勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年10月,全球新增的活跃勒索病毒家族有:MacwLocker、DeepBlueMagic、yanluowang、Cring、Spook、BronyaHaxxor、Mallox等勒索病毒家族。其中MacwLocker是Evil Corp网络犯罪团伙为逃避美国制裁而更名的勒索软件;yanluowang是一款国内未知团伙创建的针对国外企业进行攻击的勒索软件;Spook是本月一款新增的双重勒索软件,在其数据泄露网站已展示37个受害者;本月针对国内用户进行攻击的YourData以及BeijingCrypt两个家族异常活跃。
针对本月勒索病毒受害者所中勒索病毒家族进行统计,YourData家族占比23.76%居首位;其次是占比20.09%的BeiJingCrypt;phobos家族以13.39%位居第三。
本月通过匿影僵尸网络进行传播的YourData勒索病毒有大幅度上涨;BeiJingCrypt勒索病毒家族的最新变种“.520”感染量呈现上升态势;国内新增的Mallox勒索病毒通过SQLGlobeImposter渠道进行传播。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows 7以及Windows Server 2008。
2021年10月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。本月被感染的桌面PC与9月相比占比上涨超过15% 。这主要因为通过匿影僵尸网络进行传播的YourData 勒索软件并非针对性传播,其受害者大部分为桌面PC。
近日发现传播勒索病毒的Evil Corp网络犯罪团伙为了逃避美国制裁,再次将其运营的勒索软件名进行更改。这已经是该团伙第三次对勒索软件进行重名,目前其使用过的软件名依次为:WastedLocker、Hades、PhoenixLocker、MacawLocker。
MacawLocker勒索病毒在本月攻击了美国辛克莱广播集团,导致辛克莱广播集团业务被迫中断,几项公司资产被迫下线。其中包括电子邮件服务器、广播、新闻编辑室系统。某些电视台被迫创建Gamil账户以接收观众的新闻提示;部分本地的NFL比赛被国家体育节目(例如保龄球)所取代;一些受影响电台被迫切换到Facebook进行直播,还有一些电台则直接推迟播放时间。
因被勒索攻击而受到影响的电视台
在2021年9月才宣布回归的Sodinikibi(REvil) 遭遇双重打击——不仅被警方通过特殊渠道获取到了之前用于解密的全部密钥(目前7月13日之前被该家族加密的文件,均可使用360解密大师解密),还在本月遭遇了未知来源的入侵。其支付网站以及数据泄露网站遭遇劫持,被迫再次关闭其基础设备。目前最新受害者已不能通过勒索提示信息中留下的网址联系上黑客。
访问Sodinokibi数据泄露站点失败
从黑客发布的消息看,导致该团伙关闭相关基础设备主要因为匿名攻击者获取到了该团队的洋葱的私钥,并且可能有这些站点的备份。
Sodinokibi在XSS论坛发布的最新声明
360安全大脑监控到本月YourData勒索病毒家族感染量大幅度上涨。该家族在今年一直不曾停歇过,并不断更新着其传播渠道。YourData勒索家族又被称作Hakbit、Thanos家族,最早出现于2019年11月,从2021年1月开始在国内有针对性的传播。其加密文件时将文件后新增带有该组织、企业特征的后缀。最早在7月是,便监控到该家族通过匿影僵尸网络进行传播,而本月其感染量更是呈爆发式增长。
同时,360安全大脑监控到自6月开始匿影僵尸网络的感染量有大幅度上涨。在这次攻击中,匿影僵尸网路应该获取到了一大批设备权限,在被攻陷设备中创建计划任务、投放远程控制软件、挖矿木马等。从7月开始,YourData便采用该渠道分批量的对受控设备下发勒索病毒。
匿影僵尸网络的传播态势
近日有研究人员发现一个名为“Bastion Security”的假冒的网络安全公司网站,以渗透名义寻找客户,之后发起勒索攻击。“Bastion Security”自称是网络安全公司Convergent NetWork Solutions Ltd的衍生品,总部设在英国,但其站点却提供的却是是俄语的404页面。
经分析发现该行动由FIN7(又被叫做Carbanak,从2015年开始从事网络犯罪活动)发起,并在其假冒网站发布招聘信息:招聘C++、PHP和python程序员、Windows系统管理员以及逆向工程专家,薪水每月在800到1200美元之间。一名被该“公司”录取的研究员称:该公司要求新员工收集“客户”的管理员账户、备份等相关信息。
这大概率是网络犯罪团伙想通过雇佣廉价劳动力来替代招募合作伙伴的形式发起勒索攻击。通常情况下,招募合作伙伴时运营团队通常只能获取到20%~30%的分成,而雇佣廉价劳动力只需每人每月支付800到1200美元。
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
MT | parkhotel.mk | Hougen Manufacturing |
Kes | psomagen.com | barreaudecharleroi.be |
CFE | TONLYELE.COM | weyers-architekten.de |
VKP | Bristol Maid | InfoSync IT Solutions |
HMCC | yankey.com.tw | Hall Technologies Inc |
SEAT | nofeurope.com | peabodyproperties.com |
EXAIR | Paris Society | Major Wire Industries |
Gidel | agencegoodwin | Ferretti International |
ILLUM | BOLTONUSA.COM | hitrac-engineering.com |
Ventus | DACOLL.CO.UK | EagleView & Pictometry |
Kurier | radium.com.tw | Townley Grammar School |
Nakisa | Schimberg Co. | Höerskool Labori Paarl |
Beedie | Digicel Group | ville-saintaffrique.fr |
DAUMAR | SLIMSTOCK.COM | Franklin International |
Perrin | stehimpuls.de | lawyersforemployers.ca |
KMTBrrr | roadrebel.com | National Windowscreens |
isvo.it | Trendico GmbH | The Insurance Emporium |
elganso | adlinktech.com | Karl Bachl GmbH & Co.KG |
Hemmink | GLOBAL PROTEIN | Tom Lange Company, Inc. |
QPharma | aktieinvest.se | sapphiredentalcentre.ca |
wnj.com | estampa.com.pa | Tilia GmbH. TILIA GROUP |
Epsilor | Adore Fashions | Tom Lange Company, Inc. |
Artsana | parkertide.com | Uteco Converting S.p.A. |
Cenikor | Graff Diamonds | State Industrial Supply |
Zona.ba | uvisionuav.com | episcopalretirement.com |
fimmick | wataniaind.com | Bouquet Mulligan DeMaio |
HAMTACO | PJ SAS Trading | Texas Enterprises, Inc. |
LINICAL | SEIU Local 888 | Toyotetsu North America |
Jurysync | SMARTERASP.NET | watermarkbeachresort.com |
U.S. GOV | selinigroup.it | cassini-technologies.com |
sides.fr | Albireo Energy | Freeport Logistics, Inc. |
reust.ch | Reliable Parts | All County Surveying Inc |
La SECAN | Sykes Cottages | PHILIPPE FAUVEDER ET CIE |
TV FUEGO | Ideal Printers | Hill and Associates CPAs |
LENSBURY | madejwrobel.pl | Obeikan Investment Group |
La SECAN | IDSFULFILLMENT | Haiti Meat Processing SA |
jadecorp | Ronmor Holdings | Consult Three Architects |
malcopro | JVCKenwood Case | Marketing Alliance Group |
Statcomm | Matic Transport | houstonestateplanning.com |
WAMGROUP | St Benet Biscop | Verhoff Machine & Welding |
Meshulam | Legendary, Inc. | Bryce Downey & Lenkov LLC |
PVR Ltd. | Home State Bank | generalplumbingsupply.com |
RWL GmbH | aisc-airbus.com | Galloway Research Service |
Gilberts | ceoempowers.org | Facilities Resource Group |
MJ Group | planitox.com.br | valleyregionaltransit.org |
Calibrus | Medical Designs | Suntide Commercial Realty |
Santélys | conumaresources | Siegfried Rivera Law Firm |
ITS, Inc. | SSMSJUSTICE.COM | Los Gatos Tomato Products |
dataxport | NOF CORPORATION | Transource Services Corp. |
Tech-Etch | Price Davis LLC | Transports Verlhac et Fils |
shawneemt | Page Automation | Sashida warehouse CO., Ltd |
SKH Group | trivalleypc.com | Glenbrook Automotive Group |
sb-kc.com | Fat Brands Inc. | GENERALE PREFABBRICATI SPA |
Grupo Vía | Align Technology | Creative Extruded Products |
zgoda.net | nuevomundosa.com | Lee's Glass & Window Works |
NATUS.COM | COURTOISE MOTORS | continentalcountryclub.com |
DCI, Inc. | MOLNÁRBETON Kft. | National Rifle Association |
cti.group | kacyumara.com.br | G.E.W. CORPORATION LIMITED |
idline.fr | Daco Corporation | Motor Appliance Corporation |
tedia.com | riversidetwp.org | EISENBERG HEFLER & LEVY LLP |
CRM GROUP | www.lockslaw.com | Van Dijk De Jongh Notarissen |
Raisetech | ferrolabella.com | Goss Dodge Chrysler Ram Jeep |
KPS GROUP | DOSIK Technology | Farmers Cooperative Elevator |
Pellisard | Electron Csillag | Macquarie Health Corporation |
DBK Group | Lesk Engineering | Farmers Cooperative Elevator |
Casa Royal | Western Urethane | Crowder Construction Company |
ZKTeco USA | Albright Capital | Ruskin Community High School |
Keycentrix | Open Group S.A.S | Barnes Professional Eye Care |
Sbc Studio | QUANTUMGROUP.COM | Princess Yachts International |
TRUJAS SAS | hagerstownpd.org | EMPLOYEES FROM ORANGE TELECOM |
Neofidelys | Weiss Properties | Armour Transportation Systems |
espera.com | mediacrush.co.il | Napili Kai Foundation Gallery |
atento.com | MINT Investments | I’M CORPORATION(SUZHOU)CO.,LTD |
Landofrost | CABINET CAZANAVE | ORLANDO IMPORT-EXPORT 2001 SRL |
Israel MOD | Acorn Stairlifts | Atlas Financial Holdings, Inc. |
Enviroplas | moonnurseries.com | PTT Exploration and Production |
Livestream | maisonlaprise.com | Central Indiana Orthopedics PC |
le-inc.com | jaykaltrading.com | DiGioia Gray & Associates, LLC |
Bakertilly | hybuilding.com.sg | Jobbers Meat Packing Co., Inc. |
pandol.com | National Beverage | E.M.I.T. Aviation Consult. Ltd. |
MUTO SEIKO | bagbyelevator.com | Instituto Mixto de Ayuda Social |
brident.com | Richard Chevrolet | Kern Glass and Aluminum Company |
riviana.com | datastorageip.com | Roosevelt School District No 66 |
dcaa.gov.ae | Vaughn Industries | SAN CARLO GRUPPO ALIMENTARE SPA |
VIASHOPPING | SPF Precut Lumber | Pierce Property Management, Inc. |
wenco S. A. | rockportmusic.org | Gestão Contabilidade Empresarial |
Berexco LLC | movingstation.com | Dongguan IMR Technology Co., Ltd |
JMclaughlin | amina-treuhand.ch | Capital Distributors (S) Pte Ltd |
SRH Holding | rijeka-airport.hr | TOA ELECTRIC INDUSTRIAL CO., LTD. |
dusa.com.ve | logcabinhomes.com | Campus Sacre Coeur Wien Gymnasium |
uslogic.com | STRATISVISUALS.COM | Medical Healthcare Solutions, Inc |
Israel Post | cobabebrothers.com | Primary Residential Mortgage, Inc. |
TILIA GROUP | Audras & Delaunois | Lufkin Independent School District |
CreateInfor | 4 Earth Farms, LLC | Pfertner GmbH Immobilienverwaltung |
srstlaw.com | 4 Earth Farms, LLC | Xiamen Naier Electronics Co., Ltd. |
Grupo Alter | dawsoncountyne.org | Ocean View Nursing & Rehabilitation |
MegaCine TV | thefoxhillclub.com | ECKERD PERU S.A, INKAFARMA, MIFARMA |
dunndev.com | meritresources.org | OAKES MILLERS LIMITED (HJ Lea Oakes) |
logi-cv.com | Exacta Corporation | Manhasset Union Free School District |
chipsaway.at | galaxybuilders.com | Consolidated High School District 230 |
ASISMED S.A. | JANDLMARKETING.COM | Vantage Manufacturing & Assembly, LLC |
Ardagh Group | katzmanproduce.com | Wayne Automatic Fire Sprinklers, Inc. |
transdev.com | wormingtonlegal.com | Distribuidora de Industrias Nacionales |
atsgruppo.eu | rivercityrental.com | Società Italiana degli Autori ed Editori |
groeflinag.ch | ELGINKAN HOLDING SA | The National Math and Science Initiative |
HJ Lea Oakes | wolfbergalvarez.com | Zurich Insurance Group | Zurich Insurance |
Madina Group | ABSOLUTERESULTS.COM | EPOWER INTERNATIONAL ( SHANGHAl )CO.,LTD. |
wmlaw.com.au | Our Lady's Abingdon | TK Elevator Innovation and Operations GmbH |
alwatania.sa | H Hotels Collection | Network Communications International Corp. |
folio.com.au | Tite - Live Belgique | ENTREPRISE PUBLIQUE DES TRAVAUX PUBLICS DALGER |
North Island | Associated Solutions | Aeropuerto Internacional de la Ciudad de México |
Gigabyte INC | Cock Foods Co., Ltd. | Manufacturing Technology Mutual Insurance Company |
Troilus Gold | weber-betonpumpen.at | Shanghai Cyeco Environmental Technology Co., Ltd. |
urbis.com.hk | CABINET FONT GUILLOT | ANTEL - Télécommunications nationales uruguayennes |
Porto Seguro | Apex Filling Systems | Shanghai Huizhong Automotive Manufacturing Co., Ltd. |
City College | Toos Asphalt Company | Shanghai Huizhong Automotive Manufacturing Co., Ltd. |
Ideal Living | bataviacontainer.com | FEDERFARMA.CO DISTRIBUZIONE E SERVIZI IN FARMACIA SPA |
通过将2021年9月与10月的数据进行对比,发现本月各个系统遭弱口令攻击的数量占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年10月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年10月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSSQL在月底有一次较大量的上涨,在这段时间出现了通SQLGlobeImpsoter渠道进行传播的Mallox勒索病毒。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
hauhitec:属于YourData,由于被加密文件后缀会被修改为hauhitec而成为关键词。通过“匿影” 僵尸网络进行传播。
520:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为520而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
属于Cryptojoker勒索病毒家,通过“匿影” 进行传播。
tisc:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为tisc而成为关键词。该家族主要的传播方式为:伪装成破解软件或者激活工具进行传播。
GlobeImposter-Alpha666qqz: 属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为GlobeImposter-Alpha666qqz而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒以及获取数据库口令后远程执行恶意代码加密系统文件。
Mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox而成为关键词。通过SQLGlobeImposter渠道进行传播。
LockBit:LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
CryLock:属于CryLock勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Crysis。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。
面对严峻的勒索病毒威胁态势,360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
一、针对个人用户的安全建议
对于普通用户,360安全大脑给出以下建议,以帮助用户免遭勒索病毒攻击。
(一)养成良好的安全习惯
1)电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
2)可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
3)尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
4)重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
5)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
(二)减少危险的上网操作
1)不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
2)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
3)电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
4)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
(三)采取及时的补救措施
1)安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。
二、针对企业用户的安全建议
(一)企业安全规划建议
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。
1)安全规划
网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。
内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。
安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
2)安全管理
账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。
补丁与漏洞扫描,了解企业数字资产情况,将补丁管理做为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。
权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。
内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。
3)人员管理
人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。
行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。
(二)发现遭受勒索病毒攻击后的处理流程
1)发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。
2)联系安全厂商,对内部网络进行排查处理。
3)公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
(三)遭受勒索病毒攻击后的防护措施
1)联系安全厂商,对内部网络进行排查处理。
2)登录口令要有足够的长度和复杂性,并定期更换登录口令
3)重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4)定期检测系统和软件中的安全漏洞,及时打上补丁。
a)是否有新增账户
b)Guest是否被启用
c)Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
5)登录口令要有足够的长度和复杂性,并定期更换登录口令
6)重要资料的共享文件夹应设置访问权限控制,并进行定期备份
7)定期检测系统和软件中的安全漏洞,及时打上补丁。
三、不建议支付赎金
最后——无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索,则应立即采取补救措施——修补安全漏洞并调整相关业务,尽可能将数据泄露造成的损失降到最低。