2023年4月 勒索軟件流行態(tài)勢(shì)分析

近年來(lái)，隨著新型勒索軟件的快速蔓延，企業(yè)的數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，高額勒索案件頻繁出現(xiàn)?？梢哉f(shuō)，勒索軟件的影響范圍越來(lái)越廣，給企業(yè)和個(gè)人帶來(lái)的危害性也越來(lái)越大。360全網(wǎng)安全大腦可以對(duì)勒索軟件進(jìn)行全方位的監(jiān)測(cè)與防御，能夠?yàn)樾枰獛椭挠脩?hù)提供反勒索服務(wù)。目前，360反勒索服務(wù)已累計(jì)接收、處理上萬(wàn)起勒索軟件感染求助。

2023年4月，全球新增的活躍勒索軟件家族有:CrossLock、UNIZA、RTM Locker、DarkAngels、Money Message等。其中DarkAngels是一款雙重勒索軟件，但尚未在其數(shù)據(jù)泄露網(wǎng)站公開(kāi)過(guò)受害者信息；RTM Locker是一款以企業(yè)為目標(biāo)的勒索軟件，其Linux加密器疑似專(zhuān)門(mén)為攻擊Vmware ESXi系統(tǒng)而創(chuàng)建。

以下是本月值得關(guān)注的部分熱點(diǎn)：

1.?近期新發(fā)現(xiàn)針對(duì)Mac設(shè)備的LockBit勒索軟件。

2.?Google廣告推送被勒索軟件團(tuán)伙使用的BumbleBee惡意軟件。

3.?新型勒索軟件Money Message索要百萬(wàn)美元贖金。

基于近期對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）特發(fā)布本報(bào)告。

?

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比21.85%居首位，phobos家族占比19.87%位居第二，BeijingCrypt家族占比15.89%位居第三。

本月針對(duì)NAS設(shè)備進(jìn)行攻擊的eCh0Raix勒索軟件家族有明顯上升。

?

?

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

?

?

2023年4月受攻擊的系統(tǒng)類(lèi)型仍以桌面系統(tǒng)為主。

?

勒索軟件疫情分析

近期新發(fā)現(xiàn)針對(duì)Mac設(shè)備的LockBit勒索軟件

LockBit勒索組織首次創(chuàng)建了針對(duì)Mac平臺(tái)的勒索軟件，很可能成為第一個(gè)專(zhuān)門(mén)針對(duì)MacOS的主流勒索軟件。

從歷史數(shù)據(jù)上看，LockBit組織曾創(chuàng)建使用過(guò)專(zhuān)門(mén)針對(duì)Windows、Linux和VMware ESXi服務(wù)器等平臺(tái)的勒索軟件。近期發(fā)現(xiàn)該組織還創(chuàng)建了之前未在野外攻擊中出現(xiàn)的，針對(duì)MacOS、FreeBSD等系統(tǒng)以及ARM、MIPS和SPARC指令集的勒索軟件。

?

此次發(fā)現(xiàn)的新勒索軟件中還存在一款名為locker_Apple_M1_64的勒索軟件。經(jīng)分析，該軟件運(yùn)行于Apple Silicon最新的Mac系統(tǒng)中。此外，該研究人員還發(fā)現(xiàn)了針對(duì)舊版PowerPC平臺(tái)Mac系統(tǒng)的樣本。

?

Google廣告推送被勒索軟件團(tuán)伙使用的BumbleBee惡意軟件

以企業(yè)為攻擊目標(biāo)的Bumblebee惡意軟件正通過(guò)Google Ads和SEO污染手段進(jìn)行傳播，攻擊者以推廣Zoom、Cisco AnyConnect、ChatGPT和Citrix Workspace等流行軟件為誘餌進(jìn)行誘導(dǎo)擴(kuò)散。

Bumblebee是一款?lèi)阂廛浖虞d器，首次捕獲時(shí)間為2022年4月。根據(jù)研究，有理由認(rèn)為其是由Conti勒索軟件團(tuán)隊(duì)主導(dǎo)，用于替代BazarLoader后門(mén)軟件來(lái)獲取網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限，并為后續(xù)的勒索攻擊進(jìn)行鋪墊。2022年9月，研究人員發(fā)現(xiàn)了該軟件的在野攻擊案例，主要利用PowerSploit框架將反彈DLL注入到內(nèi)存當(dāng)中發(fā)動(dòng)攻擊。

近期，安全人員發(fā)現(xiàn)了該軟件利用Google Ads的新動(dòng)向——通過(guò)宣傳流行應(yīng)用程序的釣魚(yú)版本來(lái)將自身惡意軟件加載器傳播給毫無(wú)防備的受害者。

?

新型勒索軟件Money Message索要百萬(wàn)美元贖金

3月底，一款名為“Money Message”的新勒索軟件出現(xiàn)在互聯(lián)網(wǎng)中，該勒索軟件針對(duì)全球受害者發(fā)動(dòng)攻擊并要求支付數(shù)百萬(wàn)美元的贖金以防止泄露數(shù)據(jù)及換取數(shù)據(jù)解密。

目前，攻擊者在其勒索網(wǎng)站上列出了6名受害者，其中包括微電子制造商MSI及航空公司Biman Airlines。攻擊者在其數(shù)據(jù)泄露網(wǎng)站上列出了MSI的CTMS和ERP數(shù)據(jù)庫(kù)以及包含軟件源代碼、私鑰以及BIOS固件等文件的屏幕截圖。Money Message威脅稱(chēng)要在五天內(nèi)公布被盜1.5T大小的數(shù)據(jù)文件，除非MSI滿足其高達(dá)400萬(wàn)美元的贖金要求。

?

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

?

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，數(shù)據(jù)泄露進(jìn)一步升級(jí)。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族情況統(tǒng)計(jì)，數(shù)據(jù)僅包含未在第一時(shí)間繳納贖金或拒繳納贖金的企業(yè)和個(gè)人（已經(jīng)支付贖金的企業(yè)或個(gè)人，不會(huì)出現(xiàn)在這個(gè)清單中）。

?

?

?

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。尚未發(fā)現(xiàn)數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露的準(zhǔn)備，及時(shí)采取補(bǔ)救措施。

?

本月總共有336個(gè)組織/企業(yè)遭遇勒索攻擊，其中有6個(gè)中國(guó)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。由于有24個(gè)組織/企業(yè)未被標(biāo)明，因此未被列入以下表格中。

?表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品已新增黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2016。

?

?

通過(guò)對(duì)2023年4月被攻擊系統(tǒng)所屬地域的統(tǒng)計(jì)發(fā)現(xiàn)，數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象，與之前幾個(gè)月的情況相比，變化并不大。。

?

?

通過(guò)觀察2023年4月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

?

?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新發(fā)現(xiàn)還可以通過(guò)數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。l

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?malox：同mallox。

l?halo：同360。

l?encrypt：該后綴雖被多個(gè)勒索軟件家族使用，但在本月活躍的僅有eCh0Raix勒索軟件家族，因被加密文件后綴會(huì)被修改為.encrypt后而成為關(guān)鍵詞，該勒索軟件家族還可以利用桌面弱口令和漏洞對(duì)NAS設(shè)備發(fā)起針對(duì)性攻擊。

l?lockbit：屬于LockBit勒索軟件家族，因被加密文件后綴會(huì)被修改為lockbit而成為關(guān)鍵詞。該家族的運(yùn)營(yíng)模式可以分為兩種不同的方式。第一種是無(wú)差別攻擊，該方式會(huì)對(duì)全網(wǎng)發(fā)起數(shù)據(jù)庫(kù)弱口令攻擊或遠(yuǎn)程桌面弱口令攻擊，一旦攻擊成功，勒索軟件將被投毒到受害者計(jì)算機(jī)中。在這種情況下，攻擊者并不會(huì)竊取受害者的數(shù)據(jù)。第二種是針對(duì)性攻擊，該方式主要針對(duì)大型企業(yè)，攻擊者不僅會(huì)部署勒索軟件，還會(huì)竊取企業(yè)重要的數(shù)據(jù)。如果受害組織或企業(yè)無(wú)法在規(guī)定時(shí)間內(nèi)繳納贖金，該團(tuán)伙將會(huì)把數(shù)據(jù)發(fā)布到其數(shù)據(jù)泄露站點(diǎn)上，任何可以訪問(wèn)該網(wǎng)站的人都可以下載受害者的數(shù)據(jù)。

l?eking：phobos勒索軟件家族，因被加密文件后綴會(huì)被修改為eking而成為關(guān)鍵詞。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?elbie：同eking。