360安全衛(wèi)士
360殺毒
360文檔衛(wèi)士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統(tǒng)急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅(qū)動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛(wèi)士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛(wèi)士
360殺毒
360文檔衛(wèi)士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統(tǒng)急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅(qū)動大師
魯大師
360游戲大廳
360軟件管家
360手機衛(wèi)士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛(wèi)士
清理大師
省電王
360商城
流量衛(wèi)士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設(shè)產(chǎn)品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領(lǐng)航版
標準升級版
后視鏡版
車載電器2024年12月勒索軟件流行態(tài)勢分析
勒索軟件傳播至今,360反勒索服務已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延,企業(yè)數(shù)據(jù)泄露風險不斷上升,勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣,危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御,為需要幫助的用戶提供360反勒索服務。
2024年12月,全球新增的雙重勒索軟件家族有Bluebox,目前僅有3個受害組織。12月新增的傳統(tǒng)勒索軟件家族有RdpLocker,目前尚未監(jiān)測到在國內(nèi)的傳播行為。
以下是本月值得關(guān)注的部分熱點:
n? 美國指控俄羅斯-以色列人可能是LockBit勒索軟件開發(fā)者
n? Clop勒索軟件聲稱對Cleo數(shù)據(jù)盜竊攻擊負責
n? 勒索軟件攻擊心臟手術(shù)設(shè)備頭部制造商
基于對360反勒索服務數(shù)據(jù)的分析研判,360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員)發(fā)布本報告。
感染數(shù)據(jù)分析
針對本月勒索軟件受害者設(shè)備所中病毒家族進行統(tǒng)計:TargetCompany(Mallox)家族占比25.52%居首位,第二的是RNTC占比23.45%的,BeijingCrypt家族以11.03%位居第三。
圖1. 2024年12月勒索軟件家族占比
對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計,位居前三的是:Windows 10、Windows7以及Windows Server 2012。
圖2. 2024年12月勒索軟件入侵操作系統(tǒng)占比
2024年12月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示,受攻擊的系統(tǒng)類型桌面PC占比大幅度高于服務器平臺。
圖3. 2024年12月勒索軟件入侵操作系統(tǒng)類型占比?
勒索軟件熱點事件
美國指控俄羅斯-以色列人可能是LockBit開發(fā)者
美國司法部已指控一名俄羅斯-以色列雙重國籍人士涉嫌在開發(fā)惡意軟件和管理臭名昭著的LockBit勒索軟件組織的基礎(chǔ)設(shè)施方面發(fā)揮作用。根據(jù)12月20日,新澤西州地區(qū)解封的一份刑事起訴書,51歲的俄羅斯-以色列雙重國籍的Rostislav Panev據(jù)稱幫助開發(fā)了LockBit勒索軟件加密程序和攻擊中常用的定制“StealBit”數(shù)據(jù)盜竊工具。
Panev于8月在以色列被捕,彼時他正在等待美國未決的引渡請求。刑事起訴書稱,以色列執(zhí)法部門在他的計算機上發(fā)現(xiàn)了一個在線存儲庫的憑據(jù),其中包含LockBit加密程序和StealBit工具的源代碼。這些存儲庫還包含Conti勒索軟件加密程序的源代碼,該源代碼是在Conti在入侵烏克蘭問題上站在俄羅斯一邊后被一名烏克蘭研究人員泄露的。據(jù)信,此源代碼已用于幫助創(chuàng)建基于Conti加密器的“LockBit Green”加密器。
起訴書還稱,Panev使用黑客論壇的私人消息功能與LockBit的主要運營商LockBitSupp(現(xiàn)在被確認為Dmitry Yuryevich Khoroshev)進行交流。這些消息是為了討論需要在LockBit構(gòu)建器和操作控制面板上編碼的工作。據(jù)稱,由于他與LockBit勒索軟件團伙合作,Panev在18個月內(nèi)賺取了大約23萬美元。
據(jù)稱,在被捕后接受以色列警方審訊時,Panev承認為LockBit勒索軟件做編程工作并獲得了報酬。如果Panev被引渡到美國,他將在新澤西州特區(qū)受審。
Clop勒索軟件聲稱對Cleo數(shù)據(jù)盜竊攻擊負責
2020年12月,Clop利用了Accellion FTA安全文件傳輸平臺的0day漏洞,影響了近百家組織。在之后的2021年,勒索軟件團伙利用SolarWinds Serv-U FTP軟件中的0day漏洞竊取數(shù)據(jù)并破壞網(wǎng)絡(luò)。2023年,Clop利用GoAnywhere MFT平臺的0day漏洞,使勒索軟件團伙再次從100多家公司竊取數(shù)據(jù)。然而,根據(jù)安全公司給出的一份報告稱,該團伙最嚴重的此類攻擊是在MOVEit Transfer平臺上使用0day,這使他們能夠從2773個組織中竊取數(shù)據(jù)。
目前,尚不清楚有多少公司受到了Cleo數(shù)據(jù)盜竊攻擊的影響,也不清楚有任何公司證實通過該平臺被入侵。美國國務院的正義獎勵計劃目前懸賞1000萬美元,以獲取將Clop勒索軟件攻擊與外國政府聯(lián)系起來的信息。
勒索軟件攻擊心臟手術(shù)設(shè)備頭部制造商
心臟外科醫(yī)療設(shè)備制造商Artivion近期披露了其在11月21日遭到了勒索軟件攻擊,該攻擊中斷了其運營并迫使其部分系統(tǒng)下線。
Artivion的應對措施包括使某些系統(tǒng)下線、啟動調(diào)查以及聘請外部顧問,包括法律、網(wǎng)絡(luò)安全和法醫(yī)專業(yè)人士來評估、遏制和補救事件。雖然Artivion在公告中沒有直接提到勒索軟件,但它透露攻擊者加密了其一些系統(tǒng)并從受感染的系統(tǒng)中竊取了數(shù)據(jù)。該公司還補充說,其公司運營、訂單處理和運輸?shù)闹袛嘁鸦镜玫浇鉀Q,保險范圍將涵蓋與事件響應相關(guān)的費用。
目前,暫時沒有勒索軟件聲稱對攻擊負責。
黑客信息披露
以下是本月收集到的黑客郵箱信息:
表1. 黑客郵箱
當前,通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多,勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比,該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分(已經(jīng)支付贖金的企業(yè)或個人,可能不會出現(xiàn)在這個清單中)。
圖4. 2024年12月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比
以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風險的企業(yè)或個人也請第一時間自查,做好數(shù)據(jù)已被泄露準備,采取補救措施。
本月總共有528個組織/企業(yè)遭遇勒索攻擊,其中包含中國1個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有76個組織/企業(yè)未被標明,因此不在以下表格中。
表2. 受害組織/企業(yè)?
系統(tǒng)安全防護數(shù)據(jù)分析
360系統(tǒng)安全產(chǎn)品,目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中,排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。
圖5 2024年12月受攻擊系統(tǒng)占比?
對2024年12月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn),與之前幾個月采集到的數(shù)據(jù)進行對比,地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。
圖6. 2024年12月國內(nèi)受攻擊地區(qū)占比排名
通過觀察2024年12月弱口令攻擊態(tài)勢發(fā)現(xiàn),RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。
圖7. 2024年12月監(jiān)控到的RDP入侵量
關(guān)于MS SQL的入侵,12月30日的數(shù)據(jù)由于一些設(shè)備被大量暴破導致數(shù)據(jù)大幅增高,隨后即恢復正常水平。
圖8. 2024年12月監(jiān)控到的MS SQL入侵量
圖9. 2024年12月監(jiān)控到的MYSQL入侵量?
勒索軟件關(guān)鍵詞
以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計,數(shù)據(jù)來自360勒索軟件搜索引擎。
n? hmallox:屬于TargetCompany(Mallox)勒索軟件家族,由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播,今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進行傳播。
n? wstop: RNTC勒索軟件家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,同時通過smb共享方式加密其他設(shè)備。
n? Weaxor:屬于Weaxor勒索軟件家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,同時通過smb共享方式加密其他設(shè)備。
n? mkp: 屬于Makop勒索軟件家族,由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。
n? baxia:屬于BeijngCrypt勒索軟件家族,由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。
n? bixi:同baxia。
n? rmallox:同hmallox。
n? src:同mkp。
n? devicdata:同hmallox。
n? 888:屬于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。
圖10 2024年12月反病毒搜索引擎關(guān)鍵詞搜索排名
解密大師
從解密大師本月解密數(shù)據(jù)看,解密量最大的是GandCrab其次是Telsa。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。
圖11. 2024年12月解密大師解密文件數(shù)及設(shè)備數(shù)排名
京公網(wǎng)安備 11000002000006號