2023年7月勒索軟件流行態(tài)勢分析

勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2023年7月，全球新增的活躍勒索軟件家族有RA GROUP、Cactus、Rancoz等家族。其中RA GROUP是本月開始活躍的雙重勒索軟件，該勒索軟件團伙最初出現(xiàn)于2023年4月。當(dāng)時他們在暗網(wǎng)上推出了一個數(shù)據(jù)泄露網(wǎng)站，發(fā)布受害者的詳細(xì)信息和被盜數(shù)據(jù)，采用了流行的“雙重勒索”策略。勒索頁面于 2023 年4月22日上線，4 月27 日發(fā)布了第一批受害組織，包括樣本文件、被盜內(nèi)容類型的描述以及被盜數(shù)據(jù)的鏈接。

以下是本月值的關(guān)注的部分熱點：

1. 雅詩蘭黛集團遭到兩個勒索軟件團伙的攻擊

2. Clop團伙利用MOVEit漏洞發(fā)動的勒索攻擊已賺取超過7500萬美元

3. ALPHV勒索軟件在其數(shù)據(jù)泄露網(wǎng)站中加入了獲取泄露數(shù)據(jù)的API

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。?

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進行統(tǒng)計：Phobos家族占比24.58%居首位，并列第二的是占比同為11.86%的TargetCompany(Mallox)與BeijingCrypt勒索病毒家族。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

2023年7月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型占比基本相當(dāng)。

?

勒索軟件熱點事件

雅詩蘭黛集團遭到兩個勒索軟件團伙的攻擊

兩款勒索軟件ALPHV/BlackCat和Clop均在其數(shù)據(jù)泄露網(wǎng)站上將美妝巨頭雅詩蘭黛列為攻擊目標(biāo)。而在發(fā)給公司的勒索信息中，BlackCat團伙嘲笑了雅詩蘭黛的安全措施并稱它們的勒索工具仍存在于公司內(nèi)部的網(wǎng)絡(luò)上。

雅詩蘭黛公司在7月18日提交給美國證券交易委員會(SEC)的文件中證實了其中一次攻擊，稱攻擊者獲得了其部分系統(tǒng)的訪問權(quán)限并可能竊取了數(shù)據(jù)。但雅詩蘭黛并沒有提供有關(guān)該事件的太多細(xì)節(jié)，稱公司已采取了積極行動并關(guān)閉了一些系統(tǒng)以防止攻擊者在網(wǎng)絡(luò)上的進一步擴張。

而Clop勒索軟件團伙則似乎是利用了MOVEit Transfer平臺的漏洞，獲取了對該公司的訪問權(quán)限。在Clop的數(shù)據(jù)泄露網(wǎng)站上，勒索團伙列出了雅詩蘭黛并附上了簡單的信息：“該公司不關(guān)心其客戶，它忽視了他們的安全?。?！”同時注明團伙目前已擁有超過131GB的該公司數(shù)據(jù)。BlackCat方面暗示，目前獲取到的信息可能會影響客戶、公司員工和供應(yīng)商。

雅詩蘭黛對BlackCat的威脅沒有做出回應(yīng)，這可能表示該公司不愿與攻擊者進行任何談判。而在其向SEC提交的文件中也表示，重點是“補救措施，包括恢復(fù)受影響的系統(tǒng)和服務(wù)的努力”，并且“該事件已經(jīng)導(dǎo)致并且預(yù)計將繼續(xù)對公司的部分業(yè)務(wù)運營造成干擾”。

Clop團伙利用MOVEit漏洞發(fā)動的勒索攻擊已賺取超過7500萬美元

Clop勒索軟件團伙正在效仿ALPHV勒索軟件團伙的勒索策略——創(chuàng)建專門針對特定受害者的信息披露網(wǎng)站，從而更方便地泄露數(shù)據(jù)并進一步迫使受害者支付贖金。當(dāng)此類勒索軟件團伙攻擊企業(yè)目標(biāo)時，他們首先會從受害者的網(wǎng)絡(luò)中竊取數(shù)據(jù)，之后再加密文件。這些被盜的數(shù)據(jù)會被用作雙重勒索攻擊的籌碼——威脅受害者如果不支付贖金便會泄露其重要的機密數(shù)據(jù)。

勒索軟件用于發(fā)布數(shù)據(jù)的站點通常位于Tor網(wǎng)絡(luò)上，因為這可以讓網(wǎng)站更難被關(guān)閉或被執(zhí)法部門查獲。然而，這種托管網(wǎng)站的方法對于勒索軟件團伙來說也有其自身的問題。因為需要專門的Tor瀏覽器才能訪問此類網(wǎng)站，搜索引擎也不會收錄此類數(shù)據(jù)，而且下載速度通常非常慢。為了克服這些問題，ALPHV勒索軟件團伙在去年引入了一種新的勒索策略，即創(chuàng)建ClearWeb（透明網(wǎng)站）來泄露竊取到的數(shù)據(jù)。Clearweb網(wǎng)站直接托管在公開的普通互聯(lián)網(wǎng)上，而非Tor等匿名網(wǎng)絡(luò)中。

而在本月中旬，安全人員發(fā)現(xiàn)Clop勒索軟件團伙也開始創(chuàng)建自己的ClearWeb用來公布他們本輪通過MOVEit Transfer漏洞攻擊所盜竊到的數(shù)據(jù)。攻擊者創(chuàng)建的第一個網(wǎng)站是為商業(yè)咨詢公司普華永道（PWC）創(chuàng)建的，并將該公司的被盜數(shù)據(jù)打包成了4個Zip壓縮包發(fā)布在了該網(wǎng)站上。而這之后不久，攻擊者還為Aon、EY（安永）、Kirkland和TD Ameritrade等公司創(chuàng)建了網(wǎng)站。

?ALPHV勒索軟件在其數(shù)據(jù)泄露網(wǎng)站中加入了獲取泄露數(shù)據(jù)的API

ALPHV勒索軟件團伙（又名BlackCat）正嘗試通過為其數(shù)據(jù)泄漏網(wǎng)站提供API來提高公眾對其公布數(shù)據(jù)的訪問便利性，從而向受害者施加更大壓力來迫使其支付贖金。在此之前，該團伙對雅詩蘭黛發(fā)起了攻擊，但就目前的公開信息來看，這家美容公司完全無視了攻擊者的贖金要求。

7月下旬，多名安全研究人員發(fā)現(xiàn)ALPHV/BlackCat的數(shù)據(jù)泄露網(wǎng)站添加了一個新頁面——其中包含其最新公布的API及使用說明。API（應(yīng)用程序編程接口）通常用于根據(jù)商定的定義和協(xié)議實現(xiàn)兩個軟件組件之間的通信。而本次勒索軟件團伙發(fā)布的API將有助于公眾通過程序自動其網(wǎng)站發(fā)布的關(guān)于最新受害者的各種信息。此外，該團伙還提供了一份用Python編寫的爬蟲代碼以幫助檢索數(shù)據(jù)泄露網(wǎng)站的最新信息。盡管該團伙沒有解釋為何要發(fā)布這些API，但據(jù)推測原因之一可能是由于愿意支付勒索贖金的受害者越來越少。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補救措施。

本月總共有471個組織/企業(yè)遭遇勒索攻擊，其中包含中國2個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有3個組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2012。

對2023年7月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

通過觀察2023年7月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l? devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。?

l? malox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進行傳播。

l? faust：同devos。

l? mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? halo：同360。

l? gaqq：屬于Stop勒索軟件家族，由于該家族頻繁變更加密文件后綴導(dǎo)致很少出現(xiàn)在top查詢量中。從開始傳播至今其傳播渠道一直是通過在破解軟件網(wǎng)站上傳激活工具、破解軟件來誘導(dǎo)用戶下載運行，且大部分網(wǎng)站均為國外網(wǎng)站。

l? lockbit：屬于LockBit勒索軟件家族，因被加密文件后綴會被修改為lockbit而成為關(guān)鍵詞。該家族的運營模式可以分為兩種不同的方式。第一種是無差別攻擊，該方式會對全網(wǎng)發(fā)起數(shù)據(jù)庫弱口令攻擊或遠(yuǎn)程桌面弱口令攻擊，一旦攻擊成功，勒索軟件將被投毒到受害者計算機中。在這種情況下，攻擊者并不會竊取受害者的數(shù)據(jù)。第二種是針對性攻擊，該方式主要針對大型企業(yè)，攻擊者不僅會部署勒索軟件，還會竊取企業(yè)重要的數(shù)據(jù)。如果受害組織或企業(yè)無法在規(guī)定時間內(nèi)繳納贖金，該團伙將會把數(shù)據(jù)發(fā)布到其數(shù)據(jù)泄露站點上，任何可以訪問該網(wǎng)站的人都可以下載受害者的數(shù)據(jù)。

l? elbie：同devos。

?

?

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大 的仍是Coffee，其次是GandCrab。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

?