2024年7月勒索軟件軟件流行態勢分析報告

2024-08-06 18:43:46
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年7月，全球新增的雙重勒索軟件家族有Lynx、Cicada3301、Fog、MAD LIBERATOR、Pryx、Vanir Group。Fog最早出現在2024年5月，并在7月開始通過其數據泄露網站對外發布受害者名單。新增的傳統勒索軟件家族有ShadowRoot、Black4Over。

以下是本月值得注的部分熱點：

1. 新的Eldorado勒索軟件攻擊Windows及Vmware ESXi虛擬機

2. 來德愛承認6月份遭遇勒索攻擊后發生數據泄露事件

3. 洛杉磯高等法院因遭遇勒索軟件攻擊而關閉

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：TargetCompany(Mallox)家族占比36.02%居首位，第二的是Makop占比22.46%，Anony家族以12.29%位居第三。

圖1. 2024年7月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 2024年7月勒索軟件入侵操作系統占比

2024年7月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC與服務器平臺的攻擊比例基本相當。

圖3. 2024年7月勒索軟件入侵操作系統類型占比

勒索軟件熱點事件

新的Eldorado勒索軟件攻擊Windows及Vmware ESXi虛擬機

一種名為“Eldorado”的新型RaaS（勒索軟件即服務）勒索軟件于今年3月被首次發現，并帶有針對性的攻擊VMware ESXi和Windows平臺。該勒索軟件團伙據稱已攻擊了16個組織，其中大部分受害者在美國，涉及房地產、教育、醫療保健和制造業等領域。

網絡安全研究人員監控到了“Eldorado”的活動，發現其幕后控制者在RAMP論壇上推廣該勒索服務，并尋找有相關技術能力的合作伙伴加入項目。此外，Eldorado還運營著一個數據泄露網站用于列出了受害者名單，但目前該網站尚無法訪問。

Eldorado是一款基于Go語言開發的勒索軟件，可以通過兩種具有相似功能的變種在Windows和Linux平臺上進行文件加密操作。研究人員從提供RaaS的供應商手中取得了一個加密器以及其附帶的用戶手冊，說明該加密器有適用于VMware ESXi虛擬機管理程序和Windows操作系統的32位及64位版本。根據分析發現，該勒索軟件使用ChaCha20算法進行加密，并針對每臺受害設備生成一個獨有的32字節密鑰和12字節初始向量。然后，使用RSA加密算法對密鑰和初始向量進行加密，采用的是最優的非對稱加密填充（OAEP）方案。加密完成后，文件會被添加“.00000001”的擴展名，并在系統的“文檔”和“桌面”文件夾中放置名為“HOW_RETURN_YOUR_DATA.TXT”的勒索說明文件。另外，Eldorado還利用SMB通信協議對網絡中的共享設備進行加密，以最大程度地發揮其作用，并在被入侵的Windows機器上刪除卷影副本，以防止受害者通過副本對文件進行恢復。同時，該勒索軟件會跳過DLL、LNK、SYS和EXE文件，以及與系統啟動和基本功能相關的文件和目錄，以防止使系統無法啟動或無法使用。最終，勒索軟件會刪除自身文件以避免被安全響應人員發現和分析。

安全研究人員表示：“雖然目前來看，Eldorado是一個新出現的勒索軟件組織而非此前的勒索軟件組織的重生團隊，但其在短時間內已展現出了對受害者數據、聲譽和業務可用性的重大破壞能力。”

來德愛承認6月份遭遇勒索攻擊后發生數據泄露事件

大型連鎖藥店來德愛在6月份遭受了一次網絡攻擊，隨后確認發生了數據泄露事件，該事件被RansomHub勒索軟件組織所宣稱。

大型連鎖藥店來德愛在7月12日表示其正在調查今年6月份發現的一起網絡攻擊，并正在努力向受數據泄露影響的客戶發送數據泄露通知。該公司還表示，在聘請外部專家解決此次攻擊影響的過程中，已恢復了所有受影響的系統。盡管來德愛沒有透露在數據泄露事件中被訪問的客戶數據內容以及受影響的個人數量，但該公司表示，此次數據泄露事件并未涉及健康或財務信息。

盡管來德愛尚未透露6月份襲擊事件的幕后黑手是誰，但這份聲明是在RansomHub勒索軟件團伙已聲明表示入侵了這家藥品巨頭的系統并竊取了客戶數據之后發布的。

在RansomHub的聲明中，明確表示在獲取了Riteaid網絡的訪問權限后，已獲取了超過10GB的客戶信息，相當于約4500萬人的個人信息。這些信息包括姓名、地址、dl_id號碼、出生日期和Riteaid推廣號碼。在將來德愛添加到其泄露網站后，據傳由于該公司已停止了贖金談判，勒索軟件組織分享了一些據稱是被盜數據的截圖作為證據，并表示兩周內將公布所有數據。

根據來德愛方面的最新統計，此次數據泄露事件已經影響到其約220萬名客戶的隱私信息。

洛杉磯高等法院因遭遇勒索軟件攻擊而關閉

美國最大的地方法院——洛杉磯縣高等法院于22日關閉了其36個法院的所有地點，以恢復在19日遭受勒索軟件攻擊的系統。這起尚未被勒索軟件組織公布的攻擊影響了洛杉磯高等法院的整個網絡。此次攻擊也波及了包括“MyJuryDuty Portal”門戶網站在內的外部系統，以及一些如案件管理系統在內的內部系統。

此次攻擊在當地時間20日時被首次披露，當時該法院透露襲擊開始于7月19日星期五清晨。洛杉磯高等法院還(LASC)表示，此次事件與全球范圍內影響Windows系統的CrowdStrike更新故障無關。在發現遭到攻擊后，LASC被迫立即關閉了所有網絡系統以遏制漏洞，這些設備很可能至少要到下周二才能恢復并重新上線。法院補充說，他們沒有發現任何證據表明被入侵系統的數據被泄露，目前正與加州緊急服務辦公室（CALOES）以及地方、州和聯邦執法機構合作，調查此次事件并評估其影響。

雖然法院仍在迅速推進恢復和恢復階段，但截至21日晚間，許多關鍵系統仍處于離線狀態。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱?

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖4. 2024年7月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有406個組織/企業遭遇勒索攻擊，其中包含中國6個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有9個組織/企業未被標明，因此不在下表格中。

表格2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5. 2024年7月受攻擊系統占比

對2024年7月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖6. 2024年7月國內受攻擊地區占比排名

通過觀察2024年7月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2024年7月監控到的RDP入侵量

圖8. 2024年7月監控到的MS SQL入侵量

圖9. 2024年7月監控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

l? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

l? svh: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? src：同svh。

l? rmallox：同hmallox。

l? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

l? jaff: 屬于Anony勒索軟件家族，由于被加密文件后綴會被修改為anony而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? mallox：同hmallox。

l? mkp：同svh。

l? faust： phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? bixi：同baxia。

圖10. 2024年7月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是Loki其次是Telsa。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。

圖11. 2024年6月解密大師解密文件數及設備數排名

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频