2023年9月勒索软件流行态势分析

原创
2023/10/09 18:10
阅读数 61


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-448

报告来源:360高级威胁研究分析中心

报告作者:360高级威胁研究分析中心

更新日期:2023-10-09


1
 简述



勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。 2023年9月,全球新增的活跃勒索软件家族有ThreeAM、Knight、CiphBit、LostTrust等家族。以下是本月值的关注的部分热点:

1. Cisco警告称其VPN的0day漏洞被勒索软件团伙利用

2. 凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金

3. 黑客积极利用Openfire漏洞来加密服务器


2
 感染数据分析



针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比24.59%居首位,第二的是占比13.11%的Makop,TellYouThePass家 族以15.38%位居第三。

其中位居第三的TellYouThePass持续通过web漏洞利用发动攻击。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。

2023年9月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型占比基本相当,偶有NAS平台感染。


3
 勒索软件热点事件



Cisco警告称其VPN的0day漏洞被勒索软件团伙利用

思科警告称,思科自适应安全设备(ASA)和思科Firepower威胁防御系统(FTD)中存在编号为CVE-2023-20269的0day漏洞,而勒索软件组织 会利用该漏洞来获取对企业网络的访问权限。该漏洞允许未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户,攻击者可以在受攻击的网络中建立无客户端的SSL VPN会话,而根据受害者的具体网络配置差异这一攻击也会产生不同级别的威胁。

在今年8月,就有报道称Akira勒索软件团伙利用Cisco VPN设备的未知漏洞入侵企业网络。在这次攻击发生的一周后,Rapid7报告称除了Akira之外,Lockbit勒索软件也利用了Cisco VPN设备的安全漏洞。9月初,思科确认了这些勒索软件团伙利用的0day漏洞的存在,并在临 时安全公告中提供了解决方法。但目前尚未发布受漏洞影响的产品的安全更新。

香港数码港遭勒索攻击致400GB数据泄露

安全内参9月8日消息,香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称,已从数码港 窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。

周四,一位IT专家查阅了暗网相关材料,发现包括银行账户信息和身份证复印件在内的被窃数据正在竞价售卖,起价定为30万美元。

香港网络安全公司VX Research的安全专家Anthony Lai Cheuk-tung分析称,“假设一个人的信息是1GB,那就至少有400名受害者。”

数码港商业园区有140名员工,是1900家初创企业和科技公司的运营基地。警方表示,已将此案移交网络安全及科技罪案调查科进行调查 ,目前尚未有人被捕。

数码港在周三发布声明,谴责未经授权的第三方攻击者入侵其部分计算机系统,并表示他们在发现入侵后迅速采取了行动。但是,声明并未点出谁是可能的肇事者。

凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金

美国最大的赌场连锁品牌凯撒娱乐表示:为避免近期的一次网络攻击中遭窃取的客户数据在网上泄露,该公司已向黑客支付了赎金。

凯撒娱乐于9月7日发现有攻击者窃取了其“忠诚度计划”数据库,该数据库中存储了许多客户的驾照号码和社会安全号码。在凯撒娱乐向美国证券交易委员会提交的一份8-K表格中显示:“我们仍在调查攻击者获得的文件中包含的敏感信息的范围。”……“到目前为止,没 有证据表明任何会员的密码/PIN码、银行账户信息或支付卡信息(PCI)已被攻击者获取。”

此外,表格内容中还暗示向攻击者支付赎金是为了防止被盗数据在网上泄露。据媒体透露,该娱乐公司支付了大约1500万美元的赎金,这一金额大约是攻击者最初索要的3000万美元的一半。尽管如此,凯撒明确表示,它无法就“应对事件负责的攻击者”的潜在行动提供任何保证,包括他们仍可能出售或泄露客户被盗信息的可能性。

黑客积极利用Openfire漏洞来加密服务器

黑客正在积极利用Openfire的消息传递服务器中的一个高严重性漏洞传播勒索软件用以加密服务器并部署加密挖矿程序。

Openfire是一种被广泛使用的基于Java的开源聊天服务器,此次被利用的漏洞编号为CVE-2023-32315,是一种影响Openfire管理控制台的身份验证绕过方式,该漏洞允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。攻击者通常使用这些帐户安装恶意Java插件。

该漏洞影响几乎所有当前主流的Openfire版本,从3.10.0到4.6.7,以及4.7.x中的4.7.0到4.7.4版本。尽管Openfire在5月发布的版本4.6.8、4.7.5以及最新的4.8.0中修复了该问题,根据统计:到8月中旬,仍有超过3000台Openfire服务器仍运行着易受攻击的版本。


4
 黑客信息披露



以下是本月收集到的黑客邮箱信息:

henderson@cock.li decryptor@cyberfear.com mpfiledec@msgsafe.io
ihavenobackup@gmail.com anna.brown.la.ca@gmail.com infohelper@onionmail.com
911files@onionmail.org f3d0r4@proton.me fileassistant@proton.me
Django@onionmail.org dectokyo@onionmail.org savetime@cyberfear.com
Django23@msgsafe.io dectokyo@cock.li savetime4u@outlook.com
vilisol@msgsafe.io DataLock@onionmail.org EldritchTeam@proton.me
vilisol@tutanota.com datalocked@nerdmail.co wang_fang@zohomail.com
recoveryanti@gmail.com Blackbit_sup@mailfence.com wang.fang@onionmail.org
ransupport@onionmail.org blackbit.sup@onionmail.org nowil24701@armablog.com
protexdamaraij5@gmx.de azadibtc1@elizamail.site cryptonic@onionmail.org
shonpen@mailfence.com azadi3@keemail.me captain-america@tuta.io
decryptmenow@onionmail.org Zero.Cool2000@onionmail.org cyber34229@gmail.com
helpdecrypt@dnmx.org Zero.Cool2000@skiff.com malloxxhelp@cock.li
datacentreback@msgsafe.io Eliberansmoware@outlook.com malloxxhelp@proton.me
moriartydata@onionmail.org recoveryfile7@gmail.com Recoverifiles@gmail.com
submarine@cyberfear.com reopenran2023@firemail.de Recoverifiles@protonmail.com
submarine2@cyberfear.com backbackup@onionmail.org nightcrowsupport@protonmail.com
vpsadminmain12@onionmail.org databackup@msgsafe.io venolockdate1@rape.lol
vpsadminmain13@onionmail.org edcvbghjikm@protonmail.com Alexdec23@aol.com
loki@decoperator.org decryption38@gmail.com Alexdec23@cock.li
decoperator@cock.li decryption38@gmail.com gotis@tuta.io
deep_77@tutanota.com exezez@420blaze.it gotis@onionmail.org
cp00pc1@proton.me dompio@privatemail.com returnback@cyberfear.com
datarecoverycenterOPG@onionmail.org dompio@msgsafe.io returnbac@onionmail.org
datarecoverycenterOPG2023@onionmail.org recoverybpanther@proton.me ithelp15@yousheltered.com
balckhoues@onionmail.com fixfilesystemhelpers@mail.ee electronicrans@gmail.com
balckhoues@tutanota.com fixfilesystemhelpers@onionmail.org electronicrans@outlook.com
bitsupport@onionmail.org mpfile_dec@tutanota.com

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有449个组织/企业遭遇勒索攻击,其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有19个组织/企业未被标明,因此不再以下表格中。

Betton France Smead Saint Mark Catholic Church
Jules B clearwaterlandscape.com WEBBER RESTAURANT GROUP
VV&A MGM Resorts International Pond Security
Prodegest Assessors etsi.uy SUD TRADING COMPANY
marianoshoes.com American Steel & Aluminum Co., Inc. ZZColdstores
gosslaw.com Ja Quith NTT Docomo
Arkopharma East Baking Nusmiles Hospital
DDB Unlimited carthagehospital.com Ministry Of Finance (Kuwait)
Rick Ramos Law Fondation Vincent De Paul Praxis Arndt und Langer
Riverside Logistics EDUCAL, SA de CV PRETZEL-STOUFFER
Estes Design & Manufacturing EnPOS J.T. Cullen Co., Inc.
Aiphone Harmonic Accounting Springer Eubank
Newton Media A.S. Imperador S.R.L MNGI Digestive Health
phms.com.au Waterford Retirement Residence epson.es
paynesvilleareainsurance.com Shelly Engineering Metal Work altmanplants.com
SKF.com RSV Centrale Bvba SONY.COM
Lawsonlundell Soprovise Phil-Data Business Systems
TissuPath Australia clearcreek.org bnm.bg
Strata Plan Australia Dpc & S mango.bg
glprop.com Carpet One ebag.bg
Barry Plant Real Estate Australia Elwema Automotive popolo.bg
ramlowstein.com Tanachira Group andrews.bg
scottpartners.com Solano-Napa Pet Emergency Clinic ardes.bg
nerolac.com Morgan Smith Industries LLC myshoes.bg
seasonsdarlingharbour.com.au Decarie Motors Inc ecco.bg
neolife.com Financial Services Commission districtshoes.bg
sterncoengineers.com Accuride footshop.bg
attorneydanwinder.com SAC Finance Punto.bg
designlink.us Abbeyfield arelion.com
dasholding.ae M-Extend / MANIP Clarion
DOIT sinloc.com interep.com.br
Statefarm.com BF&S Civil Engineers Franktronics, Inc
SKF.com Dee Sign Philippine Health Insurance
Powersportsmarketing.com Credifiel FabricATE Engineering
Taylor University Derrimon Trading The Envelope Works Ltd
cc-gorgesardeche.fr Alps Alpine Ort Harmelin College of Engineering
Rs Logistics Ltd CORTEL Technologies marshallindtech.com
GORDON, MUIR & FOLEY LLP International Joint Commission precisionpractice.com
cciamp.com AdSage Technology Co., Ltd. CLX Logistics
Lutheran Church and Preschool deeroaks.com Agilitas IT Solutions Limited
Templeman Consulting Group Inc Altmann Dental GmbH & Co KG Progressive Leasing
Firmdale Hotels Cmranallolaw.com Pik Rite
Hawaii Health System Wardlaw Claims Service COMECA Group
hamilton-techservices.com Unimarketing Carlo Ditta
aquinas.qld.edu.au Leekes SK Accountants & Tax Consultants
konkconsulting.com My Insurance Broker SPEC Engineering
Piex Group ZILLI Jersey College
Israel Medical Center Florida Department of Veterans' Affairs JSM Group
I Keating Furniture World CITIZEN Key Construction
It4 Solutions Robras First Line Leiblein & Kollegen Steuerberatungsgesellschaft
Ayass BioScience Rea Magnet Wire Liberty Lines
Energy One RTA LoopLoc
FRESH TASTE PRODUCE USA AND ASSOCIATES INC. TSC Reload SPA
Chula Vista Electric (CVE) PASCHAL - Werk G Maier Ananda Temple
Precisely Vucke Omniatel
Kikkerland Design Fuji Seal International Paradise Custom Kitchens
Markentrainer Werbeagentur Glovis America The WorkPlace
Winshuttle Elemetal Professional Moving Company - Mackie Group
Master Interiors Hoteles Xcaret Mexican Government
Bordelon Marine Grupo Boreal Central Trenching
Majestic Spice Lopez & Associates Inc Immanuel Christian School
Infinity Construction Company Auckland Transport Cullum Services
Seymours Araújo e Policastro Advogados Gold Coin Restaurant
Promotrans Retail House Marlboro Township Public School
MINEMAN Systems Delta Group Carmocal
Maxxd Trailers TransTerra Johnson Boiler Works
Marfrig Global Foods Marston Domsel EnCom Polymers
Treadwell, Tamplin & Company, Certified Public Accountants, Madison, GA faithfamilyacademy.org Ambrosini Holding
Flamingo Holland piramidal.com.br Colors Dress
Aria Care Partners commercialfluidpower.com THEATER LEAGUE INC
Cedar Holdings ipsenlogistics.com GI Medical Services
Unimed glat.zapweb.co.il Gordon Law Firm
Cyberport michalovich.co.il Contraband Control Specialists
Lagarde Meregnani motsaot.co.il I&Y Senior Care
Hornsyld Købmandsgaard gsaenz.com.mx EWBizservice
Foroni SPA eljayoil.com Center Township Trustee
Barsco energyinsight.co.za Garlick & Markison
spmblaw.com mehmetceylanyapi.com.tr Double V Construction
godbeylaw.com aeroportlleida.cat Swann's Furniture & Design
wantager.com lamaisonmercier.com Gateseven Media Group
easydentalcare.us neolaser.es Asia Vegetable
quantinuum.com perfectlaw.com Carnelutti Law Firm
laasr.eu milbermakris.com Foundation Professionals of Florida
medcenter-tambov.ru FinDec Acoustic Center
makflix.eu gov.la Siamese Asset
nucleus.live pelicanwoodcliff.com GCserv.com
Mulkay Cardiology Consultants hillsboroughschools.org Orthum Bau
HBME LLC hollandspecial Astro Lighting
Northwave s.r.l. St Margaret's Prep Prestige Care
Barco Uniforms SMWLLC.COM Nordic Security Services
Balcan Steelforce Woody Anderson Ford
Swipe.bg wdgroup.com.my BestPack Packaging
Balmit Bulgaria pvbfabs.com Istituto Prosperius
Knight Barry Title intechims.com Network Pacific Real Estate - Leak
cdwg.com zero-pointorganics.com Astre - Leaked
Levine Bagade Han visitingphysiciansnetwork.com Motel One
cfsigroup.ca pelmorex.com INC RANSOMWARE...
KUITS Solicitors Yusen Logistics MNGI Digestive Health (TIME IS UP)
Wave Hill Hospice of Huntington mclaren health care
Steripharma Yakima Valley Radiology palaciodosleiloes.com.br
co.grant.mn.us haciendazorita.com New data leak. IT company from California
Ford Covesa fi-tech.com solveindustrial.com
Linktera Holon Institute of Technology Garn Mason Orthodontics was hacked. All insurance and personal data of customers was stolen
airelec.bg neuraxpharm.com Belzona UK Ltd
pilini.bg PainCare Andalusia Group
kasida.bg TAOGLAS MNGI Digestive Health
proxy-sale.com Auckland University of Technology C.F. Service and Supply
Core Desktop ruko.de C.F. Service & Supply
Singing River Health System Mole Valley Farmers Kona Equity
Kirby Risk ende.co.ao !!!WARNING!!!
IT-Center Syd Cosal Robuck Homes
Low Keng Huat Unique Engineering Webb Landscape
sd69.org Arail Amanzi Marble & Granite
monaco-technologies.com Stratesys solutions BAMO
UNIVERSAL REALTY GROUP Road Safety Van Eck Transport
Geo Tek Smartfren Telecom Terralogic
hanwha.com DM Civil Kessler Collins
JSS Almonds Hawkins Delafield Wood Plumbase
BRiC Partnership NOVEXCO Wexas
Custom Powder Systems Radley and Co fdf.org.uk
atWork Office Furniture messner.com ezpaybuildings.net
PAUL-ALEXANDRE DOICESCO compass-inc.com rexgroup.co.uk
WACOAL bauscherhepp.com Jacobsen Construction
24/7 Express Logistics constantinecannon.com simmonsequip.com
PetroVietnam Metallic Structures & Erection Joint Stock Company (PVC-MS) Chait Hochschule Furtwangen University
Chambersburg Area School District Gulf American Lines Notel
FOCUS Business Solutions Leoch Battery UTC Overseas
toua.net hwwealth.com Unitex Textile Rental Services
Omniatel Federal Labor Relations Authority Muenz-Engineered Sales
Conselho Superior da Justiça do Trabalho ENTRUST Solutions Group Arazoza Brothers
Kramer Tree Specialists, Inc Spuncast Popovici Niu Stoica & Asociaii
Sebata Holdings (MICROmega Holdings) Bacon Universal Procab
West Craft Manufacturing payrollselectservices.com Hoosier Uplands Economic Development
Trimaran Capital Partners Portesa Oasys Technologies
TORMAX USA Al Ashram Contracting Merced City School District
Specialised Management Services University Obrany Morgan School District
ragasa.com.mx fersan.com.tr Ferguson Wellman
qsoftnet.com Groupe Fructa Partner TORMAX
protosign.it American University of Antigua Brown and Streza
concrejato.com.br Agilitas IT Solutions Limited Bit
meroso.be Gossler, Gobert & Wolters Group. Glassline
nobleweb.com Peacock Bros SydganCorp
gormanusa.com Hacketts printing services CEFCO
onyx-fire.com

表格2. 受害组织/企业


5
 系统安全防护数据分析



360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows Server 2012。

对2023年9月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。

通过观察2023年9月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。


6
 勒索软件关键词



以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

- halo:同360。

- malloxx:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- faust:同devos。

- mkp:同wis。

- mallox:同malloxx。

- eking:同devos。


7
 解密大师



从解密大师本月解密数据看,解密量最大的是Loki,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。


8
 时间线



2023年10月09日 360高级威胁研究分析中心发布通告

9
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部