• 首頁 > 安全資訊 > 正文

    2022年4月勒索病毒態勢分析

    勒索病毒傳播至今,360反勒索服務已累計接收到上萬勒索病毒感染求助。隨著新型勒索病毒的快速蔓延,企業數據泄露風險不斷上升,勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索病毒給企業和個人帶來的影響范圍越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監測與防御,為需要幫助的用戶提供360反勒索服務。

    2022年4月,全球新增的活躍勒索病毒家族有:Onyx、Industrial Spy、BlackBasta、Pipikaki、BlockZ、Phantom、Blaze等家族,其中Onyx、Industrial Spy、BlackBasta均為雙重勒索勒索病毒家族。

    本月最值得關注的有三個熱點:

    1. Magniber勒索病毒再次活躍,大量用戶因下載偽裝成windows 10的更新程序導致文件被加密。

    2. 新型勒索病毒Onyx勒索病毒對大文件進行直接銷毀。

    3. 風力渦輪機公司Nordex、Snap-on遭遇Conti勒索團伙攻擊,同時發現已經黑客利用泄露的Conti源碼攻擊俄羅斯公司。

    4. 美國牙科協會受到Black Basta勒索病毒攻擊。

    基于對360反勒索數據的分析研判,360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員)發布本報告。

    感染數據分析

    針對本月勒索病毒受害者所中勒索病毒家族進行統計,TargetCompany(Mallox)家族占比14.95%居首位,其次是占比14.71%的Rook,phobos家族以12.99%位居第三。

    本月傳播排名前五的家族,分別采用了不同的傳播方式。勒索病毒多樣化的同時,傳播渠道也在多元化。其中:

    ? TargetCompany(Mallox)通過暴力破解成功獲取數據庫口令后、下發遠程工具投毒或直接下發勒索病毒,同時具備內網橫向移動能力。

    ??Rook利用攜帶惡意代碼的第三方軟件進行傳播,

    ??Phobos利用暴力破解遠程桌面口令后投毒。

    ??TellYouThePass利用多種Nday漏洞進行傳播。

    ??Magniber利用網頁掛馬,偽裝成升級軟件等方式進行傳播。

    對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10、Windows Server 2012以及Windows 7。

    2022年4月被感染的系統中桌面系統和服務器系統占比顯示,受攻擊的系統類型仍以桌面系統為主。與上個月相比,無較大波動。

    勒索病毒疫情分析

    Magniber偽裝成Windows 10升級包進行傳播

    360安全大腦在4月底監控到Magniber再次活躍,此次傳播不僅利用利用之前的網頁掛馬,還通過偽裝成Windows 10升級包誘導用戶下載運行。通常受害者是通過論壇、破解軟件網站等地方下載文件時跳轉到第三方云盤。下載時通常會下載到一個Windows 10升級包,還可能會跳轉到色情、廣告、購物等網站。

    被該勒索病毒加密后,文件后綴為隨機后綴,每個受害者會有一個獨立的支付頁面,若不能在規定時間內支付贖金,該鏈接將失效。若受害者能在5天內支付贖金只需支付0.075個比特幣(約等于人民幣18244元),超過5天贖金將會翻倍。360安全大腦曾對受害者進行采樣跟蹤,發現該家族的支付率極低,180個受害者中僅1個受害者支付贖金。

    新型勒索病毒Onyx勒索病毒對大文件進行直接銷毀。

    新型勒索病毒Onyx目前正在廣泛傳播,其會直接對大文件進行破壞而非加密。這樣,即使受害者支付了贖金也無法解密這些被破壞的文件。

    與目前大多數勒索病毒一樣,Onyx作者會在加密文件之前從其設備中竊取數據。而這些數據會被用于雙重勒索計劃——如果不支付贖金,他們便會威脅要公開發布這些敏感數據。目前為止,該勒索病毒團伙已經在其網站上泄露了6所機構的數據,其中5所出自美國。

    但在加密方面,該勒索病毒的手段則比較“獨特”。其會加密文件大小小于200MB的文件,但會對大于200MB的文件用隨機的垃圾數據覆蓋其內容,而不是對其進行加密。由于這只是隨機創建的數據,因此包括攻擊者在內,任何人都無法解密這些被破壞的大文件。即使受害者支付贖金,也只有可能恢復較小的加密文件。

    基于源碼進行分析,該功能并非編程錯誤,而是病毒作者有意為之。因此,建議受害者不要支付贖金。

    美國牙科協會受到Black Basta勒索病毒攻擊

    4月22日,美國牙科協會(ADA)遭受了網絡攻擊,迫使被攻擊的服務器下線。此次攻擊嚴重干擾了其各種在線服務、電話、電子郵件和網絡通信等功能。ADA網站目前僅顯示一條公式,表明他們的網站正在努力恢復系統運行。

    目前,一個名為Black Basta的新型勒索病毒團伙聲稱對此次攻擊事件負責,并已經開始泄露據稱是在ADA攻擊期間竊取到的數據。該團伙的數據泄露網站聲稱已經泄露了大約2.8 GB的數據,同時其還指出這是攻擊中被盜數據的30%。這些數據包括W2表單、NDA、會計電子表格以及數據泄漏頁面上共享的屏幕截圖中有關ADA的會員信息。

    Conti團伙未受源碼泄露影響,對多個公司發起勒索攻擊

    Conti勒索團伙在俄烏沖突爆發后,內部數據遭到多次泄露,其中包括勒索病毒源代碼。近日一名為NB65的黑客組織利用Conti泄露的勒索病毒源代碼創建了自己的勒索病毒,并用于針對俄羅斯組織的網絡攻擊,竊取他們的數據并將其泄露到網上,并聲稱這些攻擊是由于俄羅斯入侵烏克蘭造成的。目前聲稱受到黑客組織攻擊的俄羅斯實體包括文件管理運營商Tensor、俄羅斯航天局Roscosmos和國有的俄羅斯電視和廣播電臺VGTRK等。

    Conti勒索團伙并并未受到數據泄露事件影響,仍在不停的發起勒索攻擊,例如:

    1. 4月初,Conti勒索病毒聲對風力渦輪機巨頭Nordex發起勒索攻擊,此次攻擊時間導致該公司被迫關閉其IT系統同時禁用了對其設備的遠程訪問權限。

    2. 2022年4月7日,Snap-on在其網絡中檢測到可疑活動后披露了此次數據泄露事件,這導致他們關閉了所有系統一邊進行檢查和維護。在進行調查后,Snap-on發現攻擊者在2022年3月1日至3月3日期間就已經竊取了其員工的個人數據。

    3. 在線零售和攝影平臺Shutterfly公布了一起數據泄露事件,其聲稱此次事件是在遭到Conti勒索病毒攻擊期間被后者竊取到了涉及員工信息的相關數據。據Shutterfly披露,由于勒索病毒攻擊,其網絡于2021年12月3日遭到入侵。在勒索病毒攻擊期間,攻擊者將獲得了對公司網絡的訪問權,并成功竊取到了其中的數據和文件。

    黑客信息披露

    以下是本月收集到的黑客郵箱信息:

    表格1. 黑客郵箱

    當前,通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族占比,該數據僅包括未能第一時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中)。

    以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露準備,采取補救措施。

    本月總共有325個組織/企業遭遇勒索攻擊,其中包含中國5個組織/企業在本月遭遇了雙重勒索/多重勒索。


    表格2. 受害組織/企業

    系統安全防護數據分析

    360系統安全產品,針對服務器進行全量下發系系統安全防護功能,針對非服務器版本的系統僅在發現被攻擊時才下發防護。在本月被攻擊的系統版本中,排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2012。

    對2022年4月被攻擊系統所屬地域統計發現,與之前幾個月采集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

    通過觀察2022年4月弱口令攻擊態勢發現,RDP弱口令攻擊和MYSQL弱口令攻擊整體無較大波動。MSSQL弱口令攻擊雖有波動,但無大的變動,整體呈下降態勢。

    勒索病毒關鍵詞

    以下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜索引擎。

    ??Locked:locked曾被多個家族使用,但在本月使用該后綴的家族是TellYouThePass勒索病毒家族。由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族本月主要的傳播方式為:通過Log4j2漏洞進行傳播。

    ??devos:該后綴有三種情況,均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索病毒家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

    ??rook:屬于Rook勒索病毒家族,由于被加密文件后綴會被修改為rook而成為關鍵詞。該家族的主要傳播方式為:通過匿隱僵尸網絡進行傳播。本月(2022年2月)受害者大部分是因為到下載網站下載注冊機感染的匿隱僵尸網絡。

    ??bozon:屬于TargetCompany(Mallox)勒索病毒家族,由于被加密文件后綴會被修改為bozon。該家族傳播渠道有多個,包括匿隱僵尸網絡、橫向滲透以及數據庫弱口令爆破。

    ??eking:屬于phobos勒索病毒家族,由于被加密文件后綴會被修改為eking而成為關鍵詞。該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

    ??Avast:同bozon。

    ??lockbit:屬于LockBit勒索病毒家族,由于被加密文件后綴會被修改為lockbit而成為關鍵詞。被該家族加密還可能涉及數據泄露的風險,該家族有一個大型團伙,其攻擊手法多樣化,不僅僅局限于弱口令爆破,還包括漏洞利用,釣魚郵件等方式進行傳播。

    ??mkp:屬于Makop勒索病毒家族,由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

    ??360:屬于BeijngCrypt勒索病毒家族,由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,本月新增通過數據庫弱口令攻擊進行傳播。

    解密大師

    從解密大師本月解密數據看,解密量最大的是Sodinokibi,其次是Coffee。使用解密大師解密文件的用戶數量最高的是被Stop家族加密的設備,其次是被Coffee家族加密的設備。


    360安全衛士

    熱點排行

    用戶
    反饋
    返回
    頂部
    亚洲综合精品香蕉久久网