2022年8月勒索軟件態(tài)勢分析

2022-09-08 10:08:18
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務(wù)已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2022年8月，全球新增的活躍勒索軟件家族有: Moishsa、Filerec、D0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP等家族，其中D0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP均為雙重勒索勒索軟件家族。其中VSOP勒索軟件是Onyx勒索軟件演變而來，加密大于2MB文件時，將使用垃圾數(shù)據(jù)進行覆蓋，因此被該家族加密的文件，購買解密器也只能恢復(fù)小于等于2MB的文件。

以下是本月最值得關(guān)注熱點：

一、?TellYouThePass針對中小微企業(yè)用戶發(fā)起大規(guī)模勒索攻擊。

二、?LockBit勒索軟件家族采用三重勒索模式運營。

三、?勒索軟件買一贈一？新型勒索軟件RoBaj還未傳播先被感染。

四、?Cisco遭閻羅王勒索軟件攻擊，2.8TB數(shù)據(jù)被竊取。

? ? ? 基于對360反勒索數(shù)據(jù)的分析研判，360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中勒索軟件家族進行統(tǒng)計，TellYouThePass家族占比50.18%居首位，其次是占比10.73%的phobos，BeijingCrypt家族以5.45%位居第三。

本月TellYouThePass利用安全漏洞，對中小微企業(yè)發(fā)起攻擊，短時間的大量傳播導(dǎo)致其占比超過了50%。TellYouThePass多次對國內(nèi)用戶發(fā)起攻擊，善于利用各類nday漏洞，發(fā)起快速攻擊。對該家族應(yīng)該提高警惕。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。?

2022年8月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。與上個月相比，本月因突發(fā)事件影響，導(dǎo)致被勒索軟件感染的服務(wù)器系統(tǒng)占比上漲近18%。

勒索軟件疫情分析

TellYouThePass針對中小微企業(yè)用戶發(fā)起大規(guī)模勒索攻擊

360安全大腦監(jiān)測到，TellYouThePass勒索軟件家族利用安全漏洞針對國內(nèi)中小微企業(yè)用戶發(fā)起攻擊，此次攻擊從8月28日21時開始，一直持續(xù)到8月29日1時左右，短時間內(nèi)有較多設(shè)備被加密。

被攻擊設(shè)備中的大部分文件被加密，后綴被添加“.locked”擴展名，并留下勒索信息READ_ME.html，內(nèi)容為支付0.2比特幣，并留下聯(lián)系郵箱。通過與攻擊者郵件溝通，對方能夠熟練使用中文，對該勒索病毒的分析顯示，病毒依然沿用三層加密技術(shù)，在沒有攻擊者私鑰的情況下，無法大規(guī)模技術(shù)破解。

黑客或許是為了躲避追蹤，沒過多久便不再使用勒索提示信息中留下的郵箱和錢包地址。除此之外黑客索要的贖金也降低至0.08BTC。有消息稱，黑客與第三方協(xié)議只需0.05BTC即可解密一臺設(shè)備，這很大可能是黑客降價的原因。

LockBit勒索軟件家族采用三重勒索模式運營

LockBit勒索軟件團伙宣布，它正在改善對分布式拒絕服務(wù)（DDoS）攻擊的防御能力。同時，他們也受此啟發(fā)，準備將DDoS作為新增的“第三重”勒索手段。

近期，該團伙遭受了來自安全公司Entrust的DDoS攻擊，該攻擊的目的是為了阻止外界對該團伙在其泄漏網(wǎng)站上發(fā)布的Entrust公司相關(guān)數(shù)據(jù)的訪問。

而就在8月底，LockBit勒索軟件團伙便通過自家的LockBitSupp對外宣布，該團伙已通過改進網(wǎng)絡(luò)設(shè)備重新恢復(fù)業(yè)務(wù)，使其泄露能力免受DDoS攻擊的影響。與此同時，勒索軟件運營者現(xiàn)在還尋求在加密數(shù)據(jù)并泄漏數(shù)據(jù)的基礎(chǔ)上再添加DDoS作為新的第三重勒索策略。

勒索軟件買一贈一？新型勒索軟件RoBaj還未傳播先被感染。

近日360安全大腦監(jiān)測到一款新型勒索軟件RoBaj。該勒索軟件使用C#編寫，通過暴力破解遠程桌面登錄口令的方式入侵系統(tǒng)并手動投毒。文件被加密后不僅擴展名會被修改為.RoBaj，文件圖標會被修改為一個紅色的骷髏頭。

該勒索軟件家族是比較少有的支持中英雙語的勒索軟件，值得注意的是，該勒索軟件開發(fā)者的環(huán)境似乎被Neshta蠕蟲感染，勒索軟件釋放的所有可執(zhí)行程序均感染Neshta蠕蟲。這讓受害者面臨更大的威脅。目前360高級威脅研究分析中心目前已完成對該病毒的破解，若有用戶不幸中招，可第一時間提交反勒索服務(wù)尋求解密幫助。

Cisco遭閻羅王勒索軟件攻擊，2.8TB數(shù)據(jù)被竊取。

思科公司于8月10日證實，閻羅王勒索軟件組織在5月下旬入侵了其公司網(wǎng)絡(luò)，入侵者試圖在網(wǎng)上泄露被盜文件用以勒索他們。該公司透露，攻擊者只是從受入侵員工帳戶所關(guān)聯(lián)的共享文件夾中收集和竊取到一些非敏感數(shù)據(jù)。

閻羅王攻擊者是在劫持了員工的個人Google帳戶（其中包含從其瀏覽器同步的登錄憑據(jù)）后，使用被盜的憑據(jù)訪問了思科的網(wǎng)絡(luò)。而該組織也在8月初時發(fā)聲，表示已竊取了思科2.75GB的數(shù)據(jù)，其中包括大約3100個文件，文件中還包含了許多保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲及工程圖紙。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

? ?當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有193個組織/企業(yè)遭遇勒索攻擊，其中包含中國4個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業(yè)?

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，針對服務(wù)器進行全量下發(fā)系系統(tǒng)安全防護功能，針對非服務(wù)器版本的系統(tǒng)僅在發(fā)現(xiàn)被攻擊時才下發(fā)防護。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2022年8月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2022年8月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動.

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?l?locked:屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l?devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。

l?elbie:?屬于phobos勒索軟件家族，由于被加密文件后綴會被修改為elbie而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?baxgj：屬于Sodinokibi(REvil)勒索軟件家族，由于被加密文件后綴被修改為baxgj而成為關(guān)鍵詞（一個受害者通過一個后綴，本月搜索量較大主要因為某企業(yè)受災(zāi)面積廣，導(dǎo)致搜索量上漲。）通常加密文件前還會竊取受害企業(yè)內(nèi)部數(shù)據(jù)。因其采用RaaS模式運營，其下附屬公司多，因此其傳播方式通常非常多樣化。

l?fargo3：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為fargo3。該家族傳播渠道有多個，包括匿隱僵尸網(wǎng)絡(luò)、橫向滲透以及數(shù)據(jù)庫弱口令爆破和遠程桌面弱口令爆破。

l?eking：同elbie。

l?7dulptm：屬于BlackCat勒索軟件家族，由于被加密文件后綴會被修改為7dulptm而成為關(guān)鍵詞。通常加密文件前還會竊取受害企業(yè)內(nèi)部數(shù)據(jù)。因其采用RaaS模式運營，其下附屬公司多，因此其傳播方式通常非常多樣化。

l?consultraskey: 同fargo3。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab，其次是Coffee。使用解密大師解密文件的用戶數(shù)量最高的是被Stop家族加密的設(shè)備，其次是被Crysis家族加密的設(shè)備。

本月新增對Robaj勒索軟件家族的解密支持。