2023年1月勒索軟件流行態(tài)勢分析

2023-02-03 18:08:39
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

以下是本月值的關(guān)注的部分熱點(diǎn)：

Lorenz勒索軟件團(tuán)伙會(huì)在入侵后部署后門長達(dá)數(shù)月。

BitDefender免費(fèi)放出MegaCortex勒索軟件解密工具，360解密大師同步跟進(jìn)。

Vice Society勒索軟件發(fā)動(dòng)多起勒索攻擊。

基于對360反勒索數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：phobos家族占比22.83%居首位，其次是占比20.29%的BeijingCrypt，TargetCompany(Mallox)家族以15.94%位居第三。

Standby和RCRU64雖并非本月新增的勒索家族，但是首次進(jìn)入月度排行TOP10。這兩個(gè)家族目前在國內(nèi)較為活躍，其傳播方式采用了最為常見的暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的分別是：Windows 10、Windows Server 2008以及Windows Server 2012。

2023年1月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

Lorenz勒索軟件團(tuán)伙會(huì)在入侵后部署后門長達(dá)數(shù)月

安全研究人員警告，在對Lorenz勒索軟件的攻擊事件展開分析研究的過程中發(fā)現(xiàn)，黑客在開始橫向移動(dòng)、竊取數(shù)據(jù)和加密系統(tǒng)之前五個(gè)月，就已經(jīng)侵入了受害者網(wǎng)絡(luò)。經(jīng)分析確認(rèn)，黑客是利用CVE-2022-29499（Mitel電話基礎(chǔ)設(shè)施中的一個(gè)重要漏洞，允許遠(yuǎn)程代碼執(zhí)行）獲得了初始訪問權(quán)限。

研究人員發(fā)現(xiàn)，Lorenz勒索軟件的幕后黑客行動(dòng)非常迅速，在掌握漏洞利用方法后第一時(shí)間進(jìn)行了實(shí)際運(yùn)用。其在受害用戶修復(fù)漏洞的前一周，便已經(jīng)成功入侵了其網(wǎng)絡(luò)系統(tǒng)并安裝了PHP Web Shell后門。同時(shí)，黑客試圖隱藏后門，將其命名為“twitter_icon_<勒索字符串>”，并將其放置在系統(tǒng)的合法位置目錄中。

而在成功安裝后門的五個(gè)月后，當(dāng)黑客準(zhǔn)備繼續(xù)攻擊時(shí)，他們才啟用了該后門并在48小時(shí)內(nèi)部署了Lorenz勒索軟件。

BitDefender免費(fèi)放出MegaCortex勒索軟件解密工具

反病毒公司BitDefender對外發(fā)布了MegaCortex家族勒索軟件的解密工具，使這個(gè)“曾經(jīng)臭名昭著的勒索軟件家族”的受害者可以免費(fèi)恢復(fù)他們的數(shù)據(jù)。

MegaCortex勒索軟件首次被發(fā)現(xiàn)于2019年5月，該家族軟件會(huì)通過QBot、Emotet和Cobalt Strike等渠道傳播，并針對企業(yè)網(wǎng)絡(luò)發(fā)起攻擊。2019年7月，MegaCortex運(yùn)營者發(fā)起了多起攻擊，并根據(jù)受害者的企業(yè)規(guī)模調(diào)整贖金要求。2019年11月，MegaCortex運(yùn)營者則進(jìn)一步開始采用雙重勒索策略，威脅受害者如果不滿足他們的贖金要求，就會(huì)公布他們竊取到的數(shù)據(jù)。

2021年10月，歐洲刑警組織宣布逮捕了12名發(fā)起勒索軟件攻擊的人員，其中就包含了MegaCortex家族的相關(guān)人員。

在該解密公布后，360解密大師已經(jīng)第一時(shí)間同步添加了對該勒索家族的解密功能。

Vice Society勒索軟件發(fā)動(dòng)多起勒索攻擊

據(jù)澳大利亞維多利亞州消防救援局（FRV）公布的消息，該局于去年12月遭到Vice Society勒索軟件攻擊，對其多臺(tái)內(nèi)部服務(wù)器及郵件系統(tǒng)造成了影響，直接導(dǎo)致其內(nèi)部大面積的IT系統(tǒng)癱瘓。此外，F(xiàn)RV還表示，黑客在其內(nèi)部網(wǎng)絡(luò)中竊取了多種數(shù)據(jù)——包括有關(guān)現(xiàn)任及前任員工、承包商、借調(diào)人員和求職者的信息。

與該攻擊類似，Vice Society自己也公布了去年11月時(shí)針對德國杜伊斯堡-埃森大學(xué)（UDE）的攻擊事件。這一攻擊迫使該大學(xué)重建其IT基礎(chǔ)設(shè)施，截止目前，重建仍未完成。同樣的，攻擊者還發(fā)布了自稱是在網(wǎng)絡(luò)入侵期間從學(xué)校設(shè)備中竊取到的文件，內(nèi)容涉及到有關(guān)大學(xué)運(yùn)營、學(xué)生和人員的敏感細(xì)節(jié)。受到IT基礎(chǔ)設(shè)施損壞所帶來的影響影響，醫(yī)院已取消了部分手術(shù)。此外，據(jù)法國衛(wèi)生與預(yù)防部消息，受IT基礎(chǔ)設(shè)施遭勒索軟件攻擊的影響，法國一些醫(yī)院被迫取消了部分手術(shù)，甚至導(dǎo)致多名患者不得不從這些醫(yī)院的重癥監(jiān)護(hù)室轉(zhuǎn)移到其他醫(yī)療機(jī)構(gòu)。

而UDE方面已確認(rèn)收到了攻擊且已知曉數(shù)據(jù)泄露問題。但堅(jiān)稱不會(huì)向攻擊者支付任何贖金。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。未發(fā)現(xiàn)數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人，也請第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有182個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含在本月遭遇了雙重勒索/多重勒索的3個(gè)中國組織/企業(yè)。此外，有4個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2023年1月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

通過觀察2023年1月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進(jìn)行傳播。

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?Encrypt：屬于ech0Raix勒索軟件家族，由于被加密文件后綴會(huì)被修改為encrypt而成為關(guān)鍵詞，該勒索軟件家族主要針對NAS設(shè)備發(fā)起勒索攻擊，不僅會(huì)爆破破解桌面協(xié)議還會(huì)利用NAS設(shè)備系統(tǒng)漏洞進(jìn)行攻擊。

l?elbie：同devos。

l?eking：同devos。

l?Locked：?屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l?Xollam：同mallox。

l?milovski：同mallox。

l?faust：同devos。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密文件數(shù)量最大的是Sodinokibi，其次是GandCrab。而從解密的設(shè)備量來看，解密最多的是被Stop家族加密的設(shè)備，排在其后的則是被Crysis家族加密的設(shè)備。

2023年1月勒索軟件流行態(tài)勢分析

Lorenz勒索軟件團(tuán)伙會(huì)在入侵后部署后門長達(dá)數(shù)月

BitDefender免費(fèi)放出MegaCortex勒索軟件解密工具

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

熱點(diǎn)排行

關(guān)注我們

2023年1月 勒索軟件流行態(tài)勢分析

Lorenz勒索軟件團(tuán)伙會(huì)在入侵后部署后門長達(dá)數(shù)月

BitDefender免費(fèi)放出MegaCortex勒索軟件解密工具

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

熱點(diǎn)排行

關(guān)注我們

2023年1月勒索軟件流行態(tài)勢分析