勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供反勒索服务。
2022年2月,全球新增的活跃勒索病毒家族有:Sutur、D3adCrypt、Sojusz、Unlock、IIMxT等家族。本月最值得关注的有四个热点:
1、Coffee勒索病毒先后采用蠕虫和钓鱼邮件的传播方式对高校及科研院所发起针对性攻击。
2、勒索病毒的假旗攻击在俄乌战争中发挥重要作用,乌克兰连番遭遇多轮“擦除器”攻击,多个政府网站受到影响。
3、俄乌战争爆发后,Conti勒索团伙,疑似内部分裂,大量内部数据被公开发布。
4、国内多家企业遭BlackCat攻击,存在数据泄露风险。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
针对本月勒索病毒受害者所中勒索病毒家族进行统计,Coffee家族占比20.84%居首位,其次是占比13.47%的phobos,Rook家族以12.00%位居第三。
根据360安全大脑监控到的数据显示:
● 通过QQ蠕虫以及钓鱼邮件进行传播的Coffee在本月集中发作,导致感染Coffee家族的受害者数量上涨。
● 本月大量Rook勒索病毒受害者,因下载了带有恶意代码的AutoCAD注册机导致中招。该注册机会先通过在powershell的计划任务实现长期驻留,之后不断投递勒索病毒。同时该传播渠道也与匿影僵尸网络紧● 密相关。
● Mallox在本月新增多个变种,包括avasr、consultransom、DevicZz,其传播方式多样化,主要攻击目标为中大型企业,在拿下企业入口终端后,利用横向渗透的方式攻击企业内网其他设备。
2022年2月被感染的系统中,桌面系统和服务器系统占比显示:受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。
俄乌战争爆发后,出现了多轮针对乌克兰以破坏为目的的国家级网络战攻击,攻击活动包括分布式拒绝服务 (DDoS) 攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等。经分析,这些网络攻击可能旨在造成乌克兰的混乱、阻碍通信、削弱乌克兰的政府、民间和军事机构,是一场策划已久的网络战。而2月底,更是出现了多轮针对乌克兰的数据擦除恶意软件大规模传播事件。
第一轮攻击由WhisperGate数据擦除器发起,该软件在1月就已经出现,而随着俄乌战争的进行,其传播量力度和感染规模也随之大量增加。该病毒会先覆盖 MBR 并销毁所有分区,再通过Discord服务托管的CDN下载攻击载荷,最终执行文件擦除攻击。
而在WhisperGate获得成功后,同为“擦除器”的HermeticWiper及IsaacWiper则紧随其后,分别发动了第二、三轮擦除器攻击。这些攻击中,部分是由计划任务启动的,疑似通过控制内网域控和不同网络服务的漏洞利用进行投递植入。
根据360高级威胁研究院的分析推演,在网络战中所实施的大规模破坏攻击行动,极有可能因为不受攻击者控制的情况而波及全球,相关组织机构需要提高警惕。
俄乌战争爆发后,Conti勒索团伙因支持国家不同,引发内部分裂。一名Conti组织的内部成员(也有消息称是一名乌克兰安全研究员)将Conti组织的内部对话以及勒索病毒软件、控制面板等源代码等信息公开发布出来。
2月底,有人以@ContiLeaks 的账号名义泄露了393份JSON文件,其中包括Conti和Ryuk勒索病毒组织的私人聊天记录。本三月初,此人进一步发布而更多数据——这次共有148各JSON文件,其中包括107000余条内部消息。
随后,这位名为@ContiLeaks的账号继续发布了更多的消息,包括Conti的管理面板源码、BazarBackdoor API、数据服务器的截屏等。其中最重要的是一个包含了Conti勒索病毒加密器、解密器、构造器源码的存档。但该存档受到密码保护,目前尚没有被破解。
随着俄乌冲突持续,不少网络安全相关组织和勒索病毒团伙开始表明立场,例如:
● Lockbit家族表示,该团伙成员来自多个国家,包括俄罗斯人也包括乌克兰人,他们不会卷入任何国际冲突,只专心进行勒索。
● Stormous勒索病毒团伙正式宣布支持俄罗斯政府。
● 出现勒索病毒对乌克兰进行数据擦除攻击。
● 知名黑客论坛Raidforums则发出通知:禁止任何来自俄罗斯的访问。该论坛的一名成员甚至对“俄罗斯人”发出了警告,声称掌握了包含有俄罗斯联邦安全局的电子邮件及散列密码的数据库。
● 安全厂商Emsisoft也在twitter中公开表示站在乌克兰一方。
本月,360安全大脑监控到国产勒索病毒Coffee针对高校教师和科研人员发起勒索攻击,其中最早一次攻击通过软件捆绑和QQ群钓鱼传播且危害极大,不仅具备蠕虫性质,且潜伏期还高达数百日。
该病毒的第二轮攻击选择伪装成学校邮箱(jcc@eudumail.cloud)向各高校老师发送名为《2021年度本单位职工个税补缴名单》的钓鱼邮件,通过对受害者分析发现受害者主要来自今年和去年申请《国家自然科学基金》项目的高校教师与科研院人员。
虽然Coffee病毒有愈演愈烈的趋势,不过可喜的是360解密大师已经在第一时间支持了该勒索病毒解密。受到Coffee勒索病毒影响的用户,可尝试使用360解密大师解密或联系360安全中心寻求帮助。
BlackCat勒索病毒家族最早出现于2021年11月,又被称作ALPHV勒索病毒家族,采用RaaS(勒索软件即服务)模式运营,其目标为中大型企业。该家族还在暗网论坛宣传:附属机构勒索到的赎金,附属机构自身可分得80%~90%。这比之前任何一个勒索组织提供的分成都要高,从而得到大量攻击者的吹捧,迅速融入勒索市场。在成功部署勒索病毒后,向受害者索要价值40万至2千万美元不等的比特币或门罗币作为赎金。
该勒索病毒能迅速融入勒索病毒市场,还因为其存在以下多个特征:
● 高定制性:攻击者可根据自己的喜好进行定制,包括受害者公钥、被加密文件后缀、勒索提示信息文件名、每个文件加密大小、加密算法选择等。
● 高危害性:不仅会加密受害者文件,还会窃取数据、对未支付赎金受害企业/组织的基础设施采取分布式拒绝服务(DDOS)攻击、羞辱受害者等。
● 多平台性:该勒索病毒采用Rust语言编写,加密文件快,可在Windwos和Linux等主流平台运行。
● 攻击方式多样性:不仅收集被攻击企业/组织的登录凭据(远程桌面RDP的登录凭据、VPN的登录凭据等),还利用不同漏洞进行攻击。
● 私密性高:访问其谈判页面需要提供受害企业/组织对应的token,否则无妨访问。避免被非受害者人员访问,接受无效沟通或恶意谈判。
目前该家族数据泄露网站已有52个受害者名单,其中有5个来自中国。其中包含本月被攻击的某新能源企业。攻击者宣称在此次攻击事件中,窃取了多达4TB的数据,包括太阳能组件详细制造信息3D图纸、数百万太阳能模块图像、客户建筑信息、制造执行系统源码、过去3年完整财务信息等,并公布了相应信息。
疑似遭泄露的部分数据
运动服装制造商Puma最早在2021年8月曾被Marketo攻击,被窃取包括其应用程序源码在内的1GB数据。在2021年12月,其北美人力管理服务提供商之一的Kronos被勒索病毒攻击后,Puma相关数据再次遭到了泄露。
本月早些时候,Kronos在向几家司法部长办公室提交的数据泄露通知称,攻击者在加密数据之前,从Kronos私有云(KPC)云环境中窃取了属于Puma员工及其家属的个人信息。Kronos将KPC描述为使用防火墙、多因身份验证和加密传输保护免受攻击的安全存储。它用作托管Workforce Central、Workforce TeleStaff、Enterprise Archive、TeleTime IP、医疗保健扩展(EHC)和FMSI环境的服务器设施。
虽然通知中并没有提到有多少Puma员工的信息在攻击期间被盗,但提供给缅因州总检察长办公室的信息显示,勒索病毒运营者可能已经掌握了6632份个人相关数据。
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。本月总共有244个组织/企业遭遇勒索攻击。
通过将2022年1月与2021年12月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2022年1月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年2月弱口令攻击态势发现,RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但无大的变动,整体呈下降态势。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
● 360:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
● coffee: 属于Coffee勒索病毒家族,由于被加密文件后缀带有coffee而成为关键词。该家族主要传播方式有两种,第一种为通过伪装成具有诱惑性的钓鱼邮件,第二种为蠕虫。
● devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
● rook: 属于Rook勒索病毒家族,由于被加密文件后缀会被修改为rook而成为关键词。该家族的主要传播方式为:通过匿隐僵尸网络进行传播。本月(2022年2月)受害者大部分是因为到下载网站下载注册机感染的匿隐僵尸网络。
● Locked: locked曾被多个家族使用,但在本月使用该后缀的家族是TellYouThePass勒索病毒家族。由于被加密文件后缀会被修改为locked而成为关键词。该家族本月主要的传播方式为:通过Log4j2漏洞进行传播。
● eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
● rook3: 同rook。
● mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox。该家族传播渠道有多个,包括匿隐僵尸网络、横向渗透以及数据库弱口令爆破。
● mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
● avast:同mallox。
解密大师
从解密大师本月解密数据看,解密量最大的是Coffee,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Coffee家族加密的设备,其次是被Stop家族加密的设备。
