2022年9月勒索軟件態(tài)勢分析

2022-10-14 17:23:06
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

2022年8月，全球新增的活躍勒索軟件家族有: Ballacks、BlackBit、DoyUK、Royal、z6wkg、Sparta等家族。其中z6wkg與Sparta均為雙重勒索勒索軟件家族；Ballacks勒索軟件是VoidCrypt勒索軟件家族的最新變種；Royal勒索軟件雖然聲稱采用雙重勒索模式運營，但尚未發(fā)現(xiàn)其擁有數(shù)據(jù)泄露站點，該家族是一個不招募附屬機構的獨立運作團體，通常勒索贖金價格在25萬美元到200萬美元之間。

以下是本月最值得關注熱點：

一、?Lockbit勒索軟件編譯器遭“憤怒的開發(fā)者”在線泄露

二、?MSSQL服務器被TargetCompany勒索軟件攻陷

三、?Cisco確認閻羅王勒索軟件泄露了其被盜的公司數(shù)據(jù)

基于對360反勒索數(shù)據(jù)的分析研判，360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中勒索軟件家族進行統(tǒng)計，TellYouThePass家族占比19.95%居首位，其次是占比14.89%的phobos，TargetCompany(Mallox)家族以12.77%位居第三。

TellYouThePass雖然在本月沒有繼續(xù)大規(guī)模發(fā)起攻擊，但是之前的中招反饋仍持續(xù)一段時間。

Phobos做為國內(nèi)老牌勒索家族，流行熱度一直比較高，主要通過暴破遠程桌面?zhèn)鞑ァ?/span>

LockBit勒索軟件因招募大量附屬機構，因此其攻擊目標廣泛，在國內(nèi)不止針對中大型企業(yè)發(fā)起雙重勒索攻擊，還會對小型企業(yè)發(fā)起純勒索攻擊。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。?

2022年9月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

Lockbit勒索軟件編譯器遭“憤怒的開發(fā)者”在線泄露

LockBit勒索軟件遭到破壞，據(jù)稱該團伙最新生成被心懷不滿的內(nèi)部開發(fā)人員泄露了。

今年6月，LockBit勒索軟件發(fā)布了他們的3.0版加密器，代號為LockBit Black，目前已經(jīng)經(jīng)過了兩個月的測試。

而該版本勒索加密器則承諾“讓勒索軟件再次偉大”。其中添加新的反分析功能、勒索軟件漏洞賞金計劃和新的勒索方法。

然而，目前有兩個Twitter賬號在Twitter上泄露了LockBit 3.0主程序的生成器。據(jù)稱，泄密者是Lockbit勒索軟件小組雇用的程序員，他們對Lockbit的領導層感到不滿，于是決定泄露了該程序的生成器。

MSSQL服務器被TargetCompany勒索軟件攻陷

研究人員稱，在新一波TargetCompany(Mallox)勒索軟件攻擊中，易受攻擊的Microsoft SQL服務器正成為攻擊目標。

安全研究人員表示，TargetCompany(Mallox)是目前主流的勒索軟件之一，該家族過去被稱為“Mallox”，著是由于被其加密的文件會被添加“.Mallox”作為新擴展名而得名。此外，該勒索軟件也可能與二月份發(fā)現(xiàn)的“TargetCompany”勒索軟件同族。

勒索軟件感染始于被攻擊機器上的MS-SQL主程序通過cmd.exe和powershell.exe命令行來下載.NET文件。這讓攻擊者可以利用有效載荷獲取其他惡意軟件（包括加密器），生成并運行終止特定進程和服務的BAT文件。

接下來，勒索軟件載荷將自己注入AppLaunch.exe——一個合法的Windows進程中，并嘗試刪除名為Raccine的開源勒索軟件免疫注冊表項。

此外，惡意軟件會停用數(shù)據(jù)庫恢復功能并終止數(shù)據(jù)庫相關進程，使其內(nèi)容可用于加密。

Cisco確認閻羅王勒索軟件泄露了其被盜的公司數(shù)據(jù)

Cisco已證實，“閻羅王”勒索軟件團伙昨天泄露的數(shù)據(jù)是其在5月的網(wǎng)絡攻擊中從該公司網(wǎng)絡竊取的。但Cisco同時表示，泄漏不會改變該事件對業(yè)務沒有影響的初步評估。

此前，在八月份的一份報告中，Cisco曾承認黑客入侵了其一名員工的VPN帳戶后導致其網(wǎng)絡被“閻羅王”勒索軟件破壞。但被盜數(shù)據(jù)均為來自員工Box文件夾的非敏感文件，并且在“閻羅王”勒索軟件開始加密系統(tǒng)之前就已經(jīng)遏制了攻擊。

而“閻羅王”勒索軟件方面則聲稱并非如此——但并沒有提供任何明確的證據(jù)，只分享了一個屏幕截圖來表現(xiàn)其對似乎是開發(fā)系統(tǒng)的平臺具有訪問權限。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有379個組織/企業(yè)遭遇勒索攻擊，其中包含中國14個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，針對服務器進行全量下發(fā)系系統(tǒng)安全防護功能，針對非服務器版本的系統(tǒng)僅在發(fā)現(xiàn)被攻擊時才下發(fā)防護。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2022年9月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2022年9月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?locked:屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l?devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。

l?fargo3：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為fargo3。該家族傳播渠道有多個，包括匿隱僵尸網(wǎng)絡、橫向滲透以及數(shù)據(jù)庫弱口令爆破和遠程桌面弱口令爆破。

l?eking:屬于phobos勒索軟件家族，由于被加密文件后綴會被修改為eking而成為關鍵詞。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?Lockbit:屬于LockBit勒索軟件家族，早期被該家族加密的文件擴展名會被修改為lockbit，但從LockBit3.0版本后，擴展名采用隨機字符串，同時其文件名也將被修改。由于LockBit家族是一個非常龐大的團伙，招募了大量附屬機構，因此其傳播方式通常無固定的渠道，不僅限于遠程桌面爆破、數(shù)據(jù)庫弱口令攻擊、漏洞利用、釣魚郵件等均可作為該家族的傳播渠道。

l?elbie:?同eking。

l?world2022decoding:屬于Honest勒索軟件家族，由于被加密文件后綴會被修改為world2022decoding而成為關鍵詞。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?aamv：屬于Stop勒索軟件家族，由于被加密文件后綴會被修改為aamv而成為關鍵詞。該家族主要傳播方式為：通過偽裝成破解軟件或者激活攻擊，誘導用戶下載運行。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab，其次是Sodinokibi。使用解密大師解密文件的用戶數(shù)量最高的是被Stop家族加密的設備，其次是被CryptoJoker家族加密的設備。

2022年9月勒索軟件態(tài)勢分析

MSSQL服務器被TargetCompany勒索軟件攻陷

Cisco確認閻羅王勒索軟件泄露了其被盜的公司數(shù)據(jù)

熱點排行

關注我們