勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年11月,全球新增的双重勒索软件家族有Kairos、Safepay、Argonauts、Chort、Termite。11月新增的传统勒索软件家族有XmrData、Frag、Triplex、Nyxe、MrBeast等十余个家族,其中XmrData、Frag有监测到在国内的传播行为。
以下是本月值得关注的部分热点:
n Veeam RCE严重漏洞现在被Frag勒索软件利用实施攻击
n 施耐德电器确认黑客窃取数据后开发平台遭到破坏
n 俄罗斯逮捕了与勒索团伙有关的知名开发人员
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:TargetCompany(Mallox)家族占比22.38%居首位,第二的是Makop占比15.38%的,RNTC家族以11.89%位居第三。
图1. 2024年11月勒索软件家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows7以及Windows Server 2012。
图2. 2024年11月勒索软件入侵操作系统占比
2024年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC高于服务器平台。
图3. 2024年11月勒索软件入侵操作系统类型占比
勒索软件热点事件
Veeam RCE严重漏洞现在被Frag勒索软件利用实施攻击
在确认已被Akira和Fog勒索软件利用发起攻击后,Veeam备份和复制(VBR)的一个严重安全漏洞最近再度爆出被用来部署Frag勒索软件。
安全研究员发现,该漏洞(CVE-2024-40711)是由不受信任的数据漏洞反序列化引起的,未经身份验证的攻击者可以利用这些数据漏洞在Veeam VBR服务器上获得远程代码执行(RCE)权限。
曾有安全实验室于2024年9月9日发布了有关CVE-2024-40711的技术分析,并将该漏洞的概念验证代码发布推迟到9月15日以便管理员有足够的时间安装Veeam于9月4日发布的安全更新。这一推迟也正是由于Veeam的VBR软件成为寻求快速访问公司备份数据的攻击者的热门攻击目标,而许多企业目前都将该软件视作灾难恢复和数据保护解决方案,以备份、恢复和复制虚拟、物理和云机器。
但实际上,安全响应人员发现这对延迟Akira和Fog勒索软件攻击的作用很小。攻击者依然利用了该RCE漏洞和被盗的VPN网关凭据,将流氓帐户添加到未修补和互联网暴露的服务器上的本地管理员和远程桌面用户组。
就在最近,研究人员还发现又有攻击组织(疑似是“STAC 5881”)在攻击中使用了CVE-2024-40711漏洞将Frag勒索软件部署到了受感染的网络设备上。
图4. Frag勒索软件的勒索信息
这些攻击与Akira和Fog攻击者所使用的方法类似——他们都会在攻击期间针对备份和存储解决方案中未修补的漏洞和错误配置。
根据Veeam方面的数据,全球有超过550000名客户使用其产品,这其中甚至涵盖了全球2000强榜单中约74%的公司,这一数据也说明了本次攻击事件背后巨大的潜在威胁。
施耐德电器确认黑客窃取数据后开发平台遭到破坏
施耐德电气已确认,在攻击者声称从该公司的JIRA服务器窃取了40GB的数据后,开发人员平台遭到破坏。
10月底,一位名叫“Grep”的攻击者在X上嘲讽该公司,表示他们已经入侵了其系统。在与媒体的对话中,Grep表示他们使用暴露的凭据入侵了Schneider Electric的Jira服务器。获得访问权限后,他们声称使用MiniOrange REST API抓取了400k行用户数据。Grep表示,其中包括75000个唯一的电子邮件地址以及Schneider Electric员工和客户的全名。
在暗网网站的帖子中,攻击者开玩笑地要求125000美元的“Baguettes”来换取不泄露数据,并分享了有关被盗内容的更多详细信息。
Grep进一步告诉媒体他们最近成立了一个新的黑客组织International Contract Agency(ICA),以《杀手:代号 47》游戏命名。攻击者表示,该组织以前没有勒索他们入侵的公司。然而,在得知“ICA”名称与“伊斯兰恐怖分子团体”有关后,攻击者表示他们再次更名为Hellcat勒索软件团伙,目前正在测试用于勒索攻击的加密器。
图5. 攻击者放出有关对施耐德电器的攻击信息
俄罗斯逮捕了与勒索团伙有关的知名开发人员
俄罗斯执法部门于2024年11月底逮捕并起诉了臭名昭著的勒索攻击参与者Mikhail Pavlovich Matveev(又称Wazawaka、Uhodiransomwar、m1x或Boriselcin等),罪名是其开发恶意软件并参与多个黑客组织。
据俄罗斯国有新闻机构RIA Novosti所接到的匿名来源消息称:虽然检察官办公室尚未公布有关此人身份(在法庭文件中被描述为“程序员”)的任何细节,但此人正是Matveev。俄罗斯内务部在一份声明中说:“目前,调查人员已经收集到足够的证据,检察官签署起诉书的刑事案件已送交加里宁格勒市中央地区法院进行审议。”
正如网络政策专家Oleg Shakirov首次发现的那样,Matveev被指控开发勒索软件(检察官办公室将其描述为可以加密文件和数据的“专用恶意软件”),并称其计划使用勒索软件来加密“商业组织的数据,以便然后从他们那里获得赎金进行解密”。
去年,即2023年5月,美国司法部还对Matveev提出指控,称其参与开发了针对美国受害者的Hive和LockBit勒索软件。此外,他还被认为是“Orange”黑客论坛的创建者和管理员,以及Babuk勒索软件的最初运营者。而后者在组织成员无法抉择是否发布从华盛顿特区首都警察部队窃取的数据后分道扬镳。
图6. FBI对Mikhail Matveev的通缉信息
根据美国司法部的新闻稿和新泽西州及哥伦比亚特区的公开起诉书,可以整理出他在与三个勒索软件团伙合作时活动的大致时间表:
l 2020年6月,Matveev和LockBit勒索软件合谋在新泽西州帕赛克县的一个执法机构的网络上部署了LockBit勒索软件;
l 2021年4月,Matveev与Babuk勒索软件合谋在华盛顿特区大都会警察局的系统上部署了恶意载荷。
l 2022年5月,Matveev同Hive勒索软件团伙成员加密了总部位于新泽西州默瑟县的一家非营利性行为医疗保健组织的系统。
l Matveev还因对美国实体(包括美国执法部门和关键基础设施组织)发起网络攻击而受到财政部外国资产控制办公室(OFAC)的制裁。
Matveev在网上的知名度非常高。他经常与网络安全研究人员和专业人士进行交流,并使用他的Twitter帐户“RansomBoris”公开讨论他的网络犯罪活动。而在受到美国制裁后,Matveev还曾公开嘲讽美国执法部门,并在推特上发布了一张T恤上的通缉海报照片。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图7. 2024年11月通过数据泄露获利的勒索软件家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有649个组织/企业遭遇勒索攻击,其中包含中国12个组织/企业在本月遭遇了双重勒索/多重勒索。其中有10个组织/企业未被标明,因此不在以下表格中。
表2. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
图8 2024年11月受攻击系统占比
对2024年11月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
图9. 2024年11月国内受攻击地区占比排名
通过观察2024年11月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
图10. 2024年11月监控到的RDP入侵量
图11. 2024年11月监控到的MS SQL入侵量
图12. 2024年11月监控到的MYSQL入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
l rox:属于Weaxor勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒,同时通过smb共享方式加密其他设备。
l wstop: RNTC勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒,同时通过smb共享方式加密其他设备。
l hmallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
l mkp: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l rmallox:同hmallox。
l src:同mkp。
l baxia:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。
l bixi:同baxia。
l mallox:同hmallox。
l 888:属于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
图13 2024年11月反病毒搜索引擎关键词搜索排名
解密大师
从解密大师本月解密数据看,解密量最大的是Telsa其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
图14. 2024年11月解密大师解密文件数及设备数排名
