勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年3月,全球新增的活跃勒索软件家族有RA World、Red Ransomware、Kill Security等,均为双重勒索病毒。
本月针对国内主流云服务器进行的勒索攻击比例大幅提高,从大量的云服务器用户反馈的案例看,相关系统均未安装360终端安全产品进行勒索防护,被攻击的直接原因主要是Web服务漏洞、数据库弱口令登录、远程桌面弱口令登录。
以下是本月值得关注的部分热点:
1. TellYouThePass再度活跃
2. 瑞士表示Play勒索软件泄露了65000份政府文件
3. 法国失业机构数据泄露影响4300万人
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:TargetCompany(Mallox)家族占比17.98%居首位,第二的是占比16.67%的Makop,phobos家族以15.35%位居第三。
图1. 2024年3月勒索软件家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。
图2. 2024年3月勒索软件感染操作系统占比
2024年3月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC与服务器为主流平台,Nas平台受LvtLocker勒索家族的持续影响,占比依然居高不下。
图3. 2024年3月勒索软件感染操作系统类型占比
勒索软件热点事件
TellYouThePass再度活跃
3月中旬与3月末360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。
而本月TellYouThePass勒索攻击的受害者都有着两个显著的共同特征:
1. 中招设备未安装360安全产品,且云服务器占比很高;
2. 中招设备均为运行财务管理服务的计算机。
经360安全智脑的分析研判,成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老牌勒索软件家族。
该家族仅在2023年就发动了3轮较大规模的攻击,而在2024年初又开始继续作恶。
而360云端智脑也为我们展示了其最近半年的攻击趋势,可以看到最近一段时间,其活跃程度显著增加:
图4. TellYouThePass近期传播量
本轮集中爆发是该家族在龙年后的首度回归,仅在3月20日一天我们就监测到了数千台财务电脑遭其攻击。
瑞士表示Play勒索软件泄露了65000份政府文件
瑞士国家网络安全中心(NCSC)发布了一份报告,分析了Xplain遭受勒索软件攻击后的数据泄露情况,披露该事件影响了数千份敏感的联邦政府文件。Xplain是一家瑞士技术和软件解决方案提供商,为各种政府部门、行政单位,甚至该国的军事力量提供服务。
当时,攻击者声称盗取了包含机密信息的文件,而其也确实在之后的2023年6月初兑现了该威胁,并在其暗网门户上发布了被盗数据。这之后,瑞士政府开始调查泄露的文件,并立即承认泄露的数据可能包含属于瑞士联邦管理局的文件。
2024年3月7日,瑞士政府发布了一份关于此事的声明,称有65000份政府文件遭到泄露:
l 这些文件中的大部分(95%)影响了联邦司法和警察部(FDJP)的行政单位:联邦司法办公室、联邦警察办公室、国家移民秘书处和内部 IT 服务中心 ISC-FDJP。
l 联邦国防部、民防和体育部(DDPS)受到的影响较小,占该数据的3%多一点。
l 大约5000份文件包含敏感信息,包括个人数据(姓名、电子邮件地址、电话号码和地址)、技术细节、机密信息和账户密码。
l 一个由几百个文件组成的小集合,包含IT系统文档、软件或架构数据和密码。
公告称调查将于本月底完成,并将与联邦委员会分享全部结果和网络安全建议。
法国失业机构数据泄露影响4300万人
2024年3月13日,法国就业部披露黑客在2月6日至3月5日期间对其发动了网络攻击,窃取了过去20年在该机构注册的求职者详细信息,导致这些求职者个人数据遭到泄露。法国就业部已经通知了该国的数据保护机构——法国国家信息和自由委员会(CNIL)。而该机构表示,多达4300万人可能会受到影响。
此次攻击所泄露的数据类型包括:
l 全名
l 出生日期
l 出生地点
l 社会安全号码(NIR)
l 法国劳工身份识别码
l 电子邮件地址
l 邮寄地址
l 电话号码
这些数据增加了个人身份被盗和网络钓鱼的风险,因此该机构建议潜在的受影响人群对他们收到的电子邮件、电话和短信要特别警惕。法国劳工局澄清说,数据泄露事件不会影响人们的银行信息或账户密码。但法国国家信息保护委员会警告说,网络罪犯可能会利用这些信息与其他泄露事件中的被盗数据关联起来。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图5. 2024年3月通过数据泄露获利的勒索软件家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有388个组织/企业遭遇勒索攻击,其中包含中国5个组织/企业在本月遭遇了双重勒索/多重勒索。其中有4个组织/企业未被标明,因此不在以下表格中。
表格2. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
图6. 2024年3月黑客入侵各操作系统占比
对2024年3月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
图7. 2024年3月国内受攻击地区占比
通过观察2024年3月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
图8. 2024年3月RDP遭入侵量
图9. 2024年3月MSSQL遭入侵量
图10. 2024年3月MYSQL遭入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
l locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
l rmallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
l wis: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l helper:属于TargetOwner勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。
l mkp:同wis。
l devos 同faust。
l halo:同360。
l mallox:同rmallox。
图11. 2024年3月勒索软件搜索量排行
解密大师
从解密大师本月解密数据看,解密量最大的是Autoit,其次是Crysis。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。
图12. 2024年3月解密大师解密量