勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2023年10月,全球新增的活跃勒索软件家族有Hunters International、Electronic等家族。其中Hunters International为多重勒索家族,基于Hive勒索病毒家族代码修改演化而来。
以下是本月值得关注的部分热点:
1. 勒索软件攻击正针对未修补漏洞的WS_FTP服务器
2. 亲巴勒斯坦黑客组织声称使用Crucio勒索软件发动攻击
3. Ragnar Locker勒索软件的设备及相关人员被警方查获
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
对本月勒索软件受害者设备所中的病毒家族进行统计:Phobos家族占比26.58%居首位,第二的是占比15.82%的BeiJingCrypt,TargetCompany(Mallox)家族以13.29%位居第三。
其中位居第三的TargetCompany(Mallox),本月新增了以Mallab后缀结尾的新变种。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
2023年10月,被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面系统占比远高于服务器,偶有NAS平台感染。
勒索软件热点事件
勒索软件攻击正针对未修补漏洞的WS_FTP服务器
安全研究人员最近发现,自称为Reichsadler的网络犯罪组织试图利用2022年9月被泄露的LockBit 3.0生成器来部署勒索软件,但未成功。研究人员表示:“勒索软件攻击者利用了最近公开的WS_FTP服务器软件中的漏洞。”尽管Progress Software于2023年9月就发布了针对此漏洞的修复程序,但并非所有服务器都已对其进行修补。
此次监控到的攻击者尝试使用开源的GodPotato工具进行提权操作,该工具允许跨Windows客户端(Windows 8到Windows 11)和服务器(Windows Server 2012到Windows Server 2022)平台提权至“NT AUTHORITY\SYSTEM”账户。幸运的是,从此次攻击的受害系统上看,部署的勒索软件执行失败导致攻击者未能成功加密目标数据。但尽管如此,攻击者仍然要求支付500美元的赎金……
此次攻击所利用的WS_FTP Server漏洞编号为CVE-2023-40044,是由Ad Hoc Transfer Module中的.NET反序列化漏洞引起的。其可以使未经身份验证的攻击者通过HTTP请求远程在服务器系统中执行命令。而研究人员通过对WS_FTP的分析,发现当前互联网中约有2900台主机正在运行WS_FTP。而这些在线资产大多数属于大型企业、政企单位以及教育机构。
亲巴勒斯坦黑客组织声称使用Crucio勒索软件发动攻击
据安全分析人员透露:一个新兴的名为“所罗门士兵”的亲巴勒斯坦黑客组织近期出现,声称对破坏内瓦蒂姆军事区内50多个服务器、安全摄像头和智能城市管理系统的攻击事件负责。该组织表示,他们使用了一款名为“Crucio”的勒索软件——该软件可能使用了勒索软件即服务(RaaS)功能生成。除此之外,该组织还声称其已从攻击中获取到了高达25TB的数据。
此前,“所罗门士兵”通过电子邮件将此信息发送给几家威胁情报公司,同时为了证明其消息的可信度,该组织还提供了来自受感染的闭路电视系统中的一些视频截图,并通过更改被入侵系统的桌面壁纸来显示他们的存在。
Ragnar Locker勒索软件的设备及相关人员被警方查获
Ragnar Locker勒索软件在Tor网络上的“勒索及数据泄露网站”,于10月19日上午被查获。此次行动是由美国、欧洲、德国、法国、意大利、日本、西班牙、荷兰、捷克共和国和拉脱维亚等多个国际执法机构共同参与的一次联合执法行动。欧洲刑警组织发言人已确认:作为针对Ragnar Locker勒索软件团伙持续行动的一部分,此次扣押了Ragnar Locker组织的服务器设备。
此外,在本次行动中,执法机构还逮捕了一名与勒索软件团伙有关联的恶意软件开发人员。欧洲刑警组织在10月20日表示:“这一恶意勒索软件的‘主要参与者’于10月16日在法国巴黎被捕,行动同时搜查了他在捷克的家。随后几天,共五名嫌疑人在西班牙和拉脱维亚也接受了讯问。”……“目前,涉案的开发者主犯已被带到巴黎司法法院预审法官处等待进一步审理。”
与此同时,乌克兰警方还突袭了基辅另一名犯罪嫌疑人的住所,没收了其笔记本电脑、手机和电子设备。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅涉及未能第一时间缴纳赎金或拒缴纳赎金的情况(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有351个组织/企业遭遇勒索攻击,其中有6个中国组织/企业在本月遭遇了双重勒索/多重勒索。另有2个组织/企业未被标明,因此不再以下表格中。
表格2. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows Server 2016。
对2023年10月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2023年10月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
l mallab:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。
l locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
l 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
l devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l faust:同devos。
l halo:同360。
l faust:同devos。
l wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l elbie:同devos。
l carver:同devos。
解密大师
从解密大师本月解密数据看,解密量最大的是Loki,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。