2022年9月勒索軟件態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2022年8月，全球新增的活躍勒索軟件家族有: Ballacks、BlackBit、DoyUK、Royal、z6wkg、Sparta等家族。其中z6wkg與Sparta均為雙重勒索勒索軟件家族；Ballacks勒索軟件是VoidCrypt勒索軟件家族的最新變種；Royal勒索軟件雖然聲稱采用雙重勒索模式運(yùn)營(yíng)，但尚未發(fā)現(xiàn)其擁有數(shù)據(jù)泄露站點(diǎn)，該家族是一個(gè)不招募附屬機(jī)構(gòu)的獨(dú)立運(yùn)作團(tuán)體，通常勒索贖金價(jià)格在25萬(wàn)美元到200萬(wàn)美元之間。

以下是本月最值得關(guān)注熱點(diǎn)：

一、?Lockbit勒索軟件編譯器遭“憤怒的開發(fā)者”在線泄露

二、?MSSQL服務(wù)器被TargetCompany勒索軟件攻陷

三、?Cisco確認(rèn)閻羅王勒索軟件泄露了其被盜的公司數(shù)據(jù)

基于對(duì)360反勒索數(shù)據(jù)的分析研判，360政企安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中勒索軟件家族進(jìn)行統(tǒng)計(jì)，TellYouThePass家族占比19.95%居首位，其次是占比14.89%的phobos，TargetCompany(Mallox)家族以12.77%位居第三。

TellYouThePass雖然在本月沒有繼續(xù)大規(guī)模發(fā)起攻擊，但是之前的中招反饋仍持續(xù)一段時(shí)間。

Phobos做為國(guó)內(nèi)老牌勒索家族，流行熱度一直比較高，主要通過暴破遠(yuǎn)程桌面?zhèn)鞑ァ?/span>

LockBit勒索軟件因招募大量附屬機(jī)構(gòu)，因此其攻擊目標(biāo)廣泛，在國(guó)內(nèi)不止針對(duì)中大型企業(yè)發(fā)起雙重勒索攻擊，還會(huì)對(duì)小型企業(yè)發(fā)起純勒索攻擊。

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。?

2022年9月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

Lockbit勒索軟件編譯器遭“憤怒的開發(fā)者”在線泄露

LockBit勒索軟件遭到破壞，據(jù)稱該團(tuán)伙最新生成被心懷不滿的內(nèi)部開發(fā)人員泄露了。

今年6月，LockBit勒索軟件發(fā)布了他們的3.0版加密器，代號(hào)為L(zhǎng)ockBit Black，目前已經(jīng)經(jīng)過了兩個(gè)月的測(cè)試。

而該版本勒索加密器則承諾“讓勒索軟件再次偉大”。其中添加新的反分析功能、勒索軟件漏洞賞金計(jì)劃和新的勒索方法。

然而，目前有兩個(gè)Twitter賬號(hào)在Twitter上泄露了LockBit 3.0主程序的生成器。據(jù)稱，泄密者是Lockbit勒索軟件小組雇用的程序員，他們對(duì)Lockbit的領(lǐng)導(dǎo)層感到不滿，于是決定泄露了該程序的生成器。

MSSQL服務(wù)器被TargetCompany勒索軟件攻陷

研究人員稱，在新一波TargetCompany(Mallox)勒索軟件攻擊中，易受攻擊的Microsoft SQL服務(wù)器正成為攻擊目標(biāo)。

安全研究人員表示，TargetCompany(Mallox)是目前主流的勒索軟件之一，該家族過去被稱為“Mallox”，著是由于被其加密的文件會(huì)被添加“.Mallox”作為新擴(kuò)展名而得名。此外，該勒索軟件也可能與二月份發(fā)現(xiàn)的“TargetCompany”勒索軟件同族。

勒索軟件感染始于被攻擊機(jī)器上的MS-SQL主程序通過cmd.exe和powershell.exe命令行來(lái)下載.NET文件。這讓攻擊者可以利用有效載荷獲取其他惡意軟件（包括加密器），生成并運(yùn)行終止特定進(jìn)程和服務(wù)的BAT文件。

接下來(lái)，勒索軟件載荷將自己注入AppLaunch.exe——一個(gè)合法的Windows進(jìn)程中，并嘗試刪除名為Raccine的開源勒索軟件免疫注冊(cè)表項(xiàng)。

此外，惡意軟件會(huì)停用數(shù)據(jù)庫(kù)恢復(fù)功能并終止數(shù)據(jù)庫(kù)相關(guān)進(jìn)程，使其內(nèi)容可用于加密。

Cisco確認(rèn)閻羅王勒索軟件泄露了其被盜的公司數(shù)據(jù)

Cisco已證實(shí)，“閻羅王”勒索軟件團(tuán)伙昨天泄露的數(shù)據(jù)是其在5月的網(wǎng)絡(luò)攻擊中從該公司網(wǎng)絡(luò)竊取的。但Cisco同時(shí)表示，泄漏不會(huì)改變?cè)撌录?duì)業(yè)務(wù)沒有影響的初步評(píng)估。

此前，在八月份的一份報(bào)告中，Cisco曾承認(rèn)黑客入侵了其一名員工的VPN帳戶后導(dǎo)致其網(wǎng)絡(luò)被“閻羅王”勒索軟件破壞。但被盜數(shù)據(jù)均為來(lái)自員工Box文件夾的非敏感文件，并且在“閻羅王”勒索軟件開始加密系統(tǒng)之前就已經(jīng)遏制了攻擊。

而“閻羅王”勒索軟件方面則聲稱并非如此——但并沒有提供任何明確的證據(jù)，只分享了一個(gè)屏幕截圖來(lái)表現(xiàn)其對(duì)似乎是開發(fā)系統(tǒng)的平臺(tái)具有訪問權(quán)限。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有379個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)14個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，針對(duì)服務(wù)器進(jìn)行全量下發(fā)系系統(tǒng)安全防護(hù)功能，針對(duì)非服務(wù)器版本的系統(tǒng)僅在發(fā)現(xiàn)被攻擊時(shí)才下發(fā)防護(hù)。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對(duì)2022年9月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

通過觀察2022年9月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l?locked:屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l?devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。

l?fargo3：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為fargo3。該家族傳播渠道有多個(gè)，包括匿隱僵尸網(wǎng)絡(luò)、橫向滲透以及數(shù)據(jù)庫(kù)弱口令爆破和遠(yuǎn)程桌面弱口令爆破。

l?eking:屬于phobos勒索軟件家族，由于被加密文件后綴會(huì)被修改為eking而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?Lockbit:屬于LockBit勒索軟件家族，早期被該家族加密的文件擴(kuò)展名會(huì)被修改為lockbit，但從LockBit3.0版本后，擴(kuò)展名采用隨機(jī)字符串，同時(shí)其文件名也將被修改。由于LockBit家族是一個(gè)非常龐大的團(tuán)伙，招募了大量附屬機(jī)構(gòu)， 因此其傳播方式通常無(wú)固定的渠道，不僅限于遠(yuǎn)程桌面爆破、數(shù)據(jù)庫(kù)弱口令攻擊、漏洞利用、釣魚郵件等均可作為該家族的傳播渠道。

l?elbie:?同eking。

l?world2022decoding:屬于Honest勒索軟件家族，由于被加密文件后綴會(huì)被修改為world2022decoding而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l?aamv：屬于Stop勒索軟件家族，由于被加密文件后綴會(huì)被修改為aamv而成為關(guān)鍵詞。該家族主要傳播方式為：通過偽裝成破解軟件或者激活攻擊，誘導(dǎo)用戶下載運(yùn)行。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab，其次是Sodinokibi。使用解密大師解密文件的用戶數(shù)量最高的是被Stop家族加密的設(shè)備，其次是被CryptoJoker家族加密的設(shè)備。