2024年9月勒索軟件軟件流行態勢分析報告

2024-10-11 15:39:34
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年9月，全球新增的雙重勒索軟件家族有Nitrogen、Orca、ValenciaLeaks。8月新增的傳統勒索軟件家族RNTC在國內的傳播較為顯著，主要通過遠程桌面登錄手動投毒，同時通過smb共享擴大加密文件范圍。

以下是本月值得關注的部分熱點：

1. 法飛塔確認黑客竊取的440G文件已遭泄露

2. 堪薩斯州水廠遭網絡攻擊后被迫改為人工操作

3. NoName勒索軟件組織在最近的攻擊中部署RansomHub

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：TargetCompany(Mallox)家族占比31.21%居首位，第二的是RNTC占比22.93%的，Makop家族以15.92%位居第三。

? ? ?

圖1. 2024年9月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 2024年9月勒索軟件入侵操作系統占比

2024年9月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC與服務器平臺的攻擊比例基本相當。

圖3. 2024年9月勒索軟件入侵操作系統類型占比?

勒索軟件熱點事件

速匯金確認在長達數日的系統中斷背后是網絡攻擊

匯款巨頭速匯金證實自9月20日以來，其所處理的系統故障和客戶投訴后均因該公司遭受了網絡攻擊所導致。雖然許多人此前就懷疑該公司受到了網絡攻擊，但直到當地時間23日早上，速匯金才證實了本次系統中斷是由網絡安全事件所致。

在速匯金客戶無法轉賬或訪問他們的資金后，該公司曾于21日表示他們遇到了“網絡中斷”影響了與系統的連接。

該公司最終于23日證實，網絡安全事件是系統中斷的原因，并向客戶保證，該公司正在與外部專家和執法部門努力解決這一問題。

雖然速匯金沒有透露他們遭受了哪種類型的攻擊，但長時間的中斷和與系統的連接中斷表明存在勒索軟件攻擊。考慮到速匯金龐大的客戶群，該公司潛在的數據泄露可能會對許多人產生深遠的影響。

堪薩斯州水廠遭網絡攻擊后被迫改為人工操作

負責監管西雅圖港口和機場的美國政府機構——西雅圖港務局于9月13日證實，Rhysida勒索軟件組織是過去三周內對該機構系統發動網絡攻擊的幕后黑手。此前，該機構于8月24日透露遭到網絡攻擊，并被迫隔離了一些關鍵系統以控制影響。由此導致的IT中斷影響了西雅圖塔科馬國際機場的預訂和登機系統，并導致航班延誤。

在最初披露攻擊事件的三周后，港口正式確認8月份的攻擊事件是Rhysida勒索軟件組織的成員策劃的勒索軟件攻擊。該聲明稱：“此次事件是由名為Rhysida的犯罪組織實施的一起勒索軟件攻擊。從那天起，港口系統再也沒有發生未經授權的活動。從西雅圖-塔科馬國際機場出發并使用西雅圖港的海運設施仍然是安全的。”

據港口方面稱，調查發現未經授權的黑客能夠訪問其部分計算機系統，并能夠加密某些數據的訪問權限。該港口決定關閉系統以及勒索軟件團伙在未能及時隔離的系統上加密的行為導致了多重服務和系統的中斷，其中包括行李處理、值機亭、售票、Wi-Fi、乘客信息顯示屏、西雅圖港口網站、flySEA應用以及預留停車位。盡管港口已經在一周內將大多數受影響的系統恢復上線，但它仍在努力恢復其他關鍵服務，如西雅圖港口網站、SEA Visitor Pass、TSA等待時間和flySEA應用訪問。此外，該港口也決定不向勒索軟件犯罪團伙支付解密器費用，盡管攻擊者很可能會在8月中旬至月底之間在其暗網泄露網站上發布竊取的數據。

“西雅圖港沒有向攻擊者支付贖金的意圖，”西雅圖港執行主任Steve Metruck說。“向犯罪組織支付贖金不符合港口的價值觀，也不符合我們作為納稅人資金守護者的承諾。”

NoName勒索軟件組織在最近的攻擊中部署RansomHub

一個名為“NoName”的勒索軟件組織已經連續三年針對全球各地的小型和中型企業進行勒索攻擊，并試圖打出自己的名聲。近日，該組織可能正在與RansomHub勒索軟件交易平臺開展合作。

該勒索組織使用了一款名為Spacecolon的惡意軟件家族的自定義工具，并在利用EternalBlue或ZeroLogon等經典漏洞侵入網絡后部署它們。而在最近的攻擊中，NoName則使用了名為ScRansom的勒索軟件，該軟件取代了之前的Scarab加密器。此外，該攻擊者還試圖通過嘗試使用泄露的LockBit 3.0勒索軟件聲稱器來創建類似的數據泄露網站以及使用類似的勒索贖金通知來為自己打響名號。

研究人員發現，盡管ScRansom在勒索軟件領域并不像其他威脅那樣復雜，但它仍在不斷地進行著更新迭代。該惡意軟件支持使用不同的速度模式進行部分加密，以使攻擊者具有一定的靈活性。此外，其還具有一個名為“ERASE”的模式，可將文件內容替換為恒定值使其無法恢復。ScRansom可以加密所有驅動器上的文件，包括固定驅動器、遠程驅動器和可移動媒體，并且允許生成者通過可自定義的配置來確定要加密的文件擴展名。在啟動加密程序之前，ScRansom還會嘗試殺死Windows主機上的一系列進程和服務，包括Windows Defender、卷影副本、SVCHost、RDPclip、LSASS以及與VMware工具相關的進程。與此同時，ScRansom的加密方案也相當復雜：其采用了AES-CTR-128和RSA-1024的組合，并額外生成了一個AES密鑰來保護公鑰。

NoName一直使用暴力手段來獲取網絡訪問權限，但該攻擊者還利用了幾個更可能存在于SMB環境中的漏洞：

l? CVE-2017-0144

l? CVE-2023-27532

l? CVE-2021-42278與CVE-2021-42287

l? CVE-2022-42475

l? CVE-2020-1472

在6月初的一起與NoName相關的勒索軟件事件中，研究人員發現攻擊者在不到一周后就在同一臺機器上執行了RansomHub的EDR殺手工具。該工具允許攻擊者通過在目標設備上部署一個合法但存在漏洞的驅動程序來提升權限并禁用安全代理。兩天后，也就是6月10日，黑客在被入侵的機器上執行了RansomHub勒索軟件。研究人員指出，提取EDR殺手的方法是典型的CosmicBeetle行為，而不是RansomHub的附屬機構。

由于沒有關于RansomHub代碼或其構建者的公開信息，研究人員認為這一情況表明NoName加入了RansomHub的合作伙伴行列。盡管與RanssomHub的關聯尚未確定，但研究發現ScRansom加密器目前正在積極開發中。結合ScRansom轉向LockBit的事實，這表明NoName顯然仍在進行著進一步更新。

國內勒索軟件態勢抬頭，9月多起勒索事件

2024年9月 11日，勒索軟件團伙Hunters International聲稱對中國工商銀行倫敦分部進行了網絡攻擊，并竊取了超過520萬份文件，總計6.6TB的數據。該團伙在暗網上公布了這一信息，并設定了9月13日為支付贖金的最后期限，威脅若不滿足其要求，將公開所有竊取的數據。

圖4. Hunters International發布的工商銀行泄露數據

此外Killsec勒索軟件也在9月份于其官網上放出了據稱是竊取自國內某政府單位的數據支付鏈接，這些數據包括但不限于：在中國機構與政府部門內的個人、行政、財務、審核流程等敏感信息。

圖5. KillSec發布的國內某政府單位泄露數據

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖6. 2024年9月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有388個組織/企業遭遇勒索攻擊，其中包含中國5個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有3個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖7. 2024年9月受攻擊系統占比

對2024年9月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖8. 2024年9月國內受攻擊地區占比排名

通過觀察2024年9月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖9. 2024年9月監控到的RDP入侵量

圖10. 2024年9月監控到的MS SQL入侵量

圖11. 2024年9月監控到的MYSQL入侵量?

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

n? rmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

n? src: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? mallox：同rmallox。

n? mkp：同src。

n? devicdata：同rmallox。

n? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

n? wormhole：屬于Wormhole勒索軟件家族，由于被加密文件后綴會被修改為Wormhole而成為關鍵詞。該家族主要的傳播方式為：通過瑞友天翼軟件漏洞發起攻擊。

n? baxia：同bixi。

n? lcrypt 屬于Anony勒索軟件家族，由于被加密文件后綴會被修改為anony而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

圖12. 2024年9月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是GandCrab其次是Coffee。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。

圖13. 2024年9月解密大師解密文件數及設備數排名

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

2024年9月勒索軟件軟件流行態勢分析報告

熱點排行

關注我們