勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2022年11月,全球新增的活跃勒索软件家族有:Royal、BlackBit、Play、PCOK、Somnia等家族。其中Royal勒索软件不仅是本月新增,还是本月双重勒索软件中受害者数量最高的一个家族;PCOK为本月国内新增家族;Somnia勒索软件被俄罗斯黑客用于攻击乌克兰。本月,360解密大师新增对Coffee最新变种的解密支持。
以下是本月值的关注的部分热点:
一、 LockBit组织正利用Amadey Bot恶意软件进行传播,并对Continental汽车公司发起网络攻击。
二、 Coffee新变种重出江湖,袭击国内高校与研究机构
三、 新型Azov数据擦除器试图陷害安全研究人员
四、 Keralty遭受勒索攻击导致哥伦比亚医疗系统受到影响
五、 加拿大食品零售巨头Sobeys遭到Black Basta勒索软件攻击
基于对360反勒索数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者所中勒索软件家族进行统计,phobos家族占比28.57%居首位,其次是占比15.53%的TargetCompany(Mallox),BeijingCrypt家族以8.70%位居第三。
本月phobos勒索家族重回首位,传播方式并未改变,仍采用暴力破解远程桌面,主要流行版本变为后缀为faust的变种。
PCOK勒索软件是本月在国内新增的一款勒索软件,和phobos家族一样通过获取远程桌面密码后手动投毒传播。
Coffee勒索软件在本月底再次活跃,与之前360安全大脑年初捕获该病毒时的传播渠道相同,通过QQ群文件与邮件针对高校师生进行传播。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows 7。
2022年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。
勒索病毒疫情分析
LockBit组织正利用Amadey Bot恶意软件进行传播,并对Continental汽车公司发起网络攻击
目前,LockBit 3.0勒索软件组织正在使用安装Amadey Bot的钓鱼电子邮件来入侵设备并在受害设备中投放勒索软件并加密。
据分析,在当前版本的攻击中,攻击者会使用经混淆的PowerShell脚本或命令行来在线加载并执行LockBit 3.0攻击载荷,使其在主机上运行以加密文件。
Amadey Bot恶意软件是一种能够执行系统侦察、数据过滤和执行载荷加载的旧病毒。据研究人员研究,2022年Amadey Bot的活动有所增加,并在其最新版本中增加了对抗病毒检测和自动回避的功能,使其的入侵及载荷投放行为更加隐蔽。
本月LockBit勒索软件组织还对德国跨国汽车集团Continental发起网络攻击。据称,在此次攻击中LockBit还窃取了Continental系统中的一些数据。攻击者还威胁说,如果该公司在未来22小时内不服从他们的要求,他们就将在数据泄露网站上公布这些数据。目前,该团伙尚未公布其从Continental网络中窃取的数据及其他细节。
由于LockBit表示将公布“所有可用”数据,这可能说明Continental尚未与勒索软件团伙进行谈判或已经拒绝了对方的勒索要求。
新型Azov数据擦除器试图陷害安全研究人员
一款新型名为Azov的数据擦拭器正在通过盗版软件、密钥生成器和广告软件大量传播,同时该软件试图通过虚假消息谎称某安全研究员为其幕后黑手。
该软件的了勒索信息文件名为“RESTORE_FILES.txt”。在信息中,该软件宣称之所以攻击当前设备是为了抗议克里米亚被占领,也是因为西方国家在帮助乌克兰对抗俄罗斯方面做得不够。
此外,由于无法联系攻击者支付赎金,该勒索软件被归类为数据清除器,而不是通常的加密型勒索软件。
Keralty遭受勒索攻击导致哥伦比亚医疗系统受到影响
11月底,Keralty跨国医疗机构遭遇勒索软件攻击,扰乱了该公司及其子公司的网站和运营。
Keralty是一家哥伦比亚医疗保健提供商,在拉丁美洲、西班牙、美国和亚洲运营着12家医院和371家医疗中心的国际网络。该集团拥有24000名员工和10000名医生,为600多万名患者提供医疗服务。该公司通过其子公司Colsanitas、Sanitas USA和EPS Sanitas提供具体的医疗保健服务。
过去几天,Keralty及其子公司EPS Sanitas和Colsanitas的IT运营、医疗预约及其网站都受到了此次勒索攻击事件的影响。而信息系统的中断直接影响了哥伦比亚的医疗保健系统。当地媒体报道称,患者排队等候治疗超过12个小时,一些患者因缺乏医疗护理而晕倒。
11月28日,Keralty表示他们遇到了技术问题,但没有透露原因。而根据Keralty在29日发布了另一份声明证实,此次系统问题是由其网络受到勒索攻击造成的,导致其IT系统出现技术故障。
而根据一位名为亚历克斯·兰德(Alexánder)的推特用户在推特上发布了一张VMware ESXi服务器的截图,并附有一张显示“目前已确认这份勒索信息来自于RansomHouse家族的勒索软件。
加拿大食品零售巨头Sobeys遭到Black Basta勒索软件攻击
加拿大食品零售巨头Venus旗下的杂货店和药店自11月初以来一直存在IT系统问题。而在11月7日发布的新闻中称,Venus的母公司Empire透露:尽管其杂货店仍在营业,但一些服务受到了这些IT问题的影响。
该零售商透露:“公司的杂货店仍在营业并为顾客提供服务,目前没有出现严重的中断。然而,一些店内服务出现了间断或延迟……此外,公司的某些药房在开具处方等方面遇到了技术问题。然而,公司仍致力于为所有患者提供医护服务。”该公司还补充称,正在努力解决影响其IT系统的问题,以减少门店收到的影响。
据Sobeys在其官网上发表的另一份单独声明中补充称所有商店都保持营业,且“没有受到严重干扰”。然而,根据其员工的说法:所有电脑都受到了Venus勒索软件影响而被锁定,只有POS机和支付系统由于工作在独立网络中而幸免遇难。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有229个组织/企业遭遇勒索攻击,其中包含中国5个组织/企业在本月遭遇了双重勒索/多重勒索。其中有3个组织/企业未被标明,因此不再以下表格中。
系统安全防护数据分析
360系统安全产品,针对服务器进行全量下发了系统安全防护功能,针对非服务器版本的系统仅在发现被攻击时才下发防护。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2016。
对2022年11月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年11月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
l devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox而成为关键词。通过SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本月还通过匿影僵尸网络进行传播。
l 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
l elbie:属于phobos勒索软件家族,由于被加密文件后缀会被修改为elbie而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l eking:同elbie。
l milovski:同mallox。
l faust:同elbie
l mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l locked:属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
l Pock:属于POCK勒索软件家族,由于被加密文件后缀会被修改为POCK而成为关键词,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
解密大师
从解密大师本月解密数据看,解密量最大 的是GandCrab,其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是Crysis被家族加密的设备(解密文件数较小故未入榜),其次是被CryptoJoker家族加密的设备。本月新增对Coffee最新变种的解密支持。
还没有评论,来说两句吧...