報告編號:B6-2022-081002
報告來源:360CERT
報告作者:360CERT
更新日期:2022-08-10
勒索病毒傳播至今,360反勒索服務已累計接收到上萬勒索病毒感染求助。隨着新型勒索病毒的快速蔓延,企業數據泄露風險不斷上升,勒索金 額在數百萬到近億美元的勒索案件不斷出現。勒索病毒給政府機關、企 業和個人帶來的影響越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監測與防禦,為需要幫助的用戶提供了360反勒索服務。
2022年7月,全球新增的活躍勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族,其中RedAlert、Lilith、BianLian、0mega均為雙重勒索家族;Checkmate為針對NAS設備發起攻擊的勒索病毒;yanluowang勒索病毒雖不是本月新增,但該勒 索病毒家族在本月開始公開發布受害者數據。
以下是本月最值得關注熱點:
1. 新型勒索病毒Checckmate針對NAS設備發起攻擊。
2. 萬代南夢宮在受到AlphV勒索病毒攻擊後數據遭泄露。
3. LockBit勒索病毒通過虛假的版權侵權郵件傳播。
4. 通過外掛程序進行傳播的SafeSound勒索病毒已被破解。
基於對360反勒索數據的分析研判,360政企安全集團高級威脅研究分析 中心(CCTGA勒索軟件防範應對工作組成員)發布本報告。
針對本月勒索病毒受害者所中勒索病毒家族進行統計,phobos家族占比20.45%居首位,其次是占比13.10%的TargetCompany(Mallox),BeijingCrypt家族以11.50%位居第三。
進入TOP10的幾個家族中,Rook勒索病毒再次變種,修改文件後綴為.lock,勒索提示信息內容也不再使用中文;Magniber勒索病毒不再通過偽裝成msi文件進行傳播,而是偽裝成殺毒的更新程序進行傳播,同時主要傳播目標也改為中國香港和中國台灣兩地區;RoBaj勒索病毒是本月新增的一款勒索病毒,目前發現該家族主要通過暴力破解遠程桌面密碼後手動 投毒。
對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10 、Windows 7、以及Windows Server 2008。
2022年7月被感染的系統中桌面系統和服務器系統占比顯示,受攻擊的系統類型仍以桌面系統為主。與上個月相比,無較大波動。
NAS設備供應商QNAP警告用戶稱:要警惕Checkmate勒索病毒對QNAP的NAS設備發動攻擊。這些攻擊主要集中在啟用了SMB服務且暴露在互聯網中的設備上,且主要是一些登錄口令較弱的帳戶——這些帳戶很容易在弱口令 暴力破解的攻擊中淪陷。
Checkmate是最近新發現的勒索病毒。其首次出現在5月28日左右的攻擊 中,該病毒會將被加密的文件添加擴展名.checkmate並放置一個名為「!CHECKMATE_DECRYPTION_README」的勒索文件。向受害者索要價值15000美元的比特幣來解密。
繼6月披露威聯通連續遭遇eCh0raix和DeadBolt兩款勒索病毒後,國內被勒索病毒感染的NAS設備量有所上漲,同時這已是第五款針對NAS設備發 起攻擊的流行勒索病毒。
萬代南夢宮在受到AlphV勒索病毒攻擊後數據遭泄露本月初,BlackCat勒索病毒(又名AlphV)聲稱在一起攻擊事件中攻陷了萬代南夢宮的服務器並竊取了該公司的數據,並破壞了除日本以外的亞 洲地區辦事處的內部系統。
雖然萬代南夢宮沒有提供有關網絡攻擊的任何技術細節,但根據BlackCat數據泄漏網站所公布的數據條目及相關聲明來看,萬代南夢宮極有可能就是遭到了BlackCat的攻擊。從公開顯示的數據來看,萬代南夢宮被竊 取了13.5GB數據,但尚未被公開發布。
雖在7月的被公開數據中尚未有出現國內受害者,但360安全大腦監控到 該家族在本月已成功攻擊兩個公司/組織。
LockBit勒索病毒通過虛假的版權侵權郵件傳播LockBit勒索病毒正通過將惡意軟件偽裝成版權聲明郵件來傳播自身。這些電子郵件會警告收件人侵犯版權,聲稱收件人在未經創作者許可的情 況下使用了某些媒體文件。郵件要求收件人從其網站中刪除侵權內容, 否則將面臨法律訴訟。
目前分析人員捕獲到的電子郵件內容中,並沒有具體指出是哪些文件發 生了侵權行為,而只是告訴收件人下載並打開附件以查看侵權內容。附 件是一個受密碼保護的ZIP存檔,其中包含一個壓縮文件,而該文件又是一個偽裝成PDF文檔的可執行文件(NSIS安裝程序)。
這種層層壓縮和密碼保護的手法主要是為了逃避電子郵件安全工具的檢 測。而一旦受害者打開所謂的「PDF」以了解具體的「侵權原因」,惡意軟件便會釋放LockBit 2.0勒索病毒對設備進行加密。
SafeSound勒索病毒已被破解本月一款國產勒索病毒通過「穿越火線」、「絕地求生」等外掛進行傳播, 被加密文件後綴會被修改為.SafeSound,並彈出勒索提示信息,需要受害者掃描微信二維碼向黑客支付100元人民幣作為贖金。
由於該勒索病毒製作存在缺陷,經過360政企安全集團高級威脅研究分析中心分析確認,可以進行技術破解。目前360解密大師已支持對該勒索病毒的解密。
以下是本月收集到的黑客郵箱信息:
StephenJoffe@tutanota.comStephenJoffe@protonmail.com15010050@tutamail.com17042102@tutamail.com17042102@tutamail.com43rgwe723E94@tutanota.comLoryEstside@protonmail.comhenderson@cock.liagares_helpdesk@tutanota.comtechnopc@tuta.ioAngelbkup@protonmail.comwixawm@gmail.comhelpshadow@india.comhelprecovery@gnu.grcyborgyarraq@protonmail.cnwebroothooks@tutanota.comkardon@firemail.cchenderson@cock.liTrebaler@goat.siForbitlog@privatemail.comferguson@cock.lisacipaws@tutanota.comst3v3njansen@onionmail.orgjustdoit@onionmail.orgokyd.dtt@mailfence.comokyddd@protonmail.comgtimph@protonmail.comcupermate@elude.incupermate@protonmail.comblefbeef@elude.invinilblind@protonmail.comimperial755@protonmail.comimperial@mailfence.comjj.greemsy@mailfence.comgreemsy.jj@protonmail.chjohny3@mailfence.comjohny2recoveryusa@protonmail.comfinbdodscokpd@privatemail.comjorge.smith@mailfence.commally@mailfence.commallyrecovery@protonmail.chrecoverfiles@ctemplar.comrecoverfilesquickly@ctemplar.comprimethetime@protonmail.comssdfsdfsdf@protonmail.comssdfsdfsdf@mailinfence.comrickowens@onionmail.orgrickowens@mailfence.comjohn.blues3i7456@protonmail.commario.jolly@mailfence.comniss.brook@onionmail.orgniss.brandon@mailfence.comJuli1992@mailfence.comJuli1990@mailfence.comstephenjoffe@privatemail.comhenderson@cock.lihelprecovery@gnu.grenergyhack@cock.liTrebaler@goat.sirecoverlokidata@gmail.comyourecoverdatda@proton.meyourecoverdata@proton.meenergyhack@cock.limetro777@cock.liarenotto@tutanota.comhenderson@cock.listop@onionmail.commicrod3c@tuta.iodataappip@tutanota.commkpdec@hotmail.comBluemanTeam@my.comgoodbooom@tutanota.comgotocompute@tutanota.comAntiLock@keemail.meAntiLock@cock.lirdecrypt@mailfence.comRdecrypt@yandex.comKardon@firemail.ccNormanBaker1929@gmx.comworld2022decoding@jabb.imworld2022decoding@onionmail.comyourecoverdata@proton.meyourecoverdata@proton.mealco2022decoding@onionmal.comkat6.l6st6r@tutanotalordcracker@protonmail.comCoronaCrypt[u.contact@aol.comsupport@bestyourmail.chhenderson@cock.linooli492@gmail.comdqsupport@protonmail.comsacipaws@tutanota.comferguson@cock.liJuli1990@mailfence.comenergyhack@cock.liselivrecovery@mail.eeForbitlog@privatemail.comdagsdruyt@onionmail.orgdagsdruyt@cumallover.meirishman@tutanota.deirishman@onionmail.comNordteam@mail.eeNordtalk@tutanota.comKingMail7@cock.liLordCracker2@aol.comtop65hun@tuta.iomicrod3c@xmpp.jpmicrod3c@proton.me表格1. 黑客郵箱
當前,通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒 索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露 獲利的勒索病毒家族占比,該數據僅為未能第一時間繳納贖金或拒繳納 贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中) 。
以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存 在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露準備, 採取補救措施。
本月總共有246個組織/企業遭遇勒索攻擊,其中包含中國7個組織/企業 在本月遭遇了雙重勒索/多重勒索。
BAFNAGROUP.COMget.esAI SupercomputerTLSBZBabylouDestinigoFPT EducationDISTRICT MUNICIPALITY OF HUACHACvytelle.comemunworks.comCreos Luxembourgautoliv.comHong Kong Special Care Dentistry Association Limitedfruca.esarmassist.ietnq.co.inherc.com.brcorreounir.com.arGage Brotherscoarc.orgJOHN A. BODZIAK ARCHITECT AIAFandeliCIMEXgroupe-helios.comWeidmuellerCUCA FRESCAWAYAN NATURAL WEARArtistic Stairs & RailingsBaltholding OÜstudioteruzzi.comcheungwoh.com.sgymaunivers.comsieam.frEmpress EMSAPPLEXUS.COMginko.com.tweclipse-print.comOptiProERPagenziaentrate.gov.itlegacy-hospitality.comSRM Technologiesriken.co.jpdaytonsuperior.comKKJM Lawfirmroedeanschool.co.zaHometrust Mortgage Companythep**.comsppc.com.saWARTSILA.COMYong Mao Environmental Tech. Co.,Ltdlaneprint.com.auBaliwag Maritime Academyosde.com.artaylorstafford.comlanormandise.frtownofstmarys.combizebra.comFairfaxCrum & ForsterCHDE POLSKAHANDLER Bau GmbHCREMOa2-pas.frSite-technologyocrex.commwd.digitalChen Moore and AssociatesEdenfieldlexingtonnational.commec.comTom BarrowLaVan & NeidenbergCOS2000MAIThe Minka GroupSPINNEYS.COMcompetencia.com.ecaddconsult.nlcoastalmedps.comXQUADRAT GmbHSan Luis Coastal Unified School DistrictGENSCO Inc.An Insurance Companyhcp***.comkeystonelegal.co.ukcpicfiber.commadcoenergi.comrovagnati.itclestra.comcrbrandsinc.comchristianaspinecenter.comcolumbiagrain.comfedefarma.comTurnberry AssociatesDelon Hampton & Associates, CharteredAutohausBroshuis | Driving innovationFedfinaFederalBankbizframe.co.zaintegrate.charesfoods.caAn British Financial CompanyEka(Business/Productivity Software)sig.idOklahoma Ordnance Works Authorityryanhanley.ieISGEC Heavy EngineeringVERITAS SolicitorsConway ElectricsMCarrolls Irish GiftsMetropolitan AssociatesC2CORPKNAUFttdwestWALLWORKINCaugustacoopparadiseMontmorency CollegeRain the Growth AgencyUnisuper S.A.Behavioral Health SystemFMTRALLYE-DOMCITY-FURNITUREfrederickco.govZEUS Scientificetgworld.comRTVCMExela TechnologiesAPETITOEpec.PLAdaptITVan Ausdall & Farrar, incBiothane usaGrescoGROUP4 AUSTRALIAAuthentic Brands GroupSANDOWaskaganishdudafresh.comduda.comviera.comvierabuilders.comPodhurst Orseckiis.ac.ukMackenzie MedicalAnderson Insurance AssociatesHigh Power Technical ServicesMooresville SchoolsAmerican International IndustriesMakereadyShanghai Hanbell Precise Machinery Co LtdSummit CareUppcoPSAvlp.nlMaxey MoverleyThe Royal Commission for Riyadh City (RCRC)Bandai NamcoHydraelectricPontal EngineeringMeritusvahanen.comAn International Shipping CompanyTrade-Mark Industrial Inc.lapostemobile.frRewashJohn Moore ServicesStm.com.twcarnbrea.com.auThe Wiener Zeitung media groupLOKALTOGRENZELWagstaff PilingWipro HealthPlan ServicesSierra Pacific IndustriesJinny Beauty SupplyLOSSEWERKBOERNER-GRUPPEJakob BeckerRBBUSASCHMIDT Gruppe Service GmbHWENZEL + WENZELTMIDEKIMOBAUERYoung & PrattGatewayrehabLYDECKERLAWOLYMPIATILEDusit D2 Kenz Hotel DubaiLamoille HealthAssura GroupDPPalpachem.comcabbageinc.comidex.frSinclair Wilsonsyredis.frSolví GroupAdler DisplayPontal Engineering Constructions and DevelopmentsV-Soft ConsultingWis-Pak, IncVectalia groupGoodwill industriesThe Green FactoryThe Janesville GazetteA Lord Brasil éDIRECTFERRIESHamlyns LimitedSappiHolland CPANETWORK4CARSWWSTEELECAN.COMAUMKDEYurtiçi KargoMassy Distribution LimitedMHIREMontrose Environmental Group, IncCAPSONICV2 Logistics CorpOLDPALMGOLFCLUBplravocats.frslpcolombus.comaxelcium.comfaacgroup.comlesbureauxdelepargne.combosco-avocats.comexpeditors.cominces.comTimios Inc.boxerpropertyShorr.comtmsw.comhavi.comvarious organizationsWalmartCincinnati bellHANSA KONTAKTAmalfitana Gas SrlContinental Management表格2. 受害組織/企業
360系統安全產品,針對服務器進行全量下發系系統安全防護功能,針對非服務器版本的系統僅在發現被攻擊時才下發防護。在本月被攻擊的系 統版本中,排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。
對2022年7月被攻擊系統所屬地域統計發現,與之前幾個月採集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的 主要對象。
通過觀察2022年7月弱口令攻擊態勢發現,RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動.
以下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜索引擎。
- devos:該後綴有三種情況,均因被加密文件後綴會被修改為devos而 成為關鍵詞。但本月活躍的是phobos勒索病毒家族,該家族的主要傳播 方式為:通過暴力破解遠程桌面口令成功後手動投毒。
- 360:屬於BeijngCrypt勒索病毒家族,由於被加密文件後綴會被修改 為360而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒,本月新增通過數據庫弱口令攻擊進行傳播。
- mkp:屬於Makop勒索病毒家族,由於被加密文件後綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成 功後手動投毒。
- RoBaj:屬於RoBaj勒索病毒家族,由於被加密文件後綴會被修改為.RoBaj而成為關鍵詞,該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。
- eking:屬於phobos勒索病毒家族,由於被加密文件後綴會被修改為eking而成為關鍵詞。該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。
- lockbit:屬於LockBit勒索病毒家族,由於被加密文件後綴會被修改為lockbit而成為關鍵詞。被該家族加密還可能涉及數據泄露的風險,該家族有一個大型團伙,其攻擊手法多樣化,不僅僅局限於弱口令爆破,還 包括漏洞利用,釣魚郵件等方式進行傳播。
- encrypt:屬於eCh0raix勒索病毒家族,由於被加密文件後綴會被修改為.encrypt而成為關鍵詞。該家族是一款針對NAS設備進行攻擊的勒索病毒,主要通過漏洞攻擊威聯通設備,同時還曾對群輝設備採取桌面弱口 令攻擊。
- consultraskey: 屬於TargetCompany(Mallox)勒索病毒家族,由於被 加密文件後綴會被修改為consultraskey-id。該家族傳播渠道有多個, 包括匿隱殭屍網絡、橫向滲透以及數據庫弱口令爆破。
- makop:Makop勒索病毒家族,該家族主要的傳播方式為:通過暴力破 解遠程桌面口令成功後手動投毒。
- fagro2:同consultraskey。
從解密大師本月解密數據看,解密量最大的是Crysis,其次是CryptoJoker。使用解密大師解密文件的用戶數量最高的是被Stop家族加密的設備 ,其次是被Crysis家族加密的設備。
其中SafeSound、Yanluowang和7Locker為本月新增解密家族。
2022-08-10 360高級威脅研究分析中心發布通告
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT推出了安全通告特製版報告訂閱服務,以便用戶做資料留存、傳閱研究與查詢驗證。
今後特製報告將不再提供公開下載,用戶可掃描下方二維碼進行服務訂閱。
https://cert.360.cn/
進入官網查看更多資訊
留言列表