2022年8月勒索軟件態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2022年8月，全球新增的活躍勒索軟件家族有: Moishsa、Filerec、D0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP等家族，其中D0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP均為雙重勒索勒索軟件家族。其中VSOP勒索軟件是Onyx勒索軟件演變而來，加密大于2MB文件時(shí)，將使用垃圾數(shù)據(jù)進(jìn)行覆蓋，因此被該家族加密的文件，購(gòu)買解密器也只能恢復(fù)小于等于2MB的文件。

以下是本月最值得關(guān)注熱點(diǎn)：

一、?TellYouThePass針對(duì)中小微企業(yè)用戶發(fā)起大規(guī)模勒索攻擊。

二、?LockBit勒索軟件家族采用三重勒索模式運(yùn)營(yíng)。

三、?勒索軟件買一贈(zèng)一？新型勒索軟件RoBaj還未傳播先被感染。

四、?Cisco遭閻羅王勒索軟件攻擊，2.8TB數(shù)據(jù)被竊取。

? ? ? 基于對(duì)360反勒索數(shù)據(jù)的分析研判，360政企安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中勒索軟件家族進(jìn)行統(tǒng)計(jì)，TellYouThePass家族占比50.18%居首位，其次是占比10.73%的phobos，BeijingCrypt家族以5.45%位居第三。

本月TellYouThePass利用安全漏洞，對(duì)中小微企業(yè)發(fā)起攻擊，短時(shí)間的大量傳播導(dǎo)致其占比超過了50%。TellYouThePass多次對(duì)國(guó)內(nèi)用戶發(fā)起攻擊，善于利用各類nday漏洞，發(fā)起快速攻擊。對(duì)該家族應(yīng)該提高警惕。

?

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。?

2022年8月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。與上個(gè)月相比，本月因突發(fā)事件影響，導(dǎo)致被勒索軟件感染的服務(wù)器系統(tǒng)占比上漲近18%。

勒索軟件疫情分析

TellYouThePass針對(duì)中小微企業(yè)用戶發(fā)起大規(guī)模勒索攻擊

360安全大腦監(jiān)測(cè)到，TellYouThePass勒索軟件家族利用安全漏洞針對(duì)國(guó)內(nèi)中小微企業(yè)用戶發(fā)起攻擊，此次攻擊從8月28日21時(shí)開始，一直持續(xù)到8月29日1時(shí)左右，短時(shí)間內(nèi)有較多設(shè)備被加密。

被攻擊設(shè)備中的大部分文件被加密，后綴被添加“.locked”擴(kuò)展名，并留下勒索信息READ_ME.html，內(nèi)容為支付0.2比特幣，并留下聯(lián)系郵箱。通過與攻擊者郵件溝通，對(duì)方能夠熟練使用中文，對(duì)該勒索病毒的分析顯示，病毒依然沿用三層加密技術(shù)，在沒有攻擊者私鑰的情況下，無法大規(guī)模技術(shù)破解。

黑客或許是為了躲避追蹤，沒過多久便不再使用勒索提示信息中留下的郵箱和錢包地址。除此之外黑客索要的贖金也降低至0.08BTC。有消息稱，黑客與第三方協(xié)議只需0.05BTC即可解密一臺(tái)設(shè)備， 這很大可能是黑客降價(jià)的原因。

?

LockBit勒索軟件家族采用三重勒索模式運(yùn)營(yíng)

LockBit勒索軟件團(tuán)伙宣布，它正在改善對(duì)分布式拒絕服務(wù)（DDoS）攻擊的防御能力。同時(shí)，他們也受此啟發(fā)，準(zhǔn)備將DDoS作為新增的“第三重”勒索手段。

近期，該團(tuán)伙遭受了來自安全公司Entrust的DDoS攻擊，該攻擊的目的是為了阻止外界對(duì)該團(tuán)伙在其泄漏網(wǎng)站上發(fā)布的Entrust公司相關(guān)數(shù)據(jù)的訪問。

?

而就在8月底，LockBit勒索軟件團(tuán)伙便通過自家的LockBitSupp對(duì)外宣布，該團(tuán)伙已通過改進(jìn)網(wǎng)絡(luò)設(shè)備重新恢復(fù)業(yè)務(wù)，使其泄露能力免受DDoS攻擊的影響。與此同時(shí)，勒索軟件運(yùn)營(yíng)者現(xiàn)在還尋求在加密數(shù)據(jù)并泄漏數(shù)據(jù)的基礎(chǔ)上再添加DDoS作為新的第三重勒索策略。

勒索軟件買一贈(zèng)一？新型勒索軟件RoBaj還未傳播先被感染。

近日360安全大腦監(jiān)測(cè)到一款新型勒索軟件RoBaj。該勒索軟件使用C#編寫，通過暴力破解遠(yuǎn)程桌面登錄口令的方式入侵系統(tǒng)并手動(dòng)投毒。文件被加密后不僅擴(kuò)展名會(huì)被修改為.RoBaj，文件圖標(biāo)會(huì)被修改為一個(gè)紅色的骷髏頭。

?

該勒索軟件家族是比較少有的支持中英雙語的勒索軟件，值得注意的是，該勒索軟件開發(fā)者的環(huán)境似乎被Neshta蠕蟲感染，勒索軟件釋放的所有可執(zhí)行程序均感染Neshta蠕蟲。這讓受害者面臨更大的威脅。目前360高級(jí)威脅研究分析中心目前已完成對(duì)該病毒的破解，若有用戶不幸中招， 可第一時(shí)間提交反勒索服務(wù)尋求解密幫助。

??

Cisco遭閻羅王勒索軟件攻擊，2.8TB數(shù)據(jù)被竊取。

思科公司于8月10日證實(shí)，閻羅王勒索軟件組織在5月下旬入侵了其公司網(wǎng)絡(luò)，入侵者試圖在網(wǎng)上泄露被盜文件用以勒索他們。該公司透露，攻擊者只是從受入侵員工帳戶所關(guān)聯(lián)的共享文件夾中收集和竊取到一些非敏感數(shù)據(jù)。

閻羅王攻擊者是在劫持了員工的個(gè)人Google帳戶（其中包含從其瀏覽器同步的登錄憑據(jù)）后，使用被盜的憑據(jù)訪問了思科的網(wǎng)絡(luò)。而該組織也在8月初時(shí)發(fā)聲，表示已竊取了思科2.75GB的數(shù)據(jù)，其中包括大約3100個(gè)文件，文件中還包含了許多保密協(xié)議、數(shù)據(jù)轉(zhuǎn)儲(chǔ)及工程圖紙。

?

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

? ?當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有193個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)4個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業(yè)?

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，針對(duì)服務(wù)器進(jìn)行全量下發(fā)系系統(tǒng)安全防護(hù)功能，針對(duì)非服務(wù)器版本的系統(tǒng)僅在發(fā)現(xiàn)被攻擊時(shí)才下發(fā)防護(hù)。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

??

對(duì)2022年8月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

??

通過觀察2022年8月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng).

?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?l?locked:屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。

l?elbie:?屬于phobos勒索軟件家族，由于被加密文件后綴會(huì)被修改為elbie而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?baxgj：屬于Sodinokibi(REvil)勒索軟件家族，由于被加密文件后綴被修改為baxgj而成為關(guān)鍵詞（一個(gè)受害者通過一個(gè)后綴，本月搜索量較大主要因?yàn)槟称髽I(yè)受災(zāi)面積廣，導(dǎo)致搜索量上漲。）通常加密文件前還會(huì)竊取受害企業(yè)內(nèi)部數(shù)據(jù)。因其采用RaaS模式運(yùn)營(yíng)，其下附屬公司多，因此其傳播方式通常非常多樣化。

l?fargo3：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為fargo3。該家族傳播渠道有多個(gè)，包括匿隱僵尸網(wǎng)絡(luò)、橫向滲透以及數(shù)據(jù)庫(kù)弱口令爆破和遠(yuǎn)程桌面弱口令爆破。

l?eking：同elbie。

l?7dulptm：屬于BlackCat勒索軟件家族，由于被加密文件后綴會(huì)被修改為7dulptm而成為關(guān)鍵詞。通常加密文件前還會(huì)竊取受害企業(yè)內(nèi)部數(shù)據(jù)。因其采用RaaS模式運(yùn)營(yíng)，其下附屬公司多，因此其傳播方式通常非常多樣化。

l?consultraskey: 同fargo3。

?

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab，其次是Coffee。使用解密大師解密文件的用戶數(shù)量最高的是被Stop家族加密的設(shè)備，其次是被Crysis家族加密的設(shè)備。

本月新增對(duì)Robaj勒索軟件家族的解密支持。

?

?