勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数千万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年5月,全球新增活跃勒索病:Motocos、Ducky、N3TWoRM、Archangel、Galaxy、Henry、Toxin、GoNNaCry等勒索病毒家族。其中N3TWoRM勒索病毒正在以色列传播,目前已有至少4家以色列公司遭遇攻击,并创建数据泄露网站要挟受害者及时支付赎金;GoNNaCry目前在准备正式运营,其运营模式也采用双重勒索模式盈利,但目前尚未有公开的数据泄露;Archangel是Nitro勒索病毒的变种,与其它勒索病毒不同的是,它是使用Discord礼品卡作为赎金的一款勒索病毒。
感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,Stop家族占比20.34%居首位,其次是占比19.92%的phobos,GlobeImposter家族以11.02%位居第三。
本月因下载破解软件或激活工具导致中Stop勒索病毒的受害者有明显上升。360安全大脑监控显示:大部分受害者都是通过国外网站下载到的带有恶意加密代码的破解软件或激活工具,尤其是部分KMS激活工具捆绑有病毒,造成不少用户中招。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows 7、以及Windows Server 2008。
2021年5月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统仍主要是桌面系统。但本月桌面系统占比有明显上升,从2021年4月的59.60%上升到本月的71.86%。这一现象和Stop勒索病毒家族本月感染量上涨有直接关系。Stop主要针对个人用户,个人用户更多的是使用的桌面PC系统。
勒索病毒疫情分析
Stop家族感染量呈上升态势
360安全大脑监控到在五一假期期间,Stop家族的感染量有较为明显的上升。虽然在中旬有所下降,但在月末其感染量再次反弹。本月360反勒索服务已接收到超50例STOP勒索病毒反馈。该家族的传播方式仍沿用之前的传播渠道,采用伪装成破解软件或激活工具针对个人电脑进行传播。
Stop勒索病毒家族又被称作DJVU、KeyPass勒索病毒。该家族最早出现在2018年8月份,从开始传播至今,其传播渠道一直主要通过在破解软件网站上传激活工具、破解软件来诱惑用户下载运行,且主要大部分网站均为国外网站。其早期在国内的传播量较小,从2019年7月开始在国内大量传播。该家族传播至今已有200多个变种。
Lorenz一款针对企业进行攻击的新型勒索病毒
Lorenz勒索病毒从2021年4月份开始活跃。和其他针对企业进行攻击的勒索病毒家族一样,该家族在部署勒索病毒之前,会先窃取受害者数据作为勒索用户支付赎金的又一筹码。其加密程序和ThunderCrypt相似,但目前尚未确定该勒索病毒源码为购买所得还是自行开发,也尚不能确定两者由同一个组织运营。目前该勒索病毒已在暗网公开13个受害者数据。
其中Commport Communications公司是加拿大邮局的供应商,该家族从Commport Communications窃取到的35.3GB数据中包括加拿大邮局44个商业客户,95万个收件客户数据,数据信息中包含发件人和收件人的联系方式、姓名以及邮件地址。这已不是第一起因供应商遭遇勒索病毒攻击导致客户数据泄露案例,之前苹果因广达电脑遭遇勒索病毒也曾遭遇数据泄露风险,这种类型的事件还以后可能还会继续发生,被害者客户或成黑客勒索的第二个目标。
爱尔兰卫生服务部遭Conti勒索病毒攻击
本月爱尔兰卫生服务部门被Conti勒索病毒攻击,此次攻击对爱尔兰的医疗系统造成了重大的影响,当地多家医院的医疗服务也被迫临时关闭,被窃取了700GB重要数据。黑客向其索要价值近2000万美元的比特币作为赎金。虽然爱尔兰卫生服务部门尚未支付赎金,但黑客已向爱尔兰卫生服务部门提供免费解密工具。不过Conti勒索病毒团伙表示,如果爱尔兰卫生服务部门不支付赎金,其数据仍将被出售或者公开。
从该家族传播至今,已至少攻击了338个组织并窃取了其数据,其中绝大部分数据均已被不同程度的公开。此外,种种迹象表明Conti勒索病毒的运营者同时也在运营另一款名为Ryuk的勒索病毒。该勒索病毒主要通过垃圾邮件、漏洞利用工具、TrickBot银行木马等多种渠道对个人进行勒索攻击。
而2020年7月之后Ryuk的传播量就显著下降,其运营者将主要渠道和精力均投入到对Conti勒索病毒的传播中。这也是目前勒索病毒的一种较为明显的趋势——越来越多的病毒作者和运营者将主要的攻击目标从个人用户转变为企业或组织。
Babuk频繁活跃
4月末,Babuk勒索病毒成功攻击美国华盛顿警方并窃取200多G数据,华盛顿警方表示只愿支付10万美元赎金,但遭到Babuk团伙拒绝,并警告若不提高支付金额就将公布从华盛顿警察局窃取到的所有数据。拒绝10万美元赎金的同时,黑客在暗网公布了更多数据,其中包括:对警察的背景调查,心理评估、测谎反应、主管面谈、住所信息、财务信息等。
不久之后该勒索病毒团伙宣布,将公开勒索软件源码,并转为纯数据盗窃敲诈勒索。同时还宣布将搭建数据泄露售卖网站,所有有数据需要售卖的网络犯罪份子均可通过该网站售卖数据。纯数据盗窃在结果感知层面更具隐蔽性,受害者再不能通过被加密多少设备来了解数据泄露的情况,这可能会加大受害者的恐慌。6月1日起该家族携带其数据泄露网站回归。
美国最大燃油管道上遭遇DarKSide团伙定向攻击
2021年5月7日,美国最大燃油管道上Colonial Pipeline遭遇DarkSide勒索病毒攻击,迫使其关闭了向人口稠密的美国东部各州供油的关键燃油网络。17个洲和哥伦比亚特区进入紧急状态。由于该黑客团伙不仅紧密了大量设备,还窃取了大量数据。Colonial Pipeline为了尽快恢复运营,不得不向黑客支付500万美元作为赎金系统。
此次事件后DarkSide遭到美国和俄罗斯政府的打击,其基础设备已不能正常访问,数据泄露网站已无法访问。俄罗斯两大网络犯罪论坛宣布论坛将永久禁止发布任何勒索病毒相关的主题。XSS论坛没收了DarkSide在论坛存放的22.081个比特币作为“受害者”的补偿(此处的受害者为未从DarkSide团伙获取到劳动报酬的网络网络犯罪分子)。目前exploit网络犯罪论坛已将该团伙的账户darkupp删除。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表格1.黑客邮箱
当前,通过双重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(因为第一时间联系并支付赎金的企业或个人不会在暗网中公布,因此无这部分数据)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
表格2.存在数据泄露风险的受害者名单
系统安全防护数据分析
通过将2021年4月与5月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年5月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年5月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽然在5月中旬有一次大幅度的提升,但是目前尚未发现有恶意犯罪分子在本月有加大MSSQL的攻击量,根据以往情况判断,应该是黑客在5月中旬加大了攻击力度所致。
勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
Devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
Lockbit:Lckbit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
pqq:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为pcqq而成为关键词。该家族主要的传播方式为:伪装成破解软件或者激活工具进行传播。
igvm:同pcqq。
encrypted:该后缀被多个勒索病毒家族使用,其中本月最为活跃的eCh0raix勒索病毒家族,由被加密文件后缀会被修改为encrypted而成为关键词。该家族主要通过:桌面口令爆破以及HBS硬编码漏洞进行传播。其主要的攻击对象为NAS,其中威联通为NAS中的主要攻击对象。
nusm:同pcqq。
ehiz:同pcqq。
eight:同eking。
解密大师
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。
