勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2023年7月，全球新增的活躍勒索軟件家族有RA GROUP、Cactus、Rancoz等家族。其中RA GROUP是本月開始活躍的雙重勒索軟件，該勒索軟件團(tuán)伙最初出現(xiàn)于2023年4月。當(dāng)時他們在暗網(wǎng)上推出了一個數(shù)據(jù)泄露網(wǎng)站，發(fā)布受害者的詳細(xì)信息和被盜數(shù)據(jù)，采用了流行的“雙重勒索”策略。勒索頁面于 2023 年4月22日上線，4 月27 日發(fā)布了第一批受害組織，包括樣本文件、被盜內(nèi)容類型的描述以及被盜數(shù)據(jù)的鏈接。

以下是本月值的關(guān)注的部分熱點(diǎn)：

1. 雅詩蘭黛集團(tuán)遭到兩個勒索軟件團(tuán)伙的攻擊

2. Clop團(tuán)伙利用MOVEit漏洞發(fā)動的勒索攻擊已賺取超過7500萬美元

3. ALPHV勒索軟件在其數(shù)據(jù)泄露網(wǎng)站中加入了獲取泄露數(shù)據(jù)的API

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。?

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計：Phobos家族占比24.58%居首位，并列第二的是占比同為11.86%的TargetCompany(Mallox)與BeijingCrypt勒索病毒家族。

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

2023年7月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型占比基本相當(dāng)。

?

勒索軟件熱點(diǎn)事件

雅詩蘭黛集團(tuán)遭到兩個勒索軟件團(tuán)伙的攻擊

兩款勒索軟件ALPHV/BlackCat和Clop均在其數(shù)據(jù)泄露網(wǎng)站上將美妝巨頭雅詩蘭黛列為攻擊目標(biāo)。而在發(fā)給公司的勒索信息中，BlackCat團(tuán)伙嘲笑了雅詩蘭黛的安全措施并稱它們的勒索工具仍存在于公司內(nèi)部的網(wǎng)絡(luò)上。

雅詩蘭黛公司在7月18日提交給美國證券交易委員會(SEC)的文件中證實(shí)了其中一次攻擊，稱攻擊者獲得了其部分系統(tǒng)的訪問權(quán)限并可能竊取了數(shù)據(jù)。但雅詩蘭黛并沒有提供有關(guān)該事件的太多細(xì)節(jié)，稱公司已采取了積極行動并關(guān)閉了一些系統(tǒng)以防止攻擊者在網(wǎng)絡(luò)上的進(jìn)一步擴(kuò)張。

而Clop勒索軟件團(tuán)伙則似乎是利用了MOVEit Transfer平臺的漏洞，獲取了對該公司的訪問權(quán)限。在Clop的數(shù)據(jù)泄露網(wǎng)站上，勒索團(tuán)伙列出了雅詩蘭黛并附上了簡單的信息：“該公司不關(guān)心其客戶，它忽視了他們的安全?。?！”同時注明團(tuán)伙目前已擁有超過131GB的該公司數(shù)據(jù)。BlackCat方面暗示，目前獲取到的信息可能會影響客戶、公司員工和供應(yīng)商。

雅詩蘭黛對BlackCat的威脅沒有做出回應(yīng)，這可能表示該公司不愿與攻擊者進(jìn)行任何談判。而在其向SEC提交的文件中也表示，重點(diǎn)是“補(bǔ)救措施，包括恢復(fù)受影響的系統(tǒng)和服務(wù)的努力”，并且“該事件已經(jīng)導(dǎo)致并且預(yù)計將繼續(xù)對公司的部分業(yè)務(wù)運(yùn)營造成干擾”。

Clop團(tuán)伙利用MOVEit漏洞發(fā)動的勒索攻擊已賺取超過7500萬美元

Clop勒索軟件團(tuán)伙正在效仿ALPHV勒索軟件團(tuán)伙的勒索策略——創(chuàng)建專門針對特定受害者的信息披露網(wǎng)站，從而更方便地泄露數(shù)據(jù)并進(jìn)一步迫使受害者支付贖金。當(dāng)此類勒索軟件團(tuán)伙攻擊企業(yè)目標(biāo)時，他們首先會從受害者的網(wǎng)絡(luò)中竊取數(shù)據(jù)，之后再加密文件。這些被盜的數(shù)據(jù)會被用作雙重勒索攻擊的籌碼——威脅受害者如果不支付贖金便會泄露其重要的機(jī)密數(shù)據(jù)。

勒索軟件用于發(fā)布數(shù)據(jù)的站點(diǎn)通常位于Tor網(wǎng)絡(luò)上，因?yàn)檫@可以讓網(wǎng)站更難被關(guān)閉或被執(zhí)法部門查獲。然而，這種托管網(wǎng)站的方法對于勒索軟件團(tuán)伙來說也有其自身的問題。因?yàn)樾枰獙ｉT的Tor瀏覽器才能訪問此類網(wǎng)站，搜索引擎也不會收錄此類數(shù)據(jù)，而且下載速度通常非常慢。為了克服這些問題，ALPHV勒索軟件團(tuán)伙在去年引入了一種新的勒索策略，即創(chuàng)建ClearWeb（透明網(wǎng)站）來泄露竊取到的數(shù)據(jù)。Clearweb網(wǎng)站直接托管在公開的普通互聯(lián)網(wǎng)上，而非Tor等匿名網(wǎng)絡(luò)中。

而在本月中旬，安全人員發(fā)現(xiàn)Clop勒索軟件團(tuán)伙也開始創(chuàng)建自己的ClearWeb用來公布他們本輪通過MOVEit Transfer漏洞攻擊所盜竊到的數(shù)據(jù)。攻擊者創(chuàng)建的第一個網(wǎng)站是為商業(yè)咨詢公司普華永道（PWC）創(chuàng)建的，并將該公司的被盜數(shù)據(jù)打包成了4個Zip壓縮包發(fā)布在了該網(wǎng)站上。而這之后不久，攻擊者還為Aon、EY（安永）、Kirkland和TD Ameritrade等公司創(chuàng)建了網(wǎng)站。

?ALPHV勒索軟件在其數(shù)據(jù)泄露網(wǎng)站中加入了獲取泄露數(shù)據(jù)的API

ALPHV勒索軟件團(tuán)伙（又名BlackCat）正嘗試通過為其數(shù)據(jù)泄漏網(wǎng)站提供API來提高公眾對其公布數(shù)據(jù)的訪問便利性，從而向受害者施加更大壓力來迫使其支付贖金。在此之前，該團(tuán)伙對雅詩蘭黛發(fā)起了攻擊，但就目前的公開信息來看，這家美容公司完全無視了攻擊者的贖金要求。

7月下旬，多名安全研究人員發(fā)現(xiàn)ALPHV/BlackCat的數(shù)據(jù)泄露網(wǎng)站添加了一個新頁面——其中包含其最新公布的API及使用說明。API（應(yīng)用程序編程接口）通常用于根據(jù)商定的定義和協(xié)議實(shí)現(xiàn)兩個軟件組件之間的通信。而本次勒索軟件團(tuán)伙發(fā)布的API將有助于公眾通過程序自動其網(wǎng)站發(fā)布的關(guān)于最新受害者的各種信息。此外，該團(tuán)伙還提供了一份用Python編寫的爬蟲代碼以幫助檢索數(shù)據(jù)泄露網(wǎng)站的最新信息。盡管該團(tuán)伙沒有解釋為何要發(fā)布這些API，但據(jù)推測原因之一可能是由于愿意支付勒索贖金的受害者越來越少。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有471個組織/企業(yè)遭遇勒索攻擊，其中包含中國2個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有3個組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2012。

對2023年7月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

通過觀察2023年7月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l? devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進(jìn)行傳播。?

l? malox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l? faust：同devos。

l? mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? halo：同360。

l? gaqq：屬于Stop勒索軟件家族，由于該家族頻繁變更加密文件后綴導(dǎo)致很少出現(xiàn)在top查詢量中。從開始傳播至今其傳播渠道一直是通過在破解軟件網(wǎng)站上傳激活工具、破解軟件來誘導(dǎo)用戶下載運(yùn)行，且大部分網(wǎng)站均為國外網(wǎng)站。

l? lockbit：屬于LockBit勒索軟件家族，因被加密文件后綴會被修改為lockbit而成為關(guān)鍵詞。該家族的運(yùn)營模式可以分為兩種不同的方式。第一種是無差別攻擊，該方式會對全網(wǎng)發(fā)起數(shù)據(jù)庫弱口令攻擊或遠(yuǎn)程桌面弱口令攻擊，一旦攻擊成功，勒索軟件將被投毒到受害者計算機(jī)中。在這種情況下，攻擊者并不會竊取受害者的數(shù)據(jù)。第二種是針對性攻擊，該方式主要針對大型企業(yè)，攻擊者不僅會部署勒索軟件，還會竊取企業(yè)重要的數(shù)據(jù)。如果受害組織或企業(yè)無法在規(guī)定時間內(nèi)繳納贖金，該團(tuán)伙將會把數(shù)據(jù)發(fā)布到其數(shù)據(jù)泄露站點(diǎn)上，任何可以訪問該網(wǎng)站的人都可以下載受害者的數(shù)據(jù)。

l? elbie：同devos。

?

?

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大 的仍是Coffee，其次是GandCrab。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

?