勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年9月，全球新增的双重勒索软件家族有Nitrogen、Orca、ValenciaLeaks。8月新增的传统勒索软件家族RNTC在国内的传播较为显著，主要通过远程桌面登录手动投毒，同时通过smb共享扩大加密文件范围。

以下是本月值得关注的部分热点：

1. 法飞塔确认黑客窃取的440G文件已遭泄露

2. 堪萨斯州水厂遭网络攻击后被迫改为人工操作

3. NoName勒索软件组织在最近的攻击中部署RansomHub

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比31.21%居首位，第二的是RNTC占比22.93%的，Makop家族以15.92%位居第三。

图1. 2024年9月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

图2. 2024年9月勒索软件入侵操作系统占比

2024年9月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器平台的攻击比例基本相当。

图3. 2024年9月勒索软件入侵操作系统类型占比 

勒索软件热点事件

速汇金确认在长达数日的系统中断背后是网络攻击

汇款巨头速汇金证实自9月20日以来，其所处理的系统故障和客户投诉后均因该公司遭受了网络攻击所导致。虽然许多人此前就怀疑该公司受到了网络攻击，但直到当地时间23日早上，速汇金才证实了本次系统中断是由网络安全事件所致。

在速汇金客户无法转账或访问他们的资金后，该公司曾于21日表示他们遇到了“网络中断”影响了与系统的连接。

该公司最终于23日证实，网络安全事件是系统中断的原因，并向客户保证，该公司正在与外部专家和执法部门努力解决这一问题。

虽然速汇金没有透露他们遭受了哪种类型的攻击，但长时间的中断和与系统的连接中断表明存在勒索软件攻击。 考虑到速汇金庞大的客户群，该公司潜在的数据泄露可能会对许多人产生深远的影响。

堪萨斯州水厂遭网络攻击后被迫改为人工操作

负责监管西雅图港口和机场的美国政府机构——西雅图港务局于9月13日证实，Rhysida勒索软件组织是过去三周内对该机构系统发动网络攻击的幕后黑手。此前，该机构于8月24日透露遭到网络攻击，并被迫隔离了一些关键系统以控制影响。由此导致的IT中断影响了西雅图塔科马国际机场的预订和登机系统，并导致航班延误。

在最初披露攻击事件的三周后，港口正式确认8月份的攻击事件是Rhysida勒索软件组织的成员策划的勒索软件攻击。该声明称：“此次事件是由名为Rhysida的犯罪组织实施的一起勒索软件攻击。从那天起，港口系统再也没有发生未经授权的活动。从西雅图-塔科马国际机场出发并使用西雅图港的海运设施仍然是安全的。”

据港口方面称，调查发现未经授权的黑客能够访问其部分计算机系统，并能够加密某些数据的访问权限。该港口决定关闭系统以及勒索软件团伙在未能及时隔离的系统上加密的行为导致了多重服务和系统的中断，其中包括行李处理、值机亭、售票、Wi-Fi、乘客信息显示屏、西雅图港口网站、flySEA应用以及预留停车位。尽管港口已经在一周内将大多数受影响的系统恢复上线，但它仍在努力恢复其他关键服务，如西雅图港口网站、SEA Visitor Pass、TSA等待时间和flySEA应用访问。此外，该港口也决定不向勒索软件犯罪团伙支付解密器费用，尽管攻击者很可能会在8月中旬至月底之间在其暗网泄露网站上发布窃取的数据。

“西雅图港没有向攻击者支付赎金的意图，”西雅图港执行主任Steve Metruck说。“向犯罪组织支付赎金不符合港口的价值观，也不符合我们作为纳税人资金守护者的承诺。”

NoName勒索软件组织在最近的攻击中部署RansomHub

一个名为“NoName”的勒索软件组织已经连续三年针对全球各地的小型和中型企业进行勒索攻击，并试图打出自己的名声。近日，该组织可能正在与RansomHub勒索软件交易平台开展合作。

该勒索组织使用了一款名为Spacecolon的恶意软件家族的自定义工具，并在利用EternalBlue或ZeroLogon等经典漏洞侵入网络后部署它们。而在最近的攻击中，NoName则使用了名为ScRansom的勒索软件，该软件取代了之前的Scarab加密器。此外，该攻击者还试图通过尝试使用泄露的LockBit 3.0勒索软件声称器来创建类似的数据泄露网站以及使用类似的勒索赎金通知来为自己打响名号。

研究人员发现，尽管ScRansom在勒索软件领域并不像其他威胁那样复杂，但它仍在不断地进行着更新迭代。该恶意软件支持使用不同的速度模式进行部分加密，以使攻击者具有一定的灵活性。此外，其还具有一个名为“ERASE”的模式，可将文件内容替换为恒定值使其无法恢复。ScRansom可以加密所有驱动器上的文件，包括固定驱动器、远程驱动器和可移动媒体，并且允许生成者通过可自定义的配置来确定要加密的文件扩展名。在启动加密程序之前，ScRansom还会尝试杀死Windows主机上的一系列进程和服务，包括Windows Defender、卷影副本、SVCHost、RDPclip、LSASS以及与VMware工具相关的进程。与此同时，ScRansom的加密方案也相当复杂：其采用了AES-CTR-128和RSA-1024的组合，并额外生成了一个AES密钥来保护公钥。

NoName一直使用暴力手段来获取网络访问权限，但该攻击者还利用了几个更可能存在于SMB环境中的漏洞：

l  CVE-2017-0144

l  CVE-2023-27532

l  CVE-2021-42278与CVE-2021-42287

l  CVE-2022-42475

l  CVE-2020-1472

在6月初的一起与NoName相关的勒索软件事件中，研究人员发现攻击者在不到一周后就在同一台机器上执行了RansomHub的EDR杀手工具。该工具允许攻击者通过在目标设备上部署一个合法但存在漏洞的驱动程序来提升权限并禁用安全代理。两天后，也就是6月10日，黑客在被入侵的机器上执行了RansomHub勒索软件。研究人员指出，提取EDR杀手的方法是典型的CosmicBeetle行为，而不是RansomHub的附属机构。

由于没有关于RansomHub代码或其构建者的公开信息，研究人员认为这一情况表明NoName加入了RansomHub的合作伙伴行列。尽管与RanssomHub的关联尚未确定，但研究发现ScRansom加密器目前正在积极开发中。结合ScRansom转向LockBit的事实，这表明NoName显然仍在进行着进一步更新。

国内勒索软件态势抬头，9月多起勒索事件

2024年9月 11日，勒索软件团伙Hunters International声称对中国工商银行伦敦分部进行了网络攻击，并窃取了超过520万份文件，总计6.6TB的数据。该团伙在暗网上公布了这一信息，并设定了9月13日为支付赎金的最后期限，威胁若不满足其要求，将公开所有窃取的数据。

图4. Hunters International发布的工商银行泄露数据

此外Killsec勒索软件也在9月份于其官网上放出了据称是窃取自国内某政府单位的数据支付链接，这些数据包括但不限于：在中国机构与政府部门内的个人、行政、财务、审核流程等敏感信息。

图5. KillSec发布的国内某政府单位泄露数据

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图6. 2024年9月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有388个组织/企业遭遇勒索攻击，其中包含中国5个组织/企业在本月遭遇了双重勒索/多重勒索。其中有3个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图7. 2024年9月受攻击系统占比

对2024年9月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图8. 2024年9月国内受攻击地区占比排名

通过观察2024年9月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图9. 2024年9月监控到的RDP入侵量

图10. 2024年9月监控到的MS SQL入侵量

图11. 2024年9月监控到的MYSQL入侵量 

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

n  rmallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

n  wstop： RNTC勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

n  src: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

n  mallox：同rmallox。

n  mkp：同src。

n  devicdata：同rmallox。

n  bixi：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

n  wormhole：属于Wormhole勒索软件家族，由于被加密文件后缀会被修改为Wormhole而成为关键词。该家族主要的传播方式为：通过瑞友天翼软件漏洞发起攻击。

n  baxia：同bixi。

n  lcrypt 属于Anony勒索软件家族，由于被加密文件后缀会被修改为anony而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

图12. 2024年9月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是GandCrab其次是Coffee。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

图13. 2024年9月解密大师解密文件数及设备数排名