至2022年9月保存的所有數(shù)據(jù)。

勒索軟件攻擊迫使法國(guó)醫(yī)院轉(zhuǎn)移病人

位于巴黎郊區(qū)的安德雷·米格諾教學(xué)醫(yī)院因12月3日晚發(fā)生的勒索軟件攻擊，不得不關(guān)閉其電話和電腦系統(tǒng)。

據(jù)稱，這起勒索軟件事件背后的攻擊者已經(jīng)要求贖金。但院方并不打算支付。

目前，醫(yī)院已取消了部分手術(shù)。據(jù)法國(guó)衛(wèi)生與預(yù)防部長(zhǎng)弗朗索瓦·布勞恩表示，院方還被迫將6名患者從新生兒和重癥監(jiān)護(hù)室轉(zhuǎn)移到其他醫(yī)療機(jī)構(gòu)。

負(fù)責(zé)數(shù)字轉(zhuǎn)型和電信的部長(zhǎng)代表讓·諾埃爾·巴羅表示，醫(yī)院已隔離了受感染的系統(tǒng)來(lái)限制勒索軟件向其他設(shè)備的傳播，并向法國(guó)國(guó)家信息系統(tǒng)安全與防御局（ANSSI）發(fā)出了警報(bào)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有239個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)5個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有12個(gè)組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對(duì)2022年12月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

通過(guò)觀察2022年12月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l?locked1:?屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過(guò)各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過(guò)數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。l

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l?locked:同locked1。

l?faust：同devos。?

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?eking：同devos。

l?elbie:同devos。

l?_locked：屬于Trigona(CryLock)勒索軟件家族，由于被加密文件后綴會(huì)被修改為_(kāi)locked而成為關(guān)鍵詞。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Loki，其次是Tesla。使用解密大師解密文件的用戶數(shù)量最高的是Crysis被家族加密的設(shè)備(解密文件數(shù)較小故未入榜)，其次是被Stop家族加密的設(shè)備。

2022年12月勒索軟件流行態(tài)勢(shì)分析

以比利時(shí)市政部門(mén)為目標(biāo)的勒索軟件團(tuán)伙實(shí)際攻擊了警察系統(tǒng)

勒索軟件攻擊迫使法國(guó)醫(yī)院轉(zhuǎn)移病人

熱點(diǎn)排行

關(guān)注我們