勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2024年10月，全球新增的雙重勒索軟件家族有Sarcoma、Playboy、DragonRansom、Interlock、Hellcat。10月新增的傳統(tǒng)勒索軟件家族Weaxor在國(guó)內(nèi)的傳播較為顯著，目前監(jiān)測(cè)其主要通過(guò)遠(yuǎn)程桌面登錄手動(dòng)投毒。

以下是本月值得關(guān)注的部分熱點(diǎn)：

1. Fog勒索軟件以SonicWall VPN為目標(biāo)來(lái)破壞公司網(wǎng)絡(luò)

2. BianLian勒索軟件聲稱對(duì)波士頓兒童健康醫(yī)生發(fā)起攻擊

3. 卡西歐確認(rèn)客戶數(shù)據(jù)在勒索軟件攻擊中被盜

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比43.50%居首位，第二的是Makop占比17.51%的，RNTC家族以10.73%位居第三。

圖1. 2024年10月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 2024年10月勒索軟件入侵操作系統(tǒng)占比

2024年10月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC高于服務(wù)器平臺(tái)。

圖3. 2024年10月勒索軟件入侵操作系統(tǒng)類型占比?

勒索軟件熱點(diǎn)事件

Fog勒索軟件以SonicWall VPN為目標(biāo)來(lái)破壞公司網(wǎng)絡(luò)

Fog和Akira勒索軟件運(yùn)營(yíng)商越來(lái)越多地通過(guò)SonicWall VPN賬戶入侵企業(yè)網(wǎng)絡(luò)，據(jù)信攻擊者正在利用CVE-2024-40766，這是一個(gè)嚴(yán)重的SSL VPN訪問(wèn)控制漏洞。

與此同時(shí)，安全研究人員報(bào)告說(shuō)看到Akira勒索軟件下屬公司利用該漏洞獲得對(duì)受害者網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。安全研究人員的一份新報(bào)告警告說(shuō)，Akira和Fog勒索軟件已經(jīng)進(jìn)行了至少30次入侵，這些入侵都是從通過(guò)SonicWall VPN賬戶遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)開(kāi)始的。在這些案例中，75%與Akira有關(guān)其余則歸因于Fog勒索軟件。

有趣的是，這兩個(gè)威脅組織似乎共享基礎(chǔ)設(shè)施，這表明兩者之間非官方合作的繼續(xù)。雖然研究人員并不能100%肯定該漏洞在所有情況下都被使用，但所有被破壞的端點(diǎn)都容易受到它的攻擊，運(yùn)行的是較舊的、未修補(bǔ)的版本。在大多數(shù)情況下，從入侵到數(shù)據(jù)加密的時(shí)間很短，大約十小時(shí)，最快的甚至達(dá)到1.5~2小時(shí)。在許多此類攻擊中，攻擊者通過(guò)VPN/VPS訪問(wèn)客戶端，混淆其真實(shí)IP地址。安全研究人員指出，除了運(yùn)行未修補(bǔ)的客戶端外，受感染的組織似乎沒(méi)有在受感染的SSL VPN賬戶上啟用多因素身份驗(yàn)證，也沒(méi)有在默認(rèn)端口4433上運(yùn)行其服務(wù)。

從被破壞的系統(tǒng)竊取數(shù)據(jù)涉及文檔和專有軟件，但攻擊者不會(huì)理會(huì)超過(guò)6個(gè)月的文件或者超過(guò)30個(gè)月的敏感文件。

BianLian勒索軟件聲稱對(duì)波士頓兒童健康醫(yī)生發(fā)起攻擊

BianLian勒索軟件組織聲稱對(duì)波士頓兒童健康醫(yī)師（BCHP）進(jìn)行了網(wǎng)絡(luò)攻擊，并威脅稱如不支付贖金則會(huì)泄露被盜文件。BHCP是一個(gè)由300多名兒科醫(yī)生和專家組成的網(wǎng)絡(luò)，在紐約哈德遜谷和康涅狄格州的60多個(gè)地點(diǎn)運(yùn)營(yíng)，在波士頓兒童醫(yī)院附屬的診所、社區(qū)醫(yī)院和保健中心提供患者護(hù)理。

根據(jù)BHCP在其網(wǎng)站上發(fā)布的公告稱，其信息技術(shù)供應(yīng)商在9月6日遭到了一次網(wǎng)絡(luò)攻擊，幾天后BHCP也在其網(wǎng)絡(luò)上檢測(cè)到未經(jīng)授權(quán)的活動(dòng)。隨后在第三方法醫(yī)專家的幫助下進(jìn)行的調(diào)查證實(shí)，攻擊者未經(jīng)授權(quán)進(jìn)入了BHCP系統(tǒng)并竊取了文件。

此次泄露影響到了現(xiàn)任和前任員工、患者和擔(dān)保人。根據(jù)客戶提供給BHCP的信息，泄露的數(shù)據(jù)包括以下內(nèi)容：

l? 全名

l? 社會(huì)安全號(hào)碼

l? 地址

l? 出生日期

l? 駕照號(hào)碼

l? 病歷號(hào)

l? 健康保險(xiǎn)信息

l? 賬單信息

l? 治療信息（部分）

BHCP進(jìn)一步澄清說(shuō)，因?yàn)橥泄茉谝粋€(gè)單獨(dú)的網(wǎng)絡(luò)上，此次網(wǎng)絡(luò)攻擊沒(méi)有影響其電子病歷系統(tǒng)。

目前，BianLian還沒(méi)有泄露任何東西，也沒(méi)有泄露被盜信息的最后期限，這表明他們?nèi)匀幌ＭcBHCP談判。

卡西歐確認(rèn)客戶數(shù)據(jù)在勒索軟件攻擊中被盜

卡西歐目前證實(shí)，本月早些時(shí)候它遭受了勒索軟件攻擊，警告說(shuō)員工、求職者和一些客戶的個(gè)人和機(jī)密數(shù)據(jù)也被盜。

此次攻擊于7日被披露，當(dāng)時(shí)卡西歐警告稱，由于周末未經(jīng)授權(quán)訪問(wèn)其網(wǎng)絡(luò)，該公司正面臨系統(tǒng)中斷和服務(wù)中斷。9日，Underground勒索軟件組織聲稱對(duì)此次攻擊負(fù)責(zé)，并泄露了據(jù)稱從日本科技巨頭系統(tǒng)中竊取的各種文件。10日，在數(shù)據(jù)泄露后，卡西歐發(fā)表了一份新聲明，承認(rèn)敏感數(shù)據(jù)在其網(wǎng)絡(luò)受到攻擊期間被盜。

至于目前正在進(jìn)行的調(diào)查結(jié)果，卡西歐表示，以下信息已被證實(shí)可能被泄露：

l? 卡西歐及其關(guān)聯(lián)公司的長(zhǎng)期和臨時(shí)/合同員工的個(gè)人數(shù)據(jù)。

l? 與卡西歐和某些關(guān)聯(lián)公司的業(yè)務(wù)合作伙伴相關(guān)的個(gè)人詳細(xì)信息。

l? 過(guò)去在卡西歐面試過(guò)的個(gè)人信息。

l? 使用卡西歐及其關(guān)聯(lián)公司提供的服務(wù)的客戶的個(gè)人信息。

l? 與當(dāng)前和過(guò)去業(yè)務(wù)合作伙伴的合同相關(guān)的詳細(xì)信息。

l? 有關(guān)發(fā)票和銷售交易的財(cái)務(wù)數(shù)據(jù)。

l? 包括來(lái)自卡西歐及其關(guān)聯(lián)公司的法律、財(cái)務(wù)、人力資源規(guī)劃、審計(jì)、銷售和技術(shù)信息的文件。

具體關(guān)于客戶數(shù)據(jù)，卡西歐指定公開(kāi)的集合不包括信用卡信息，因?yàn)橹Ц稊?shù)據(jù)不存儲(chǔ)在其系統(tǒng)上。

此外，這家日本公司表示，像卡西歐ID和ClassPad.net這樣的服務(wù)系統(tǒng)沒(méi)有受到該事件的影響，因?yàn)樗鼈儧](méi)有托管在被破壞的服務(wù)器基礎(chǔ)設(shè)施上。

隨著調(diào)查的繼續(xù)，影響的范圍可能會(huì)擴(kuò)大，建議那些認(rèn)為自己可能受到影響的人對(duì)未經(jīng)請(qǐng)求的電子郵件保持警惕。卡西歐還要求互聯(lián)網(wǎng)用戶避免在線分享任何泄露的信息，因?yàn)檫@只會(huì)使受數(shù)據(jù)泄露影響的人的情況惡化。“請(qǐng)不要通過(guò)社交媒體等傳播這些信息，因?yàn)檫@可能會(huì)增加本案信息泄露造成的損害，侵犯受影響者的隱私，對(duì)他們的生活和業(yè)務(wù)產(chǎn)生嚴(yán)重影響，并鼓勵(lì)犯罪，”卡西歐最新聲明說(shuō)。警方和日本個(gè)人信息保護(hù)委員會(huì)從本周早些時(shí)候就已經(jīng)獲悉了這一情況，因此當(dāng)局參與了調(diào)查和整治工作。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2024年10月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有536個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)3個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有10個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5. 2024年10月受攻擊系統(tǒng)占比

對(duì)2024年10月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

圖6. 2024年10月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2024年10月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

圖7. 2024年10月監(jiān)控到的RDP入侵量

圖8. 2024年10月監(jiān)控到的MS SQL入侵量

圖9. 2024年10月監(jiān)控到的MYSQL入侵量?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

n? rmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過(guò)smb共享方式加密其他設(shè)備。

n? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

n? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

n? locked：屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過(guò)各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

n? src：同mkp。

n? mallox：同rmallox。

n? wormhole：屬于Wormhole勒索軟件家族，由于被加密文件后綴會(huì)被修改為Wormhole而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)瑞友天翼軟件漏洞發(fā)起攻擊。

n? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

n? baxia：同bixi。

圖10. 2024年10月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab其次是OpenMeV2。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2024年10月解密大師解密文件數(shù)及設(shè)備數(shù)排名