勒索病毒傳播至今,360反勒索服務已累計接收到上萬勒索病毒感染求助。隨著新型勒索病毒的快速蔓延,企業數據泄露風險不斷上升,勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索病毒給企業和個人帶來的影響範圍越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監控與防禦,為需要幫助的用戶提供反勒索服務。
2022年2月,全球新增的活躍勒索病毒家族有:Sutur、D3adCrypt、Sojusz、Unlock、IIMxT等家族。本月最值得關注的有三個熱點:
- Coffee勒索病毒先後採用蠕蟲和釣魚郵件的傳播方式對高校及科研院所發起針對性攻擊。
- 勒索病毒的假旗攻擊在俄烏戰爭中發揮重要作用,烏克蘭連番遭遇多輪「擦除器」攻擊,多個政府網站受到影響。
- 俄烏戰爭爆發後,Conti勒索團伙,疑似內部分裂,大量內部數據被公開發布。
- 國內多家企業遭BlackCat攻擊,存在數據泄露風險。
基於對360反勒索數據的分析研判,360政企安全集團高級威脅研究分析中心(CCTGA勒索軟體防範應對工作組成員)發布本報告。
感染數據分析
針對本月勒索病毒受害者所中勒索病毒家族進行統計,Coffee家族占比20.84%居首位,其次是占比13.47%的phobos,Rook家族以12.00%位居第三。
根據360安全大腦監控到的數據顯示:
- 通過QQ蠕蟲以及釣魚郵件進行傳播的Coffee在本月集中發作,導致感染Coffee家族的受害者數量上漲。
- 本月大量Rook勒索病毒受害者,因下載了帶有惡意代碼的AutoCAD註冊機導致中招。該註冊機會先通過在powershell的計劃任務實現長期駐留,之後不斷投遞勒索病毒。同時該傳播渠道也與匿影殭屍網絡緊密相關。
- Mallox在本月新增多個變種,包括avasr、consultransom、DevicZz,其傳播方式多樣化,主要攻擊目標為中大型企業,在拿下企業入口終端後,利用橫向滲透的方式攻擊企業內網其他設備。
2022年2月被感染的系統中,桌面系統和伺服器系統占比顯示:受攻擊的系統類型仍以桌面系統為主。與上個月相比,無較大波動。
勒索病毒疫情分析
烏克蘭連番遭遇多輪「擦除器」攻擊
俄烏戰爭爆發後,出現了多輪針對烏克蘭以破壞為目的的國家級網絡戰攻擊,攻擊活動包括分布式拒絕服務 (DDoS) 攻擊、釣魚欺詐、漏洞利用、供應鏈攻擊、偽裝成勒索軟體的惡意數據擦除攻擊等。經分析,這些網絡攻擊可能旨在造成烏克蘭的混亂、阻礙通信、削弱烏克蘭的政府、民間和軍事機構,是一場策劃已久的網絡戰。而2月底,更是出現了多輪針對烏克蘭的數據擦除惡意軟體大規模傳播事件。
第一輪攻擊由WhisperGate數據擦除器發起,該軟體在1月就已經出現,而隨著俄烏戰爭的進行,其傳播量力度和感染規模也隨之大量增加。該病毒會先覆蓋 MBR 並銷毀所有分區,再通過Discord服務託管的CDN下載攻擊載荷,最終執行文件擦除攻擊。
而在WhisperGate獲得成功後,同為「擦除器」的HermeticWiper及IsaacWiper則緊隨其後,分別發動了第二、三輪擦除器攻擊。這些攻擊中,部分是由計劃任務啟動的,疑似通過控制內網域控和不同網絡服務的漏洞利用進行投遞植入。
根據360高級威脅研究院的分析推演,在網絡戰中所實施的大規模破壞攻擊行動,極有可能因為不受攻擊者控制的情況而波及全球,相關組織機構需要提高警惕。
Conti內部分裂,大量內部數據被公開發布
俄烏戰爭爆發後,Conti勒索團伙因支持國家不同,引發內部分裂。一名Conti組織的內部成員(也有消息稱是一名烏克蘭安全研究員)將Conti組織的內部對話以及勒索病毒軟體、控制面板等原始碼等信息公開發布出來。
2月底,有人以@ContiLeaks 的帳號名義泄露了393份JSON文件,其中包括Conti和Ryuk勒索病毒組織的私人聊天記錄。本三月初,此人進一步發布而更多數據——這次共有148各JSON文件,其中包括107000餘條內部消息。
隨後,這位名為@ContiLeaks的帳號繼續發布了更多的消息,包括Conti的管理面板源碼、BazarBackdoor API、數據伺服器的截屏等。其中最重要的是一個包含了Conti勒索病毒加密器、解密器、構造器源碼的存檔。但該存檔受到密碼保護,目前尚沒有被破解。
隨著俄烏衝突持續,不少網絡安全相關組織和勒索病毒團伙開始表明立場,例如:
- Lockbit家族表示,該團伙成員來自多個國家,包括俄羅斯人也包括烏克蘭人,他們不會捲入任何國際衝突,只專心進行勒索。
- Stormous勒索病毒團伙正式宣布支持俄羅斯政府。
- 出現勒索病毒對烏克蘭進行數據擦除攻擊。
- 知名黑客論壇Raidforums則發出通知:禁止任何來自俄羅斯的訪問。該論壇的一名成員甚至對「俄羅斯人」發出了警告,聲稱掌握了包含有俄羅斯聯邦安全局的電子郵件及散列密碼的資料庫。
- 安全廠商Emsisoft也在twitter中公開表示站在烏克蘭一方。
Coffee潛伏期高達百日
本月,360安全大腦監控到國產勒索病毒Coffee針對高校教師和科研人員發起勒索攻擊,其中最早一次攻擊通過軟體捆綁和QQ群釣魚傳播且危害極大,不僅具備蠕蟲性質,且潛伏期還高達數百日。
該病毒的第二輪攻擊選擇偽裝成學校郵箱(jcc@eudumail.cloud)向各高校老師發送名為《2021年度本單位職工個稅補繳名單》的釣魚郵件,通過對受害者分析發現受害者主要來自今年和去年申請《國家自然科學基金》項目的高校教師與科研院人員。
雖然Coffee病毒有愈演愈烈的趨勢,不過可喜的是360解密大師已經在第一時間支持了該勒索病毒解密。受到Coffee勒索病毒影響的用戶,可嘗試使用360解密大師解密或聯繫360安全中心尋求幫助。
瞄準中大型企業的Blackcat勒索病毒
BlackCat勒索病毒家族最早出現於2021年11月,又被稱作ALPHV勒索病毒家族,採用RaaS(勒索軟體即服務)模式運營,其目標為中大型企業。該家族還在暗網論壇宣傳:附屬機構勒索到的贖金,附屬機構自身可分得80%~90%。這比之前任何一個勒索組織提供的分成都要高,從而得到大量攻擊者的吹捧,迅速融入勒索市場。在成功部署勒索病毒後,向受害者索要價值40萬至2千萬美元不等的比特幣或門羅幣作為贖金。
該勒索病毒能迅速融入勒索病毒市場,還因為其存在以下多個特徵:
- 高定製性:攻擊者可根據自己的喜好進行定製,包括受害者公鑰、被加密文件後綴、勒索提示信息文件名、每個文件加密大小、加密算法選擇等。
- 高危害性:不僅會加密受害者文件,還會竊取數據、對未支付贖金受害企業/組織的基礎設施採取分布式拒絕服務(DDOS)攻擊、羞辱受害者等。
- 多平台性:該勒索病毒採用Rust語言編寫,加密文件快,可在Windwos和Linux等主流平台運行。
- 攻擊方式多樣性:不僅收集被攻擊企業/組織的登錄憑據(遠程桌面RDP的登錄憑據、VPN的登錄憑據等),還利用不同漏洞進行攻擊。
- 私密性高:訪問其談判頁面需要提供受害企業/組織對應的token,否則無妨訪問。避免被非受害者人員訪問,接受無效溝通或惡意談判。
目前該家族數據泄露網站已有52個受害者名單,其中有5個來自中國。其中包含本月被攻擊的某新能源企業。攻擊者宣稱在此次攻擊事件中,竊取了多達4TB的數據,包括太陽能組件詳細製造信息3D圖紙、數百萬太陽能模塊圖像、客戶建築信息、製造執行系統源碼、過去3年完整財務信息等,並公布了相應信息。
疑似遭泄露的部分數據
Puma再次因勒索病毒攻擊面臨數據泄露
運動服裝製造商Puma最早在2021年8月曾被Marketo攻擊,被竊取包括其應用程式源碼在內的1GB數據。在2021年12月,其北美人力管理服務提供商之一的Kronos被勒索病毒攻擊後,Puma相關數據再次遭到了泄露。
本月早些時候,Kronos在向幾家司法部長辦公室提交的數據泄露通知稱,攻擊者在加密數據之前,從Kronos私有雲(KPC)雲環境中竊取了屬於Puma員工及其家屬的個人信息。Kronos將KPC描述為使用防火牆、多因身份驗證和加密傳輸保護免受攻擊的安全存儲。它用作託管Workforce Central、Workforce TeleStaff、Enterprise Archive、TeleTime IP、醫療保健擴展(EHC)和FMSI環境的伺服器設施。
雖然通知中並沒有提到有多少Puma員工的信息在攻擊期間被盜,但提供給緬因州總檢察長辦公室的信息顯示,勒索病毒運營者可能已經掌握了6632份個人相關數據。
黑客信息披露
以下是本月收集到的黑客郵箱信息:
writeme@onionmail.org |
Wingate@onionmail.org |
aLPoint@privatemail.com |
raincry@dr.com |
restaurera@safeswiss.com |
Harman@privatemail.com |
back23@vpn.tg |
decryptor@cock.lu |
Cybell@firemail.cc |
xena@airmail.cc |
ustedesfil@cock.li |
hyperme@tuta.io |
robud@ctemplar.com |
votredatei@ctemplar.com |
suppmkp@msgsafe.io |
robud@outlookpro.net |
indyan@airmail.cc |
suppmkp@tutanota.com |
dec0ding@tutanota.com |
Kardon@privatemail.com |
JohnWilliams1887@gmx.com |
decrypt@onionmail.org |
Rheinland01@privatemail.com |
newexploit@tutanota.com |
ljubisupporte@protonmail.com |
equalitytrust@disroot.org |
ariakei@protonmail.com |
LilliBTC@tuta.io |
unlocker@onionmail.org |
bambam988@tuta.io |
mrcrypt2@mailfence.com |
unlockersuport@msgsafe.io |
china_decr2021@xmpp.jp |
mrcrypt@msgsafe.io |
kardon@privatemail.com |
asistchinadecryption2022@goat.si |
ithelp02@decorous.cyou |
360recover@mailfence.com |
fastwindGlobe@mail.ee |
ithelp02@wholeness.business |
webweb321@fiermail.cc |
restauera@safeswiss.com |
wilhelmkox@tutanota.com |
kongbang@privatemail.com |
unblocker@tuta.io |
koxic@protonmail.com |
henrystanley1861@gmx.com |
bryan1984jackson@pressmail.ch |
koxic@cock.li |
Bomani@Email.CoM |
24recovery@onionmail.org |
helpcenter2008@gmail.com |
restaurera@runbox.com |
Dec_youfile1986@mailfence.com |
表格1.黑客郵箱
當前,通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族占比,該數據僅為未能第一時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中)。
以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露準備,採取補救措施。本月總共有244個組織/企業遭遇勒索攻擊。
RRD |
NZ UNIFORMS |
Maple Lodge Farms |
XAL |
Acorn Media |
Northern Contours |
Cle |
Team Realty |
Thomson Broadbent |
Edgo |
Mediagistic |
Bank of Indonesia |
DURA |
Royal Laser |
harrisshelton.com |
EDSI |
udmercy.edu |
centralbankfl.com |
Acorn |
paybito.com |
Mecanico Cairo SL |
STIMM |
Gardenworks |
Heartland Alliance |
Subex |
bayview.com |
Slepoy Corporation |
Sanden |
Fdcbuilding |
COFRAP ESPAÑOLA SA |
izo.es |
snapmga.com |
mitchellmcnutt.com |
PLACON |
bricofer.it |
onlinesalespro.com |
HAPOLO |
chemtech.net |
Hall Cross Academy |
Arcese |
aludesign.ro |
JALEEL TRADERS LLC |
Cmmcpas |
siamdial.com |
fairnessforall.com |
joda.de |
supersave.ca |
Perennials Fabrics |
ipec.ro |
bernheim.org |
Imperial Logistics |
RIVADIS |
Abdi ibrahim |
lee-associates.com |
UNICRED |
cbibanks.com |
The Scion Group LLC |
Moncler |
NORDFISH SRL |
castro-urdiales.net |
CSEG.CN |
Little Giant |
universalwindow.com |
48Forty |
rightsys.com |
huntsville4rent.com |
Arc Com |
jockeyclub.org.ar |
salesiancollege.com |
Sectrio |
bishopeye.com |
kainz-haustechnik.at |
RedGuard |
Valle del Sol |
ametisfacilities.com |
Forterra |
tntorello.com |
fivestarproducts.com |
AMT Corp |
sapulpaps.com |
themisautomation.com |
Optionis |
hk-callcentre |
Converse Pharma Group |
estpm.fr |
Argonaut Gold |
hancockassociates.com |
Mtlcraft |
progereal.com |
Vehicle Service Group |
Redbadge |
Shoesforcrews |
Lyon-Waugh Auto Group |
Hensoldt |
SVA Jean Rozé |
Lewis & Clark College |
Regulvar |
elitemate.com |
northsideplumbing.com |
Aeronamic |
elmonterv.com |
securiteassurance.com |
KP SNACKS |
saintcloud.fr |
Rector Hayden Realtors |
Oliff PLC |
ambau-team.de |
Eka Software Solutions |
HighRoads |
optimissa.com |
Busch Vacuum Solutions |
nfcaa.org |
mfkmakina.com |
Overseas Travel Agency |
Emil Frey |
Acuity Brands |
Bob`s Carpet & Flooring |
Mab Group |
Hanon Systems |
girlguidinglaser.org.uk |
efile.com |
amerplumb.com |
independentprinting.com |
Safeguard |
Amaveca Salud |
tyresolesdobrasil.com.br |
Superfund |
FrenchGourmet |
A A Zamarro & Associates |
TaxNetUSA |
Weldco Beales |
Westmount Charter School |
Delinebox |
empireins.com |
Butler Community College |
Ezz Steel |
skandia.com.mx |
CIG de la Grande Couronne |
Huhtamaki |
ARL Bio Pharma |
SAVANNAH State University |
aquila.ch |
CoreNet Global |
Bud Griffin and Associates |
BainUltra |
prefimetal.com |
TVS Supply Chain Solutions |
CED Group |
Claro Colombia |
The City of Pembroke Pines |
NanoFocus |
bannerbuzz.com |
東京コンピュータサービス |
SEA-invest |
Brookson Group |
Cree Nation of Waskaganish |
dap.gov.tr |
khattarlaw.com |
Athens Distributing Company |
Petrolimex |
Detroit Stoker |
Eastern Western Motor Group |
Huvepharma |
mcsmorandi.com |
lhotellerie-restauration.fr |
Spirit ORD |
Summit College |
Venture Machine & Tool, Inc. |
Assura PLC |
Visit Montréal |
Altoona Area School District |
Division D |
Jazeera Airways |
PAUL BEUSCHER PUBLICATIONS |
bar2.co.uk |
hotelcedres.com |
Creative Liquid Coatings INC |
ukrl.co.uk |
botafogo.ind.br |
Carthage R-9 School District |
dectro.com |
mainland.com.hk |
Premium Transportation Group |
savonia.fi |
paramountme.com |
Albany Bank and Trust Company |
CGT S.p.A. |
plainviewmn.com |
The Public Safety Credit Union |
Keuerleber |
Shutterfly inc. |
Greenwood Metropolitan District |
ibasis.com |
Polen Implement |
MSH Steuerberatungsgesellschaft |
ibasis.net |
Info-Excavation |
Rafael Advanced Defense Systems |
KCA Deutag |
thalesgroup.com |
ASL Napoli 3 Sud Network Seized |
justice.fr |
grupomakler.com |
Butler County Community College |
heubeck.de |
The Lovett Group |
The Grand Bahama Port Authority |
laponte.it |
Zamil Industrial |
Union County Utilities Authority |
vbhlaw.com |
hammer-poznan.pl |
Consumers Supply Distributing LLC |
isnardi.it |
Florida lawyer’s |
WinningLife International Limited |
AFG Canada |
Airspan Networks |
JAX Spine and Pain Medical Centers |
D.F. Chase |
kentkonut.com.tr |
Prince Jewellery & Watch Co., Ltd. |
Strongwell |
crossroadshealth |
Caribbean Broadcasting Corporation |
U.FORM SRL |
torann-france.fr |
Western Information Management Inc |
atsair.com |
chervongroup.com |
Durham Cathedral Schools Foundation |
Division-D |
Atlantic Asphalt |
UTC Uniformes Town & Country Inc, Les |
AKIJ GROUP |
aulss6.veneto.it |
Rodonaves Transportes E Encomendas Ltda |
Iwis Group |
Taylor and Martin |
Centre D'Odontologia Integrada Miret-Puig |
www.paw.eu |
ci.hercules.ca.us |
NASS USA North American Substation Services |
bayer.co.at |
|
|
表格2.受害組織/企業
系統安全防護數據分析
通過將2022年1月與2021年12月的數據進行對比,本月各個系統占比變化均不大,位居前三的系統仍是Windows 7、Windows 8和Windows 10。
以下是對2022年1月被攻擊系統所屬地域採樣製作的分布圖,與之前幾個月採集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。
通過觀察2022年2月弱口令攻擊態勢發現,RDP弱口令攻擊和MYSQL弱口令攻擊整體無較大波動。MSSQL弱口令攻擊雖有波動,但無大的變動,整體呈下降態勢。
勒索病毒關鍵詞
以下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜尋引擎。
- 360:屬於BeijngCrypt勒索病毒家族,由於被加密文件後綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒,本月新增通過資料庫弱口令攻擊進行傳播。
- coffee: 屬於Coffee勒索病毒家族,由於被加密文件後綴帶有coffee而成為關鍵詞。該家族主要傳播方式有兩種,第一種為通過偽裝成具有誘惑性的釣魚郵件,第二種為蠕蟲。
- devos:該後綴有三種情況,均因被加密文件後綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索病毒家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。
- rook:屬於Rook勒索病毒家族,由於被加密文件後綴會被修改為rook而成為關鍵詞。該家族的主要傳播方式為:通過匿隱殭屍網絡進行傳播。本月(2022年2月)受害者大部分是因為到下載網站下載註冊機感染的匿隱殭屍網絡。
- Locked:locked曾被多個家族使用,但在本月使用該後綴的家族是TellYouThePass勒索病毒家族。由於被加密文件後綴會被修改為locked而成為關鍵詞。該家族本月主要的傳播方式為:通過Log4j2漏洞進行傳播。
- eking:屬於phobos勒索病毒家族,由於被加密文件後綴會被修改為eking而成為關鍵詞。該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。
- rook3:同rook。
- mallox:屬於Mallox勒索病毒家族,由於被加密文件後綴會被修改為mallox。該家族傳播渠道有多個,包括匿隱殭屍網絡、橫向滲透以及資料庫弱口令爆破。
- mkp:屬於Makop勒索病毒家族,由於被加密文件後綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。
- avast:同mallox。
解密大師
從解密大師本月解密數據看,解密量最大的是Coffee,其次是Sodinokibi。使用解密大師解密文件的用戶數量最高的是被Coffee家族加密的設備,其次是被Stop家族加密的設備。