2023年4月勒索軟件流行態(tài)勢(shì)分析

2023-05-05 19:20:14
我要分享


微信掃碼分享

近年來，隨著新型勒索軟件的快速蔓延，企業(yè)的數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，高額勒索案件頻繁出現(xiàn)。可以說，勒索軟件的影響范圍越來越廣，給企業(yè)和個(gè)人帶來的危害性也越來越大。360全網(wǎng)安全大腦可以對(duì)勒索軟件進(jìn)行全方位的監(jiān)測(cè)與防御，能夠?yàn)樾枰獛椭挠脩籼峁┓蠢账鞣?wù)。目前，360反勒索服務(wù)已累計(jì)接收、處理上萬起勒索軟件感染求助。

2023年4月，全球新增的活躍勒索軟件家族有:CrossLock、UNIZA、RTM Locker、DarkAngels、Money Message等。其中DarkAngels是一款雙重勒索軟件，但尚未在其數(shù)據(jù)泄露網(wǎng)站公開過受害者信息；RTM Locker是一款以企業(yè)為目標(biāo)的勒索軟件，其Linux加密器疑似專門為攻擊Vmware ESXi系統(tǒng)而創(chuàng)建。

以下是本月值得關(guān)注的部分熱點(diǎn)：

1.?近期新發(fā)現(xiàn)針對(duì)Mac設(shè)備的LockBit勒索軟件。

2.?Google廣告推送被勒索軟件團(tuán)伙使用的BumbleBee惡意軟件。

3.?新型勒索軟件Money Message索要百萬美元贖金。

基于近期對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）特發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比21.85%居首位，phobos家族占比19.87%位居第二，BeijingCrypt家族占比15.89%位居第三。

本月針對(duì)NAS設(shè)備進(jìn)行攻擊的eCh0Raix勒索軟件家族有明顯上升。

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

2023年4月受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

近期新發(fā)現(xiàn)針對(duì)Mac設(shè)備的LockBit勒索軟件

LockBit勒索組織首次創(chuàng)建了針對(duì)Mac平臺(tái)的勒索軟件，很可能成為第一個(gè)專門針對(duì)MacOS的主流勒索軟件。

從歷史數(shù)據(jù)上看，LockBit組織曾創(chuàng)建使用過專門針對(duì)Windows、Linux和VMware ESXi服務(wù)器等平臺(tái)的勒索軟件。近期發(fā)現(xiàn)該組織還創(chuàng)建了之前未在野外攻擊中出現(xiàn)的，針對(duì)MacOS、FreeBSD等系統(tǒng)以及ARM、MIPS和SPARC指令集的勒索軟件。

此次發(fā)現(xiàn)的新勒索軟件中還存在一款名為locker_Apple_M1_64的勒索軟件。經(jīng)分析，該軟件運(yùn)行于Apple Silicon最新的Mac系統(tǒng)中。此外，該研究人員還發(fā)現(xiàn)了針對(duì)舊版PowerPC平臺(tái)Mac系統(tǒng)的樣本。

Google廣告推送被勒索軟件團(tuán)伙使用的BumbleBee惡意軟件

以企業(yè)為攻擊目標(biāo)的Bumblebee惡意軟件正通過Google Ads和SEO污染手段進(jìn)行傳播，攻擊者以推廣Zoom、Cisco AnyConnect、ChatGPT和Citrix Workspace等流行軟件為誘餌進(jìn)行誘導(dǎo)擴(kuò)散。

Bumblebee是一款惡意軟件加載器，首次捕獲時(shí)間為2022年4月。根據(jù)研究，有理由認(rèn)為其是由Conti勒索軟件團(tuán)隊(duì)主導(dǎo)，用于替代BazarLoader后門軟件來獲取網(wǎng)絡(luò)的初始訪問權(quán)限，并為后續(xù)的勒索攻擊進(jìn)行鋪墊。2022年9月，研究人員發(fā)現(xiàn)了該軟件的在野攻擊案例，主要利用PowerSploit框架將反彈DLL注入到內(nèi)存當(dāng)中發(fā)動(dòng)攻擊。

近期，安全人員發(fā)現(xiàn)了該軟件利用Google Ads的新動(dòng)向——通過宣傳流行應(yīng)用程序的釣魚版本來將自身惡意軟件加載器傳播給毫無防備的受害者。

新型勒索軟件Money Message索要百萬美元贖金

3月底，一款名為“Money Message”的新勒索軟件出現(xiàn)在互聯(lián)網(wǎng)中，該勒索軟件針對(duì)全球受害者發(fā)動(dòng)攻擊并要求支付數(shù)百萬美元的贖金以防止泄露數(shù)據(jù)及換取數(shù)據(jù)解密。

目前，攻擊者在其勒索網(wǎng)站上列出了6名受害者，其中包括微電子制造商MSI及航空公司Biman Airlines。攻擊者在其數(shù)據(jù)泄露網(wǎng)站上列出了MSI的CTMS和ERP數(shù)據(jù)庫以及包含軟件源代碼、私鑰以及BIOS固件等文件的屏幕截圖。Money Message威脅稱要在五天內(nèi)公布被盜1.5T大小的數(shù)據(jù)文件，除非MSI滿足其高達(dá)400萬美元的贖金要求。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，數(shù)據(jù)泄露進(jìn)一步升級(jí)。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族情況統(tǒng)計(jì)，數(shù)據(jù)僅包含未在第一時(shí)間繳納贖金或拒繳納贖金的企業(yè)和個(gè)人（已經(jīng)支付贖金的企業(yè)或個(gè)人，不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。尚未發(fā)現(xiàn)數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露的準(zhǔn)備，及時(shí)采取補(bǔ)救措施。

本月總共有336個(gè)組織/企業(yè)遭遇勒索攻擊，其中有6個(gè)中國組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。由于有24個(gè)組織/企業(yè)未被標(biāo)明，因此未被列入以下表格中。

?表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品已新增黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2016。

通過對(duì)2023年4月被攻擊系統(tǒng)所屬地域的統(tǒng)計(jì)發(fā)現(xiàn)，數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象，與之前幾個(gè)月的情況相比，變化并不大。。

通過觀察2023年4月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新發(fā)現(xiàn)還可以通過數(shù)據(jù)庫弱口令攻擊進(jìn)行傳播。l

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?malox：同mallox。

l?halo：同360。

l?encrypt：該后綴雖被多個(gè)勒索軟件家族使用，但在本月活躍的僅有eCh0Raix勒索軟件家族，因被加密文件后綴會(huì)被修改為.encrypt后而成為關(guān)鍵詞，該勒索軟件家族還可以利用桌面弱口令和漏洞對(duì)NAS設(shè)備發(fā)起針對(duì)性攻擊。

l?lockbit：屬于LockBit勒索軟件家族，因被加密文件后綴會(huì)被修改為lockbit而成為關(guān)鍵詞。該家族的運(yùn)營模式可以分為兩種不同的方式。第一種是無差別攻擊，該方式會(huì)對(duì)全網(wǎng)發(fā)起數(shù)據(jù)庫弱口令攻擊或遠(yuǎn)程桌面弱口令攻擊，一旦攻擊成功，勒索軟件將被投毒到受害者計(jì)算機(jī)中。在這種情況下，攻擊者并不會(huì)竊取受害者的數(shù)據(jù)。第二種是針對(duì)性攻擊，該方式主要針對(duì)大型企業(yè)，攻擊者不僅會(huì)部署勒索軟件，還會(huì)竊取企業(yè)重要的數(shù)據(jù)。如果受害組織或企業(yè)無法在規(guī)定時(shí)間內(nèi)繳納贖金，該團(tuán)伙將會(huì)把數(shù)據(jù)發(fā)布到其數(shù)據(jù)泄露站點(diǎn)上，任何可以訪問該網(wǎng)站的人都可以下載受害者的數(shù)據(jù)。

l?eking：phobos勒索軟件家族，因被加密文件后綴會(huì)被修改為eking而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?elbie：同eking。

熱點(diǎn)排行

91看片淫黄大片-91视频黄色-少妇免费直播-黄色毛片网站-在线观看黄色-999亚洲欲妇-中文字幕在线观看av-亚洲精品久久久一线二线三线-毛片视频网站-日逼视频。

2023年4月勒索軟件流行態(tài)勢(shì)分析

感染數(shù)據(jù)分析

勒索軟件疫情分析

近期新發(fā)現(xiàn)針對(duì)Mac設(shè)備的LockBit勒索軟件

Google廣告推送被勒索軟件團(tuán)伙使用的BumbleBee惡意軟件

新型勒索軟件Money Message索要百萬美元贖金

黑客信息披露

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

勒索軟件關(guān)鍵詞

熱點(diǎn)排行

關(guān)注我們

91看片淫黄大片-91视频黄色-少妇免费直播-黄色毛片网站-在线观看黄色-999亚洲欲妇-中文字幕在线观看av-亚洲精品久久久一线二线三线-毛片视频网站-日逼视频。

2023年4月 勒索軟件流行態(tài)勢(shì)分析

感染數(shù)據(jù)分析

勒索軟件疫情分析

近期新發(fā)現(xiàn)針對(duì)Mac設(shè)備的LockBit勒索軟件

Google廣告推送被勒索軟件團(tuán)伙使用的BumbleBee惡意軟件

新型勒索軟件Money Message索要百萬美元贖金

黑客信息披露

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

勒索軟件關(guān)鍵詞

熱點(diǎn)排行

關(guān)注我們

2023年4月勒索軟件流行態(tài)勢(shì)分析