2023年3月勒索軟件流行態(tài)勢(shì)分析

2023-04-07 16:55:25
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2023年3月，全球新增的活躍勒索軟件家族有:Merlin、726、?DarkPower等家族。其中DarkPower是本月新增的雙重勒索軟件，該家族最早出現(xiàn)于2022年，于本月開始采用雙重勒索模式運(yùn)營，其編程語言采用了在勒索軟件中罕見的Nim語言。

以下是本月值的關(guān)注的部分熱點(diǎn)：

1.?CL0P勒索軟件再度活躍，超百家機(jī)構(gòu)成受害者

2.?水果巨頭都樂遭受勒索軟件攻擊影響運(yùn)營

3.?法拉利在收到勒索贖金要求后遭數(shù)據(jù)泄露

基于對(duì)360反勒索數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：phobos家族占比23.97%居首位，其次是占比19.85%的BeijingCrypt，TargetCompany(Mallox)家族以14.61%位居第三。

通過暴力破解遠(yuǎn)程桌面成功后手動(dòng)投毒的Standby勒索軟件家族感染量持續(xù)在上升。

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows 2012。

2023年3月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件流行態(tài)勢(shì)分析

CL0P勒索軟件再度活躍，超百家機(jī)構(gòu)成受害者

停更近2年的CL0P勒索軟件再度活躍，此次主要利用Fortra GoAnywhere MFT安全文件共享解決方案中存在的0day漏洞，對(duì)部署了該解決方案的公司展開數(shù)據(jù)竊取及勒索行動(dòng)。

今年2月，GoAnywhere MFT文件傳輸解決方案的開發(fā)人員曾警告其客戶：該解決方案的管理控制臺(tái)代碼中存在0day遠(yuǎn)程代碼執(zhí)行漏洞CVE-2023-0669。雖然該開發(fā)人員并沒有公開分享該漏洞的利用細(xì)節(jié)，但很快就發(fā)布了概念驗(yàn)證漏洞，隨后又發(fā)布了該漏洞的補(bǔ)丁。

而就在GoAnywhere補(bǔ)丁發(fā)布后的第二天，Clop勒索軟件團(tuán)伙便表示他們對(duì)這些攻擊負(fù)責(zé)。該組織聲稱他們利用該漏洞在十天內(nèi)竊取了130家公司的數(shù)據(jù)。此后，社區(qū)衛(wèi)生系統(tǒng)（CHS）和哈奇銀行兩家公司披露稱存儲(chǔ)在GoAnywhere MFT中的數(shù)據(jù)遭到竊取。本月，CL0P勒索團(tuán)伙在其“數(shù)據(jù)泄露網(wǎng)站”上傳了包括日立能源、多倫多市等104個(gè)組織/企業(yè)的數(shù)據(jù)。

水果巨頭都樂遭受勒索軟件攻擊影響運(yùn)營

全球最大的果蔬生產(chǎn)及分銷商都樂食品公司發(fā)聲明表示受到勒索軟件攻擊，并正對(duì)攻擊展開應(yīng)對(duì)。關(guān)于此次攻擊事件公布的細(xì)節(jié)很少，都樂僅表示目前正在調(diào)查“事件的范圍”且“影響有限”。

盡管都樂將影響描述為“有限”，但美國德州一家雜貨店在Facebook上泄露的一份備忘錄表明，這家食品巨頭被迫關(guān)閉了其在北美的生產(chǎn)工廠并已停止向雜貨店發(fā)貨。

一周以來，北美地區(qū)消費(fèi)者一直在抱怨商店貨架上預(yù)包裝的都樂沙拉短缺。雖然該公司沒有透露攻擊發(fā)生的具體時(shí)間，但這很可能是這次勒索軟件攻擊造成的短缺。

法拉利在收到勒索贖金要求后遭數(shù)據(jù)泄露

意大利豪華跑車制造商法拉利確認(rèn)遭到到了勒索攻擊。據(jù)法拉利公司稱，在攻擊者獲得對(duì)公司部分IT系統(tǒng)的訪問權(quán)限后，收到了贖金要求，同時(shí)數(shù)據(jù)也已遭到泄露。

據(jù)公司表示，事件中遭泄露的客戶信息包括姓名、地址、電子郵件地址和電話號(hào)碼。而到目前為止，法拉利尚未發(fā)現(xiàn)付款細(xì)節(jié)、銀行帳號(hào)或其他敏感付款信息被訪問或竊取的證據(jù)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有445個(gè)組織/企業(yè)遭遇勒索攻擊，其中中國有5個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。此外，有15個(gè)組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 7?、Windows 2016以及Windows Server 2003。

對(duì)2023年3月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

通過觀察2023年3月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進(jìn)行傳播。

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l?halo：同360。

l?faust:屬于phobos勒索軟件家族，因被加密文件后綴會(huì)被修改為faust而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?elbie：同faust。

l?lockbit：屬于LockBit勒索軟件家族，因被加密文件后綴會(huì)被修改為lockbit而成為關(guān)鍵詞。該家族的運(yùn)營模式可以分為兩種不同的方式。第一種是無差別攻擊，該方式會(huì)對(duì)全網(wǎng)發(fā)起數(shù)據(jù)庫弱口令攻擊或遠(yuǎn)程桌面弱口令攻擊，一旦攻擊成功，勒索軟件將被投毒到受害者計(jì)算機(jī)中。在這種情況下，攻擊者并不會(huì)竊取受害者的數(shù)據(jù)。第二種是針對(duì)性攻擊，該方式主要針對(duì)大型企業(yè)，攻擊者不僅會(huì)部署勒索軟件，還會(huì)竊取企業(yè)重要的數(shù)據(jù)。如果受害組織或企業(yè)無法在規(guī)定時(shí)間內(nèi)繳納贖金，該團(tuán)伙將會(huì)把數(shù)據(jù)發(fā)布到其數(shù)據(jù)泄露站點(diǎn)上，任何可以訪問該網(wǎng)站的人都可以下載受害者的數(shù)據(jù)。

l?_locked:屬于CryLock(Trigona)勒索軟件家族，由于被加密文件后綴會(huì)被修改為_locked而成為關(guān)鍵詞。該家族主要的傳播方式：暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒以及暴力破解數(shù)據(jù)庫密碼后遠(yuǎn)程投毒。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

2023年3月勒索軟件流行態(tài)勢(shì)分析

感染數(shù)據(jù)分析