勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2023年2月，全球新增的活跃勒索软件家族有:Masons、DoDo、 Vendetta、Medusa等家族。其中Vendetta和Medusa是本月新增的双重勒索软件。Medusa勒索软件本月在暗网公布的受害者数量已多达19个，主要针对能源，金融、医疗和交通运输等基础设施行业发起勒索攻击。

以下是本月值的关注的部分热点：

1.数十家企业中招！360发布Paradise勒索软件预警。

2.ESXiArgs勒索软件针对全球VMware ESXi服务器发动大规模攻击。

3.Lockbit勒索软件团伙声称对“皇家邮件”发动网络攻击。

4.HardBit要求受害者提供保单详情以指定最佳勒索金额。

基于对360反勒索数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者所中病毒家族进行统计：phobos家族占比23.59%居首位，其次是占比17.25%的TargetCompany(Mallox)，BeijingCrypt家族以10.21%位居第三。前三大家族占比超50%，均为过往的流行家族。

在本月初，Paradise勒索软件家族通过老版本向日葵软件漏洞下发攻击。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

2023年2月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主。

勒索软件情况分析

数十家企业中招！360发布Paradise勒索软件预警

360安全大脑监测到，有黑客团伙正在利用向日葵远程控制软件漏洞CNVD-2022-10270发起攻击，向目标机器投递Paradise勒索病毒。

此次攻击最早发生于2023年1月30日，目前仍在持续，根据360安全大脑的监测数据，攻击者对网络中暴露的向日葵远程控制软件进行大范围扫描，并对存在漏洞的向日葵远程控制软件发起攻击，目前已经有数十个目标被攻破并被投递勒索病毒。

受害用户的向日葵远程控制软件日志显示，攻击IP：45.77.29[.]56对目标发起攻击，利用漏洞尝试执行多种恶意命令，这些恶意命令用于下载执行Paradise勒索病毒并将其写入启动项。此外，攻击者还会向机器投递“永恒之蓝”漏洞利用工具，尝试使用该工具在内网横向移动。

此次攻击所使用的勒索病毒和黑客工具均部署在域名upload.paradisenewgenshinimpact[.]top下。

ESXiArgs勒索软件针对全球VMware ESXi服务器发动大规模攻击

近期，大量攻击者对VMware ESXi服务器发起攻击，利用两年前被公布的ESXi远程代码执行漏洞来部署新的ESXiArgs勒索软件，此外新型勒索软件Royal也加入到了这一轮针对ESXi服务器的攻击当中。本轮攻击所利用的漏洞为CVE-2021-21974，该漏洞因OpenSLP服务中的堆溢出现问题而引起，未经验证的攻击者可以轻松利用该漏洞进入用户的服务器系统。

受此漏洞影响的ESXi版本为：

ESXi versions 7.x prior to ESXi70U1c-17325551

ESXi versions 6.7.x prior to ESXi670-202102401-SG

ESXi versions 6.5.x prior to ESXi650-202102101-SG

因此，VMware公司向其客户发出安全警告，提醒用户安装最新的安全更新，并禁用OpenSLP服务。此外，VMware公司还补充说明此次攻击并没有利用未知的0day漏洞，而2021之后发布的ESXi软件版本则已经默认禁用了OpenSLP服务。

另外，美国网络安全和基础设施安全局（CISA）也公布了针对此次攻击的修复脚本，用于修复被破坏的ESXi虚拟机环境。

Lockbit勒索软件团伙声称对“皇家邮件”发动网络攻击

LockBit勒索软件组织近期声称对英国的邮件递送服务公司Royal Mail受到的网络攻击负责。受害公司也表示因“严重服务中断”而被迫停止其国际航运服务。

此前，该LockBit勒索软件团伙曾声称其并没有攻击Royal Mail。相反，他们将攻击行动归咎于其他团伙使用了其2022年9月在Twitter上泄露的LockBit 3.0勒索软件生成器所自行生成的勒索软件。

但近期LockBitSupp却又在一个俄语黑客论坛上发布帖子确认，LockBit确实是此次攻击的幕后黑手——是他们的一个分支机构在Royal Mail的系统上部署了该团伙的勒索软件。此外该团伙代表还补充说，他们只会提供一个解密器，并在支付赎金后删除从Royal Mail网络窃取的数据。

HardBit要求受害者提供保单详情以指定最佳勒索金额

HardBit家族勒索软件2.0版运营者将其勒索思路从直接勒索受害者转换为从受害者的保险公司获得勒索赎金。

具体方案是：攻击者试图说服受害者告知其为数据或设备所购买的保险详情，并以此为依据来调整他们的赎金要求，以便让保险公司来承担所有赎金费用。

根据分析，HardBit勒索家族最早被捕获于2022年10月，而其2.0版则于2022年11月推出，该版本目前仍处于活跃状态。而与现下主流的勒索软件家族不同的是，目前尚未发现HardBit的数据泄露站点——尽管其运营团队曾声称窃取了受害者数据并威胁要将这些数据泄露。

而该家族的攻击者则建议受害者不要与中间商合作以徒增支付成本。但对于购买了网络攻击相关保险的受害者，黑客则会有针对性地引导他们披露其所购买的保险金额。更重要的是，黑客还试图将保险公司描绘成阻碍恢复数据的坏人，同时让受害者认为分享保单内容对自身更为有利。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

以下是本月被双重勒索软件家族攻击的企业或个人。尚未发现存在数据泄露风险情况的企业或个人也请第一时间自查，做好数据被泄露的准备，以便及时采取补救措施。

本月总共有247个组织/企业遭遇勒索攻击，其中包含来自中国的8个组织/企业在本月遭遇了双重勒索/多重勒索。另有8个组织/企业未被标明，因此不再以下表格中。

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2016。

统计2023年2月被攻击系统所属地域发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2023年2月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。

l 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。

l Halo：同360。

l mkp：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l xollam:同mallox。

l eking：同devos。

l elbie：同devos。

l locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

l zfx:同mkp。