2023年10月勒索软件流行态势分析

原创
2023/11/07 18:41
阅读数 33


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-510

报告来源:360高级威胁研究分析中心

报告作者:360高级威胁研究分析中心

更新日期:2023-11-07


1
 简述



勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2023年10月,全球新增的活跃勒索软件家族有Hunters International、Electronic等家族。其中Hunters International为多重勒索家族,基于Hive勒索病毒家族代码修改演化而来。

以下是本月值得关注的部分热点:

1. 勒索软件攻击正针对未修补漏洞的WS_FTP服务器

2. 亲巴勒斯坦黑客组织声称使用Crucio勒索软件发动攻击

3. Ragnar Locker勒索软件的设备及相关人员被警方查获

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。


2
 感染数据分析



对本月勒索软件受害者设备所中的病毒家族进行统计:Phobos家族占比26.58%居首位,第二的是占比15.82%的BeiJingCrypt,TargetCompany(Mallox)家族以13.29%位居第三。

其中位居第三的TargetCompany(Mallox),本月新增了以Mallab后缀结尾的新变种。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。

2023年10月,被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面系统占比远高于服务器,偶有NAS平台感染。


3
 勒索软件热点事件



勒索软件攻击正针对未修补漏洞的WS_FTP服务器

安全研究人员最近发现,自称为Reichsadler的网络犯罪组织试图利用2022年9月被泄露的LockBit 3.0生成器来部署勒索软件,但未成功 。研究人员表示:“勒索软件攻击者利用了最近公开的WS_FTP服务器软件中的漏洞。”尽管Progress Software于2023年9月就发布了针对此漏洞的修复程序,但并非所有服务器都已对其进行修补。

此次监控到的攻击者尝试使用开源的GodPotato工具进行提权操作,该工具允许跨Windows客户端(Windows 8到Windows 11)和服务器(Windows Server 2012到Windows Server 2022)平台提权至“NT AUTHORITY\SYSTEM”账户。幸运的是,从此次攻击的受害系统上看,部署的勒索软件执行失败导致攻击者未能成功加密目标数据。但尽管如此,攻击者仍然要求支付500美元的赎金……

此次攻击所利用的WS_FTP Server漏洞编号为CVE-2023-40044,是由Ad Hoc Transfer Module中的.NET反序列化漏洞引起的。其可以使未 经身份验证的攻击者通过HTTP请求远程在服务器系统中执行命令。而研究人员通过对WS_FTP的分析,发现当前互联网中约有2900台主机正在运行WS_FTP。而这些在线资产大多数属于大型企业、政企单位以及教育机构。

亲巴勒斯坦黑客组织声称使用Crucio勒索软件发动攻击

据安全分析人员透露:一个新兴的名为“所罗门士兵”的亲巴勒斯坦黑客组织近期出现,声称对破坏内瓦蒂姆军事区内50多个服务器、安全摄像头和智能城市管理系统的攻击事件负责。该组织表示,他们使用了一款名为“Crucio”的勒索软件——该软件可能使用了勒索软件即服务(RaaS)功能生成。除此之外,该组织还声称其已从攻击中获取到了高达25TB的数据。

此前,“所罗门士兵”通过电子邮件将此信息发送给几家威胁情报公司,同时为了证明其消息的可信度,该组织还提供了来自受感染的闭路电视系统中的一些视频截图,并通过更改被入侵系统的桌面壁纸来显示他们的存在。

Ragnar Locker勒索软件的设备及相关人员被警方查获

Ragnar Locker勒索软件在Tor网络上的“勒索及数据泄露网站”,于10月19日上午被查获。此次行动是由美国、欧洲、德国、法国、意大利、日本、西班牙、荷兰、捷克共和国和拉脱维亚等多个国际执法机构共同参与的一次联合执法行动。欧洲刑警组织发言人已确认:作为针对Ragnar Locker勒索软件团伙持续行动的一部分,此次扣押了Ragnar Locker组织的服务器设备。

此外,在本次行动中,执法机构还逮捕了一名与勒索软件团伙有关联的恶意软件开发人员。欧洲刑警组织在10月20日表示:“这一恶意勒索软件的‘主要参与者’于10月16日在法国巴黎被捕,行动同时搜查了他在捷克的家。随后几天,共五名嫌疑人在西班牙和拉脱维亚也接受了讯问。”……“目前,涉案的开发者主犯已被带到巴黎司法法院预审法官处等待进一步审理。”

与此同时,乌克兰警方还突袭了基辅另一名犯罪嫌疑人的住所,没收了其笔记本电脑、手机和电子设备。


4
 黑客信息披露



以下是本月收集到的黑客邮箱信息:

ai.sarah@techmail.info Encryptedd@mailfence.com pipikaki@onionmail.org
ai_sarah@keemail.me ghzsr@onionmail.org Plessys@proton.me
aisara@cock.lu ghzsr@onionmail.org pmmx@techmail.info
aisara@confidential.life goldenapple120pere@gmail.com ragnarok@cyberfear.com
Blackdream01@skiff.com Goodmorningfriends@messagesafe.co receivertes@cock.li
Blackdream01@zohomail.eu Goodmorningfriends@onionmail.org receivertes@tutanota.com
brazil-sulin@tutanota.com Goodmorningfriends@thesecure.biz reopenran2023@firemail.de
bricesupp@onionmail.org help.file@zohomail.eu restaurera@rbox.co
bruttinezubrise2@gmx.de help.web@gmx.com rxyyno@gmail.com
c2y@startmail.com ithelp08@securitymy.name servicehelp@onionmail.org
chaosdepartment@tutanota.com ithelp08@yousheltered.com sir.luke.stevens@gmail.com
contactme@msgden.net itlab@cyberfear.com spicy@onionmail.com
crypt_group@outlook.com itsecurity@cyberfear.com spicy01@onionmail.com
datahelp23@msgsafe.io itsevilcorp90@hotmail.com SULINFORMATICA@proton.me
datasecurity@cock.li itweb@techmail.info Supp@firemail.de
Decipher@mailfence.com Jarjets18@onionmail.org support1@ranfas.com
decoderdata@onionmail.org Jarjets18@skiff.com support2@contonta.com
desm4578@rambler.ru keybranch@mailfence.com support890@onionmail.org
DeXret@proton.me keychain@onionmail.org support8951@onionmail.org
digitalbro@msgsafe.io malluma@beeble.com Targetchamin@gmail.com
drhelper4@gmail.com Merlin@cyberfear.com Tta450043@gmail.com
e093d75c25d0637a86589c1b3c4fca35 Merlin@onionmail.org uncrypthelp@yahoo.com
earthgrass1@protonmail.com Merlin@outlookpro.net wholekey@mailfence.com
enc0@dr.com midostuff@protonmail.com zinok19899@cock.li
enc1@usa.com msy85689@rambler.ru zinok19899@tuta.io
Encrypted@proxy.tg paymoney@onionmail.org zxcvb@onionmail.com

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅涉及未能第一时间缴纳赎金或拒缴纳赎金的情况(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有351个组织/企业遭遇勒索攻击,其中有6个中国组织/企业在本月遭遇了双重勒索/多重勒索。另有2个组织/企业未被标明,因 此不再以下表格中。

Betton France Smead Saint Mark Catholic Church
Jules B clearwaterlandscape.com WEBBER RESTAURANT GROUP
VV&A MGM Resorts International Pond Security
Prodegest Assessors etsi.uy SUD TRADING COMPANY
marianoshoes.com American Steel & Aluminum Co., Inc. ZZColdstores
gosslaw.com Ja Quith NTT Docomo
Arkopharma East Baking Nusmiles Hospital
DDB Unlimited carthagehospital.com Ministry Of Finance (Kuwait)
Rick Ramos Law Fondation Vincent De Paul Praxis Arndt und Langer
Riverside Logistics EDUCAL, SA de CV PRETZEL-STOUFFER
Estes Design & Manufacturing EnPOS J.T. Cullen Co., Inc.
Aiphone Harmonic Accounting Springer Eubank
Newton Media A.S. Imperador S.R.L MNGI Digestive Health
phms.com.au Waterford Retirement Residence epson.es
paynesvilleareainsurance.com Shelly Engineering Metal Work altmanplants.com
SKF.com RSV Centrale Bvba SONY.COM
Lawsonlundell Soprovise Phil-Data Business Systems
TissuPath Australia clearcreek.org bnm.bg
Strata Plan Australia Dpc & S mango.bg
glprop.com Carpet One ebag.bg
Barry Plant Real Estate Australia Elwema Automotive popolo.bg
ramlowstein.com Tanachira Group andrews.bg
scottpartners.com Solano-Napa Pet Emergency Clinic ardes.bg
nerolac.com Morgan Smith Industries LLC myshoes.bg
seasonsdarlingharbour.com.au Decarie Motors Inc ecco.bg
neolife.com Financial Services Commission districtshoes.bg
sterncoengineers.com Accuride footshop.bg
attorneydanwinder.com SAC Finance Punto.bg
designlink.us Abbeyfield arelion.com
dasholding.ae M-Extend / MANIP Clarion
DOIT sinloc.com interep.com.br
Statefarm.com BF&S Civil Engineers Franktronics, Inc
SKF.com Dee Sign Philippine Health Insurance
Powersportsmarketing.com Credifiel FabricATE Engineering
Taylor University Derrimon Trading The Envelope Works Ltd
cc-gorgesardeche.fr Alps Alpine Ort Harmelin College of Engineering
Rs Logistics Ltd CORTEL Technologies marshallindtech.com
GORDON, MUIR & FOLEY LLP International Joint Commission precisionpractice.com
cciamp.com AdSage Technology Co., Ltd. CLX Logistics
Lutheran Church and Preschool deeroaks.com Agilitas IT Solutions Limited
Templeman Consulting Group Inc Altmann Dental GmbH & Co KG Progressive Leasing
Firmdale Hotels Cmranallolaw.com Pik Rite
Hawaii Health System Wardlaw Claims Service COMECA Group
hamilton-techservices.com Unimarketing Carlo Ditta
aquinas.qld.edu.au Leekes SK Accountants & Tax Consultants
konkconsulting.com My Insurance Broker SPEC Engineering
Piex Group ZILLI Jersey College
Israel Medical Center Florida Department of Veterans' Affairs JSM Group
I Keating Furniture World CITIZEN Key Construction
It4 Solutions Robras First Line Leiblein & Kollegen Steuerberatungsgesellschaft
Ayass BioScience Rea Magnet Wire Liberty Lines
Energy One RTA LoopLoc
FRESH TASTE PRODUCE USA AND ASSOCIATES INC. TSC Reload SPA
Chula Vista Electric (CVE) PASCHAL - Werk G Maier Ananda Temple
Precisely Vucke Omniatel
Kikkerland Design Fuji Seal International Paradise Custom Kitchens
Markentrainer Werbeagentur Glovis America The WorkPlace
Winshuttle Elemetal Professional Moving Company - Mackie Group
Master Interiors Hoteles Xcaret Mexican Government
Bordelon Marine Grupo Boreal Central Trenching
Majestic Spice Lopez & Associates Inc Immanuel Christian School
Infinity Construction Company Auckland Transport Cullum Services
Seymours Araújo e Policastro Advogados Gold Coin Restaurant
Promotrans Retail House Marlboro Township Public School
MINEMAN Systems Delta Group Carmocal
Maxxd Trailers TransTerra Johnson Boiler Works
Marfrig Global Foods Marston Domsel EnCom Polymers
Treadwell, Tamplin & Company, Certified Public Accountants, Madison, GA faithfamilyacademy.org Ambrosini Holding
Flamingo Holland piramidal.com.br Colors Dress
Aria Care Partners commercialfluidpower.com THEATER LEAGUE INC
Cedar Holdings ipsenlogistics.com GI Medical Services
Unimed glat.zapweb.co.il Gordon Law Firm
Cyberport michalovich.co.il Contraband Control Specialists
Lagarde Meregnani motsaot.co.il I&Y Senior Care
Hornsyld Købmandsgaard gsaenz.com.mx EWBizservice
Foroni SPA eljayoil.com Center Township Trustee
Barsco energyinsight.co.za Garlick & Markison
spmblaw.com mehmetceylanyapi.com.tr Double V Construction
godbeylaw.com aeroportlleida.cat Swann's Furniture & Design
wantager.com lamaisonmercier.com Gateseven Media Group
easydentalcare.us neolaser.es Asia Vegetable
quantinuum.com perfectlaw.com Carnelutti Law Firm
laasr.eu milbermakris.com Foundation Professionals of Florida
medcenter-tambov.ru FinDec Acoustic Center
makflix.eu gov.la Siamese Asset
nucleus.live pelicanwoodcliff.com GCserv.com
Mulkay Cardiology Consultants hillsboroughschools.org Orthum Bau
HBME LLC hollandspecial Astro Lighting
Northwave s.r.l. St Margaret's Prep Prestige Care
Barco Uniforms SMWLLC.COM Nordic Security Services
Balcan Steelforce Woody Anderson Ford
Swipe.bg wdgroup.com.my BestPack Packaging
Balmit Bulgaria pvbfabs.com Istituto Prosperius
Knight Barry Title intechims.com Network Pacific Real Estate - Leak
cdwg.com zero-pointorganics.com Astre - Leaked
Levine Bagade Han visitingphysiciansnetwork.com Motel One
cfsigroup.ca pelmorex.com INC RANSOMWARE...
KUITS Solicitors Yusen Logistics MNGI Digestive Health (TIME IS UP)
Wave Hill Hospice of Huntington mclaren health care
Steripharma Yakima Valley Radiology palaciodosleiloes.com.br
co.grant.mn.us haciendazorita.com New data leak. IT company from California
Ford Covesa fi-tech.com solveindustrial.com
Linktera Holon Institute of Technology Garn Mason Orthodontics was hacked. All insurance and personal data of customers was stolen
airelec.bg neuraxpharm.com Belzona UK Ltd
pilini.bg PainCare Andalusia Group
kasida.bg TAOGLAS MNGI Digestive Health
proxy-sale.com Auckland University of Technology C.F. Service and Supply
Core Desktop ruko.de C.F. Service & Supply
Singing River Health System Mole Valley Farmers Kona Equity
Kirby Risk ende.co.ao onyx-fire.com
IT-Center Syd Cosal Robuck Homes
Low Keng Huat Unique Engineering Webb Landscape
sd69.org Arail Amanzi Marble & Granite
monaco-technologies.com Stratesys solutions BAMO
UNIVERSAL REALTY GROUP Road Safety Van Eck Transport
Geo Tek Smartfren Telecom Terralogic
hanwha.com DM Civil Kessler Collins
JSS Almonds Hawkins Delafield Wood Plumbase
BRiC Partnership NOVEXCO Wexas
Custom Powder Systems Radley and Co fdf.org.uk
atWork Office Furniture messner.com ezpaybuildings.net
PAUL-ALEXANDRE DOICESCO compass-inc.com rexgroup.co.uk
WACOAL bauscherhepp.com Jacobsen Construction
24/7 Express Logistics constantinecannon.com simmonsequip.com
PetroVietnam Metallic Structures & Erection Joint Stock Company (PVC-MS) Chait Hochschule Furtwangen University
Chambersburg Area School District Gulf American Lines Notel
FOCUS Business Solutions Leoch Battery UTC Overseas
toua.net hwwealth.com Unitex Textile Rental Services
Omniatel Federal Labor Relations Authority Muenz-Engineered Sales
Conselho Superior da Justiça do Trabalho ENTRUST Solutions Group Arazoza Brothers
Kramer Tree Specialists, Inc Spuncast Popovici Niu Stoica & Asociaii
Sebata Holdings (MICROmega Holdings) Bacon Universal Procab
West Craft Manufacturing payrollselectservices.com Hoosier Uplands Economic Development
Trimaran Capital Partners Portesa Oasys Technologies
TORMAX USA Al Ashram Contracting Merced City School District
Specialised Management Services University Obrany Morgan School District
ragasa.com.mx fersan.com.tr Ferguson Wellman
qsoftnet.com Groupe Fructa Partner TORMAX
protosign.it American University of Antigua Brown and Streza
concrejato.com.br Agilitas IT Solutions Limited CEFCO
meroso.be Gossler, Gobert & Wolters Group. Glassline
nobleweb.com Peacock Bros SydganCorp
gormanusa.com Hacketts printing services

表格2. 受害组织/企业


5
 系统安全防护数据分析



360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows Server 2016。

对2023年10月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2023年10月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。


6
 勒索软件关键词



以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- mallab:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。 主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族曾通过匿影僵尸网络 进行传播。

- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- faust:同devos。

- halo:同360。

- faust:同devos。

- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- elbie:同devos。

- carver:同devos。


7
 解密大师



从解密大师本月解密数据看,解密量最大的是Loki,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。


8
 时间线



2023年11月07日 360高级威胁研究分析中心发布通告


9
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部