2023年6月勒索軟件流行態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2023年6月，全球新增的活躍勒索軟件家族有Akira、Rhysida、8Base等家族。其中8Base是本月新增的雙重勒索軟件，該勒索軟件團(tuán)伙最初出現(xiàn)于2022年3月，一直相對(duì)低調(diào)，沒(méi)有發(fā)動(dòng)太多引人注目的攻擊。然而，到了2023年6月，該勒索軟件運(yùn)營(yíng)活動(dòng)出現(xiàn)了較明顯的增加趨勢(shì)，以雙重勒索方式針對(duì)多個(gè)行業(yè)的公司進(jìn)行攻擊。到目前為止，8Base已在其暗網(wǎng)勒索網(wǎng)站上列出了35個(gè)受害者。

以下是本月值得關(guān)注的部分熱點(diǎn)：

1. Tellyouthepass發(fā)起多輪攻擊，國(guó)內(nèi)逾2000臺(tái)設(shè)備中招

2. 新0day漏洞MOVEit Transfer在數(shù)據(jù)竊取攻擊中被廣泛使用

3. 臺(tái)積電否認(rèn)遭到LockBit黑客攻擊，勒索軟件團(tuán)伙要求支付7000萬(wàn)美元贖金

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：Phobos家族占比25%居首位，TellyouThepass家族占比20.93%位居第二，BeijingCrypt家族占比12.21%位居第三。

本月利用java等web應(yīng)用系統(tǒng)漏洞進(jìn)行攻擊傳播的TellyouThepass勒索軟件家族有明顯上升，月內(nèi)發(fā)起了多輪攻擊。

?

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2023年6月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型占比基本相當(dāng)。

?

勒索軟件疫情分析

Tellyouthepass發(fā)起多輪攻擊，國(guó)內(nèi)逾2000臺(tái)設(shè)備中招

自上月開(kāi)始，Tellyouthepass勒索軟件異?；钴S，并頻繁發(fā)動(dòng)攻擊。自6月22日起，其又發(fā)起了新一輪大規(guī)模攻擊，持續(xù)至今。攻擊目標(biāo)包括：金蝶K3Cloud，海康威視IVMS，用友時(shí)空KSOA，用友時(shí)空CCERP，用友時(shí)空CDM，速達(dá)天耀，用友時(shí)空（未確定具體產(chǎn)品），泛微OA，泛微E-Office，暢捷通T+，攻擊方法仍為Web應(yīng)用服務(wù)漏洞。攻擊過(guò)程中，使用了C2：66.152.190[.]59。建議使用上述產(chǎn)品的用戶，盡快更新產(chǎn)品補(bǔ)丁至最新版。

新0day漏洞MOVEit Transfer在數(shù)據(jù)竊取攻擊中被廣泛使用

Progress發(fā)布公告稱近期有攻擊者一直在利用他們的MOVEit MFT軟件中的0day漏洞（CVE-2023-34362）從各類組織中執(zhí)行大量數(shù)據(jù)下載操作。目前尚不清楚攻擊發(fā)生的時(shí)間以及攻擊背后的具體組織。

公告中表示：“Progress在MOVEit Transfer中發(fā)現(xiàn)了一個(gè)漏洞，該漏洞可能導(dǎo)致權(quán)限提升和潛在的未經(jīng)授權(quán)訪問(wèn)環(huán)境”，并稱希望用戶在發(fā)布補(bǔ)丁前進(jìn)行以下臨時(shí)性防護(hù)措施：

阻止數(shù)據(jù)流向MOVEit Transfer服務(wù)器上的80和443端口（可繼續(xù)使用SFTP或FTPs協(xié)議傳輸文件）

檢查“c:\MOVEit Transfer\wwwroot\”目錄確認(rèn)沒(méi)有可疑文件

目前已知受影響的程序及版本如下：

據(jù)報(bào)告稱，以下IP可能與攻擊有關(guān)：

l? 138.197.152.201

l? 209.97.137.33

l? 5.252.191.0/24

l? 148.113.152.144

l? 89.39.105.108

?

臺(tái)積電否認(rèn)遭到LockBit黑客攻擊，勒索軟件團(tuán)伙要求支付7000萬(wàn)美元贖金

芯片制造巨頭臺(tái)積電（Taiwan Semiconductor Manufacturing Company，簡(jiǎn)稱TSMC）否認(rèn)遭到黑客攻擊，此前LockBit勒索軟件團(tuán)伙要求支付7000萬(wàn)美元以免泄露被竊數(shù)據(jù)。

臺(tái)積電是全球最大的半導(dǎo)體制造商之一，其產(chǎn)品被廣泛應(yīng)用于各種設(shè)備，包括智能手機(jī)、高性能計(jì)算、物聯(lián)網(wǎng)設(shè)備、汽車和數(shù)字消費(fèi)電子產(chǎn)品。

本月與LockBit有關(guān)的黑客開(kāi)始通過(guò)實(shí)時(shí)推特發(fā)布疑似對(duì)臺(tái)積電進(jìn)行的勒索軟件攻擊，共享了與該公司相關(guān)的信息的截屏。這些截屏顯示，威脅行為者似乎對(duì)據(jù)稱屬于臺(tái)積電的系統(tǒng)有重大訪問(wèn)權(quán)限，顯示了電子郵件地址、應(yīng)用程序訪問(wèn)權(quán)限以及各種內(nèi)部系統(tǒng)的憑據(jù)。盡管此后該推文已被刪除，但LockBit勒索軟件團(tuán)伙在他們的數(shù)據(jù)泄露網(wǎng)站上新建了一條關(guān)于臺(tái)積電的條目，要求支付7000萬(wàn)美元，否則他們將泄露被竊數(shù)據(jù)，包括其系統(tǒng)的憑據(jù)。

?

臺(tái)積電發(fā)言人稱，他們并沒(méi)有遭到入侵，而是其IT硬件供應(yīng)商Kinmax Technology的系統(tǒng)遭到了黑客攻擊。"臺(tái)積電最近得知，我們的一家IT硬件供應(yīng)商發(fā)生了一起網(wǎng)絡(luò)安全事件，導(dǎo)致與服務(wù)器初始設(shè)置和配置相關(guān)的信息泄露。臺(tái)積電在將每個(gè)硬件組件安裝到其系統(tǒng)之前，都會(huì)進(jìn)行一系列的廣泛檢查和調(diào)整，包括安全配置。經(jīng)過(guò)審查，確認(rèn)此事件并未影響臺(tái)積電的業(yè)務(wù)運(yùn)營(yíng)，也未泄露任何臺(tái)積電的客戶信息。"

除了驗(yàn)證其系統(tǒng)沒(méi)有受到任何影響外，臺(tái)積電表示，他們還停止與遭受入侵的供應(yīng)商合作，直到情況得到解決。

"臺(tái)積電在此事件發(fā)生后立即根據(jù)公司的安全協(xié)議和標(biāo)準(zhǔn)操作程序終止了與該相關(guān)供應(yīng)商的數(shù)據(jù)交換。臺(tái)積電致力于增強(qiáng)供應(yīng)商的安全意識(shí)，并確保他們遵守安全標(biāo)準(zhǔn)。"

受影響的供應(yīng)商Kinmax發(fā)布了一份聲明，解釋他們于2023年6月29日意識(shí)到其網(wǎng)絡(luò)中特定的測(cè)試環(huán)境受到了入侵的問(wèn)題。該公司發(fā)現(xiàn)入侵者成功從被訪問(wèn)的系統(tǒng)中竊取了一些數(shù)據(jù)，主要涉及系統(tǒng)安裝和配置指南，用于向客戶提供默認(rèn)配置。

與臺(tái)積電相比，Kinmax并不是一家龐大的企業(yè)，因此LockBit要求支付7000萬(wàn)美元贖金的要求很可能會(huì)被忽視。

雖然在這次攻擊中存在對(duì)被攻擊方的混淆，但7000萬(wàn)美元是迄今為止贖金數(shù)額最大的案件之一。

?

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有434個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)4個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有24個(gè)組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

?表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows 7、Windows Server 2016以及Windows Server 2003。

?

對(duì)2023年6月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

?

通過(guò)觀察2023年6月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l? locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過(guò)各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l? devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過(guò)數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。?

l? faust：同devos。

l? halo：同360。

l? malox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l? mallox：同malox。

l? eking：phobos勒索軟件家族，因被加密文件后綴會(huì)被修改為eking而成為關(guān)鍵詞。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? elbie：同eking。

l? mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? malox：同mallox。

l? locked1：同locked。

l? elbie：同devos。