勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2023年7月,全球新增的活跃勒索软件家族有RA GROUP、Cactus、Rancoz等家族。其中RA GROUP是本月开始活跃的双重勒索软件,该勒索软件团伙最初出现于2023年4月。当时他们在暗网上推出了一个数据泄露网站,发布受害者的详细信息和被盗数据,采用了流行的“双重勒索”策略。勒索页面于 2023 年4月22日上线,4 月27 日发布了第一批受害组织,包括样本文件、被盗内容类型的描述以及被盗数据的链接。
以下是本月值的关注的部分热点:
1. 雅诗兰黛集团遭到两个勒索软件团伙的攻击
2. Clop团伙利用MOVEit漏洞发动的勒索攻击已赚取超过7500万美元
3. ALPHV勒索软件在其数据泄露网站中加入了获取泄露数据的API
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比24.58%居首位,并列第二的是占比同为11.86%的TargetCompany(Mallox)与BeijingCrypt勒索病毒家族。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
2023年7月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型占比基本相当。
两款勒索软件ALPHV/BlackCat和Clop均在其数据泄露网站上将美妆巨头雅诗兰黛列为攻击目标。而在发给公司的勒索信息中,BlackCat团伙嘲笑了雅诗兰黛的安全措施并称它们的勒索工具仍存在于公司内部的网络上。
雅诗兰黛公司在7月18日提交给美国证券交易委员会(SEC)的文件中证实了其中一次攻击,称攻击者获得了其部分系统的访问权限并可能窃取了数据。但雅诗兰黛并没有提供有关该事件的太多细节,称公司已采取了积极行动并关闭了一些系统以防止攻击者在网络上的进一步扩张。
而Clop勒索软件团伙则似乎是利用了MOVEit Transfer平台的漏洞,获取了对该公司的访问权限。在Clop的数据泄露网站上,勒索团伙列出了雅诗兰黛并附上了简单的信息:“该公司不关心其客户,它忽视了他们的安全!!!”同时注明团伙目前已拥有超过131GB的该公司数据。BlackCat方面暗示,目前获取到的信息可能会影响客户、公司员工和供应商。
雅诗兰黛对BlackCat的威胁没有做出回应,这可能表示该公司不愿与攻击者进行任何谈判。而在其向SEC提交的文件中也表示,重点是“补救措施,包括恢复受影响的系统和服务的努力”,并且“该事件已经导致并且预计将继续对公司的部分业务运营造成干扰”。
Clop勒索软件团伙正在效仿ALPHV勒索软件团伙的勒索策略——创建专门针对特定受害者的信息披露网站,从而更方便地泄露数据并进一步迫使受害者支付赎金。当此类勒索软件团伙攻击企业目标时,他们首先会从受害者的网络中窃取数据,之后再加密文件。这些被盗的数据会被用作双重勒索攻击的筹码——威胁受害者如果不支付赎金便会泄露其重要的机密数据。
勒索软件用于发布数据的站点通常位于Tor网络上,因为这可以让网站更难被关闭或被执法部门查获。然而,这种托管网站的方法对于勒索软件团伙来说也有其自身的问题。因为需要专门的Tor浏览器才能访问此类网站,搜索引擎也不会收录此类数据,而且下载速度通常非常慢。为了克服这些问题,ALPHV勒索软件团伙在去年引入了一种新的勒索策略,即创建ClearWeb(透明网站)来泄露窃取到的数据。Clearweb网站直接托管在公开的普通互联网上,而非Tor等匿名网络中。
而在本月中旬,安全人员发现Clop勒索软件团伙也开始创建自己的ClearWeb用来公布他们本轮通过MOVEit Transfer漏洞攻击所盗窃到的数据。攻击者创建的第一个网站是为商业咨询公司普华永道(PWC)创建的,并将该公司的被盗数据打包成了4个Zip压缩包发布在了该网站上。而这之后不久,攻击者还为Aon、EY(安永)、Kirkland和TD Ameritrade等公司创建了网站。
ALPHV勒索软件在其数据泄露网站中加入了获取泄露数据的API
ALPHV勒索软件团伙(又名BlackCat)正尝试通过为其数据泄漏网站提供API来提高公众对其公布数据的访问便利性,从而向受害者施加更大压力来迫使其支付赎金。在此之前,该团伙对雅诗兰黛发起了攻击,但就目前的公开信息来看,这家美容公司完全无视了攻击者的赎金要求。
7月下旬,多名安全研究人员发现ALPHV/BlackCat的数据泄露网站添加了一个新页面——其中包含其最新公布的API及使用说明。API(应用程序编程接口)通常用于根据商定的定义和协议实现两个软件组件之间的通信。而本次勒索软件团伙发布的API将有助于公众通过程序自动其网站发布的关于最新受害者的各种信息。此外,该团伙还提供了一份用Python编写的爬虫代码以帮助检索数据泄露网站的最新信息。尽管该团伙没有解释为何要发布这些API,但据推测原因之一可能是由于愿意支付勒索赎金的受害者越来越少。
以下是本月收集到的黑客邮箱信息:
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有471个组织/企业遭遇勒索攻击,其中包含中国2个组织/企业在本月遭遇了双重勒索/多重勒索。其中有3个组织/企业未被标明,因此不再以下表格中。
表格2. 受害组织/企业
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows Server 2012。
对2023年7月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2023年7月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
l devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
l 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
l malox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
l faust:同devos。
l mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l halo:同360。
l gaqq:属于Stop勒索软件家族,由于该家族频繁变更加密文件后缀导致很少出现在top查询量中。从开始传播至今其传播渠道一直是通过在破解软件网站上传激活工具、破解软件来诱导用户下载运行,且大部分网站均为国外网站。
l lockbit:属于LockBit勒索软件家族,因被加密文件后缀会被修改为lockbit而成为关键词。该家族的运营模式可以分为两种不同的方式。第一种是无差别攻击,该方式会对全网发起数据库弱口令攻击或远程桌面弱口令攻击,一旦攻击成功,勒索软件将被投毒到受害者计算机中。在这种情况下,攻击者并不会窃取受害者的数据。第二种是针对性攻击,该方式主要针对大型企业,攻击者不仅会部署勒索软件,还会窃取企业重要的数据。如果受害组织或企业无法在规定时间内缴纳赎金,该团伙将会把数据发布到其数据泄露站点上,任何可以访问该网站的人都可以下载受害者的数据。
l elbie:同devos。
从解密大师本月解密数据看,解密量最大 的仍是Coffee,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。