勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2022年4月,全球新增的活跃勒索病毒家族有:Onyx、Industrial Spy、BlackBasta、Pipikaki、BlockZ、Phantom、Blaze等家族,其中Onyx、Industrial Spy、BlackBasta均为双重勒索勒索病毒家族。
本月最值得关注的有三个热点:
1. Magniber勒索病毒再次活跃,大量用户因下载伪装成windows 10的更新程序导致文件被加密。
2. 新型勒索病毒Onyx勒索病毒对大文件进行直接销毁。
3. 风力涡轮机公司Nordex、Snap-on遭遇Conti勒索团伙攻击,同时发现已经黑客利用泄露的Conti源码攻击俄罗斯公司。
4. 美国牙科协会受到Black Basta勒索病毒攻击。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
针对本月勒索病毒受害者所中勒索病毒家族进行统计,TargetCompany(Mallox)家族占比14.95%居首位,其次是占比14.71%的Rook,phobos家族以12.99%位居第三。
本月传播排名前五的家族,分别采用了不同的传播方式。勒索病毒多样化的同时,传播渠道也在多元化。其中:
• TargetCompany(Mallox)通过暴力破解成功获取数据库口令后、下发远程工具投毒或直接下发勒索病毒,同时具备内网横向移动能力。
• Rook利用携带恶意代码的第三方软件进行传播,
• Phobos利用暴力破解远程桌面口令后投毒。
• TellYouThePass利用多种Nday漏洞进行传播。
• Magniber利用网页挂马,伪装成升级软件等方式进行传播。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows 7。
2022年4月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。
360安全大脑在4月底监控到Magniber再次活跃,此次传播不仅利用利用之前的网页挂马,还通过伪装成Windows 10升级包诱导用户下载运行。通常受害者是通过论坛、破解软件网站等地方下载文件时跳转到第三方云盘。下载时通常会下载到一个Windows 10升级包,还可能会跳转到色情、广告、购物等网站。
被该勒索病毒加密后,文件后缀为随机后缀,每个受害者会有一个独立的支付页面,若不能在规定时间内支付赎金,该链接将失效。若受害者能在5天内支付赎金只需支付0.075个比特币(约等于人民币18244元),超过5天赎金将会翻倍。360安全大脑曾对受害者进行采样跟踪,发现该家族的支付率极低,180个受害者中仅1个受害者支付赎金。
新型勒索病毒Onyx目前正在广泛传播,其会直接对大文件进行破坏而非加密。这样,即使受害者支付了赎金也无法解密这些被破坏的文件。
与目前大多数勒索病毒一样,Onyx作者会在加密文件之前从其设备中窃取数据。而这些数据会被用于双重勒索计划——如果不支付赎金,他们便会威胁要公开发布这些敏感数据。目前为止,该勒索病毒团伙已经在其网站上泄露了6所机构的数据,其中5所出自美国。
但在加密方面,该勒索病毒的手段则比较“独特”。其会加密文件大小小于200MB的文件,但会对大于200MB的文件用随机的垃圾数据覆盖其内容,而不是对其进行加密。由于这只是随机创建的数据,因此包括攻击者在内,任何人都无法解密这些被破坏的大文件。即使受害者支付赎金,也只有可能恢复较小的加密文件。
基于源码进行分析,该功能并非编程错误,而是病毒作者有意为之。因此,建议受害者不要支付赎金。
4月22日,美国牙科协会(ADA)遭受了网络攻击,迫使被攻击的服务器下线。此次攻击严重干扰了其各种在线服务、电话、电子邮件和网络通信等功能。ADA网站目前仅显示一条公式,表明他们的网站正在努力恢复系统运行。
目前,一个名为Black Basta的新型勒索病毒团伙声称对此次攻击事件负责,并已经开始泄露据称是在ADA攻击期间窃取到的数据。该团伙的数据泄露网站声称已经泄露了大约2.8 GB的数据,同时其还指出这是攻击中被盗数据的30%。这些数据包括W2表单、NDA、会计电子表格以及数据泄漏页面上共享的屏幕截图中有关ADA的会员信息。
Conti勒索团伙在俄乌冲突爆发后,内部数据遭到多次泄露,其中包括勒索病毒源代码。近日一名为NB65的黑客组织利用Conti泄露的勒索病毒源代码创建了自己的勒索病毒,并用于针对俄罗斯组织的网络攻击,窃取他们的数据并将其泄露到网上,并声称这些攻击是由于俄罗斯入侵乌克兰造成的。目前声称受到黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor、俄罗斯航天局Roscosmos和国有的俄罗斯电视和广播电台VGTRK等。
Conti勒索团伙并并未受到数据泄露事件影响,仍在不停的发起勒索攻击,例如:
1. 4月初,Conti勒索病毒声对风力涡轮机巨头Nordex发起勒索攻击,此次攻击时间导致该公司被迫关闭其IT系统同时禁用了对其设备的远程访问权限。
2. 2022年4月7日,Snap-on在其网络中检测到可疑活动后披露了此次数据泄露事件,这导致他们关闭了所有系统一边进行检查和维护。在进行调查后,Snap-on发现攻击者在2022年3月1日至3月3日期间就已经窃取了其员工的个人数据。
3. 在线零售和摄影平台Shutterfly公布了一起数据泄露事件,其声称此次事件是在遭到Conti勒索病毒攻击期间被后者窃取到了涉及员工信息的相关数据。据Shutterfly披露,由于勒索病毒攻击,其网络于2021年12月3日遭到入侵。在勒索病毒攻击期间,攻击者将获得了对公司网络的访问权,并成功窃取到了其中的数据和文件。
以下是本月收集到的黑客邮箱信息:
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅包括未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有325个组织/企业遭遇勒索攻击,其中包含中国5个组织/企业在本月遭遇了双重勒索/多重勒索。
表格2. 受害组织/企业
360系统安全产品,针对服务器进行全量下发系系统安全防护功能,针对非服务器版本的系统仅在发现被攻击时才下发防护。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2012。
对2022年4月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年4月弱口令攻击态势发现,RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但无大的变动,整体呈下降态势。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
• Locked:locked曾被多个家族使用,但在本月使用该后缀的家族是TellYouThePass勒索病毒家族。由于被加密文件后缀会被修改为locked而成为关键词。该家族本月主要的传播方式为:通过Log4j2漏洞进行传播。
• devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
• rook:属于Rook勒索病毒家族,由于被加密文件后缀会被修改为rook而成为关键词。该家族的主要传播方式为:通过匿隐僵尸网络进行传播。本月(2022年2月)受害者大部分是因为到下载网站下载注册机感染的匿隐僵尸网络。
• bozon:属于TargetCompany(Mallox)勒索病毒家族,由于被加密文件后缀会被修改为bozon。该家族传播渠道有多个,包括匿隐僵尸网络、横向渗透以及数据库弱口令爆破。
• eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
• Avast:同bozon。
• lockbit:属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。被该家族加密还可能涉及数据泄露的风险,该家族有一个大型团伙,其攻击手法多样化,不仅仅局限于弱口令爆破,还包括漏洞利用,钓鱼邮件等方式进行传播。
• mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
• 360:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
从解密大师本月解密数据看,解密量最大的是Sodinokibi,其次是Coffee。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Coffee家族加密的设备。