2023年6月勒索軟件流行態(tài)勢分析

2023-07-06 16:57:09
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

2023年6月，全球新增的活躍勒索軟件家族有Akira、Rhysida、8Base等家族。其中8Base是本月新增的雙重勒索軟件，該勒索軟件團伙最初出現(xiàn)于2022年3月，一直相對低調(diào)，沒有發(fā)動太多引人注目的攻擊。然而，到了2023年6月，該勒索軟件運營活動出現(xiàn)了較明顯的增加趨勢，以雙重勒索方式針對多個行業(yè)的公司進行攻擊。到目前為止，8Base已在其暗網(wǎng)勒索網(wǎng)站上列出了35個受害者。

以下是本月值得關(guān)注的部分熱點：

1. Tellyouthepass發(fā)起多輪攻擊，國內(nèi)逾2000臺設(shè)備中招

2. 新0day漏洞MOVEit Transfer在數(shù)據(jù)竊取攻擊中被廣泛使用

3. 臺積電否認遭到LockBit黑客攻擊，勒索軟件團伙要求支付7000萬美元贖金

基于對360反勒索服務數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中病毒家族進行統(tǒng)計：Phobos家族占比25%居首位，TellyouThepass家族占比20.93%位居第二，BeijingCrypt家族占比12.21%位居第三。

本月利用java等web應用系統(tǒng)漏洞進行攻擊傳播的TellyouThepass勒索軟件家族有明顯上升，月內(nèi)發(fā)起了多輪攻擊。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2023年6月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型占比基本相當。

勒索軟件疫情分析

Tellyouthepass發(fā)起多輪攻擊，國內(nèi)逾2000臺設(shè)備中招

自上月開始，Tellyouthepass勒索軟件異常活躍，并頻繁發(fā)動攻擊。自6月22日起，其又發(fā)起了新一輪大規(guī)模攻擊，持續(xù)至今。攻擊目標包括：金蝶K3Cloud，海康威視IVMS，用友時空KSOA，用友時空CCERP，用友時空CDM，速達天耀，用友時空（未確定具體產(chǎn)品），泛微OA，泛微E-Office，暢捷通T+，攻擊方法仍為Web應用服務漏洞。攻擊過程中，使用了C2：66.152.190[.]59。建議使用上述產(chǎn)品的用戶，盡快更新產(chǎn)品補丁至最新版。

新0day漏洞MOVEit Transfer在數(shù)據(jù)竊取攻擊中被廣泛使用

Progress發(fā)布公告稱近期有攻擊者一直在利用他們的MOVEit MFT軟件中的0day漏洞（CVE-2023-34362）從各類組織中執(zhí)行大量數(shù)據(jù)下載操作。目前尚不清楚攻擊發(fā)生的時間以及攻擊背后的具體組織。

公告中表示：“Progress在MOVEit Transfer中發(fā)現(xiàn)了一個漏洞，該漏洞可能導致權(quán)限提升和潛在的未經(jīng)授權(quán)訪問環(huán)境”，并稱希望用戶在發(fā)布補丁前進行以下臨時性防護措施：

阻止數(shù)據(jù)流向MOVEit Transfer服務器上的80和443端口（可繼續(xù)使用SFTP或FTPs協(xié)議傳輸文件）

檢查“c:\MOVEit Transfer\wwwroot\”目錄確認沒有可疑文件

目前已知受影響的程序及版本如下：

受影響版本	對應修復版
MOVEit ? Transfer 2023.0.0	MOVEit ? Transfer 2023.0.1
MOVEit ? Transfer 2022.1.x	MOVEit ? Transfer 2022.1.5
MOVEit ? Transfer 2022.0.x	MOVEit ? Transfer 2022.0.4
MOVEit ? Transfer 2021.1.x	MOVEit ? Transfer 2021.1.4
MOVEit ? Transfer 2021.0.x	MOVEit ? Transfer 2021.0.6

據(jù)報告稱，以下IP可能與攻擊有關(guān)：

l? 138.197.152.201

l? 209.97.137.33

l? 5.252.191.0/24

l? 148.113.152.144

l? 89.39.105.108

臺積電否認遭到LockBit黑客攻擊，勒索軟件團伙要求支付7000萬美元贖金

芯片制造巨頭臺積電（Taiwan Semiconductor Manufacturing Company，簡稱TSMC）否認遭到黑客攻擊，此前LockBit勒索軟件團伙要求支付7000萬美元以免泄露被竊數(shù)據(jù)。

臺積電是全球最大的半導體制造商之一，其產(chǎn)品被廣泛應用于各種設(shè)備，包括智能手機、高性能計算、物聯(lián)網(wǎng)設(shè)備、汽車和數(shù)字消費電子產(chǎn)品。

本月與LockBit有關(guān)的黑客開始通過實時推特發(fā)布疑似對臺積電進行的勒索軟件攻擊，共享了與該公司相關(guān)的信息的截屏。這些截屏顯示，威脅行為者似乎對據(jù)稱屬于臺積電的系統(tǒng)有重大訪問權(quán)限，顯示了電子郵件地址、應用程序訪問權(quán)限以及各種內(nèi)部系統(tǒng)的憑據(jù)。盡管此后該推文已被刪除，但LockBit勒索軟件團伙在他們的數(shù)據(jù)泄露網(wǎng)站上新建了一條關(guān)于臺積電的條目，要求支付7000萬美元，否則他們將泄露被竊數(shù)據(jù)，包括其系統(tǒng)的憑據(jù)。

臺積電發(fā)言人稱，他們并沒有遭到入侵，而是其IT硬件供應商Kinmax Technology的系統(tǒng)遭到了黑客攻擊。"臺積電最近得知，我們的一家IT硬件供應商發(fā)生了一起網(wǎng)絡安全事件，導致與服務器初始設(shè)置和配置相關(guān)的信息泄露。臺積電在將每個硬件組件安裝到其系統(tǒng)之前，都會進行一系列的廣泛檢查和調(diào)整，包括安全配置。經(jīng)過審查，確認此事件并未影響臺積電的業(yè)務運營，也未泄露任何臺積電的客戶信息。"

除了驗證其系統(tǒng)沒有受到任何影響外，臺積電表示，他們還停止與遭受入侵的供應商合作，直到情況得到解決。

"臺積電在此事件發(fā)生后立即根據(jù)公司的安全協(xié)議和標準操作程序終止了與該相關(guān)供應商的數(shù)據(jù)交換。臺積電致力于增強供應商的安全意識，并確保他們遵守安全標準。"

受影響的供應商Kinmax發(fā)布了一份聲明，解釋他們于2023年6月29日意識到其網(wǎng)絡中特定的測試環(huán)境受到了入侵的問題。該公司發(fā)現(xiàn)入侵者成功從被訪問的系統(tǒng)中竊取了一些數(shù)據(jù)，主要涉及系統(tǒng)安裝和配置指南，用于向客戶提供默認配置。

與臺積電相比，Kinmax并不是一家龐大的企業(yè)，因此LockBit要求支付7000萬美元贖金的要求很可能會被忽視。

雖然在這次攻擊中存在對被攻擊方的混淆，但7000萬美元是迄今為止贖金數(shù)額最大的案件之一。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有434個組織/企業(yè)遭遇勒索攻擊，其中包含中國4個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有24個組織/企業(yè)未被標明，因此不再以下表格中。

?表格2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows 7、Windows Server 2016以及Windows Server 2003。

對2023年6月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2023年6月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l? locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l? devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。?

l? faust：同devos。

l? halo：同360。

l? malox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡進行傳播。

l? mallox：同malox。

l? eking：phobos勒索軟件家族，因被加密文件后綴會被修改為eking而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? elbie：同eking。

l? mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? malox：同mallox。

l? locked1：同locked。

l? elbie：同devos。