勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2023年3月，全球新增的活跃勒索软件家族有:Merlin、726、 DarkPower等家族。其中DarkPower是本月新增的双重勒索软件，该家族最早出现于2022年，于本月开始采用双重勒索模式运营，其编程语言采用了在勒索软件中罕见的Nim语言。

以下是本月值的关注的部分热点：

1. CL0P勒索软件再度活跃，超百家机构成受害者

2. 水果巨头都乐遭受勒索软件攻击影响运营

3. 法拉利在收到勒索赎金要求后遭数据泄露

基于对360反勒索数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者所中病毒家族进行统计：phobos家族占比23.97%居首位，其次是占比19.85%的BeijingCrypt，TargetCompany(Mallox)家族以14.61%位居第三。

通过暴力破解远程桌面成功后手动投毒的Standby勒索软件家族感染量持续在上升。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 2012。

2023年3月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主。

勒索软件流行态势分析

CL0P勒索软件再度活跃，超百家机构成受害者

停更近2年的CL0P勒索软件再度活跃，此次主要利用Fortra GoAnywhere MFT安全文件共享解决方案中存在的0day漏洞，对部署了该解决方案的公司展开数据窃取及勒索行动。

今年2月，GoAnywhere MFT文件传输解决方案的开发人员曾警告其客户：该解决方案的管理控制台代码中存在0day远程代码执行漏洞CVE-2023-0669。虽然该开发人员并没有公开分享该漏洞的利用细节，但很快就发布了概念验证漏洞，随后又发布了该漏洞的补丁。

而就在GoAnywhere补丁发布后的第二天，Clop勒索软件团伙便表示他们对这些攻击负责。该组织声称他们利用该漏洞在十天内窃取了130家公司的数据。此后，社区卫生系统（CHS）和哈奇银行两家公司披露称存储在GoAnywhere MFT中的数据遭到窃取。本月，CL0P勒索团伙在其“数据泄露网站”上传了包括日立能源、多伦多市等104个组织/企业的数据。

水果巨头都乐遭受勒索软件攻击影响运营

全球最大的果蔬生产及分销商都乐食品公司发声明表示受到勒索软件攻击，并正对攻击展开应对。关于此次攻击事件公布的细节很少，都乐仅表示目前正在调查“事件的范围”且“影响有限”。

尽管都乐将影响描述为“有限”，但美国德州一家杂货店在Facebook上泄露的一份备忘录表明，这家食品巨头被迫关闭了其在北美的生产工厂并已停止向杂货店发货。

一周以来，北美地区消费者一直在抱怨商店货架上预包装的都乐沙拉短缺。虽然该公司没有透露攻击发生的具体时间，但这很可能是这次勒索软件攻击造成的短缺。

法拉利在收到勒索赎金要求后遭数据泄露

意大利豪华跑车制造商法拉利确认遭到到了勒索攻击。据法拉利公司称，在攻击者获得对公司部分IT系统的访问权限后，收到了赎金要求，同时数据也已遭到泄露。

据公司表示，事件中遭泄露的客户信息包括姓名、地址、电子邮件地址和电话号码。 而到目前为止，法拉利尚未发现付款细节、银行帐号或其他敏感付款信息被访问或窃取的证据。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有445个组织/企业遭遇勒索攻击，其中中国有5个组织/企业在本月遭遇了双重勒索/多重勒索。此外，有15个组织/企业未被标明，因此不再以下表格中。

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 7 、Windows 2016以及Windows Server 2003。

对2023年3月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2023年3月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。

l mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

l halo：同360。

l faust:属于phobos勒索软件家族，因被加密文件后缀会被修改为faust而成为关键词。该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l elbie：同faust。

l lockbit：属于LockBit勒索软件家族，因被加密文件后缀会被修改为lockbit而成为关键词。该家族的运营模式可以分为两种不同的方式。第一种是无差别攻击，该方式会对全网发起数据库弱口令攻击或远程桌面弱口令攻击，一旦攻击成功，勒索软件将被投毒到受害者计算机中。在这种情况下，攻击者并不会窃取受害者的数据。第二种是针对性攻击，该方式主要针对大型企业，攻击者不仅会部署勒索软件，还会窃取企业重要的数据。如果受害组织或企业无法在规定时间内缴纳赎金，该团伙将会把数据发布到其数据泄露站点上，任何可以访问该网站的人都可以下载受害者的数据。

l _locked:属于CryLock(Trigona)勒索软件家族，由于被加密文件后缀会被修改为_locked而成为关键词。该家族主要的传播方式：暴力破解远程桌面口令成功后手动投毒以及暴力破解数据库密码后远程投毒。

l mkp：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。