2024年4月勒索软件流行态势分析

2024-05-09 17:47:19
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年4月，全球新增的双重勒索软件家族有EMBARGO、Space Bears、Qiulong、DarkVault、dAn0n、Dispossessor、APT73、HelloGookie。国内的新增的勒索软件家族有Wormhole与wuibei。前者在国内通过第三方软件漏洞进行广泛传播，后者则通过钓鱼邮件利用人们的猎奇心理进行传播。

本月老牌勒索软件TargetCompany（Mallox）家族后缀为rmallox的变种，在攻击方式上增加了对国内各主流第三方软件web漏洞的利用。

以下是本月值得关注的部分热点：

1. Web漏洞利用攻击逐渐成为国内勒索软件主流攻击方式

2. 托管公司的VMware ESXi服务器遭新型SEXi勒索软件攻击

3. 芯片制造商安世在遭勒索软件公布数据后确认数据泄露

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Makop家族占比22.83%居首位，第二的是TargetCompany(Mallox)占比20.55%，phobos家族以19.18%位居第三。

图1. 2024年4月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

图2. 2024年4月勒索软件感染操作系统占比

2024年4月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器为主流平台，Nas平台持续有勒索软件攻击检出。

图3. 2024年4月勒索软件感染操作系统类型占比

勒索软件热点事件

Web漏洞利用攻击逐渐成为国内勒索软件主流攻击方式

本月老牌勒索软件TargetCompany（Mallox）家族以及国内新增的Wormhole勒索软件家族均开始采用Web漏洞利用方式进行传播。此前该方式长期曾被TellYouThePass家族频繁采用，预示着自4月起国内不同的勒索团伙间也开始在相同的攻击渠道入口“卷”起来了。

以下是360安全大脑监控到的Wormhole家族利用Web漏洞入侵攻击现场命令行快照

图4. Wormhole勒索软件入侵现场快照

漏洞利用类勒索病毒异常活跃，典型攻击目标包括：瑞友天翼、恩软EnterCRM、亿赛通电子文档管理系统、金蝶K3Cloud、金蝶星空云、海康威视IVMS、用友时空KSOA、用友U8、用友时空CCERP、用友时空CDM、速达天耀、泛微OA、致远OA、通达OA、泛微E-Office、畅捷通T+、IBM WebSphere，攻击方法均为Web应用服务漏洞。建议使用上述产品的用户尽快更新产品补丁至最新版。

托管公司的VMware ESXi服务器遭新型SEXi勒索软件攻击

4月1日，PowerHost的智利分公司IxMetro警告客户，该公司在周六早上遭遇了勒索软件攻击，该公司的一些VMware ESXi服务器被加密，这些服务器用于为客户托管虚拟专用服务器。由于该公司试图从备份中恢复数以TB的数据，在这些服务器上托管网站或服务的客户目前处于关闭状态。而由于备份也被加密，所以这些服务器中的数据可能无法恢复。

发动此次攻击的勒索软件团伙要求每个受害者支付2BTC，而PowerHost的首席执行官表示，按照遭攻击的设备估算这相当于1.4亿美元。

根据第三方安全研究员的说法， PowerHost是遭到了一款新型勒索软件的攻击。该勒索软件给被加密文件添加了.SEXi扩展名，并释放名为SEXi.txt的勒索信息文件。到目前为止，已知该攻击者发起的攻击只针对VMWare ESXi服务器，因此勒索软件选择了“SEXi”这个名字。而勒索软件本身的功能则较为常规：加密文件及备份，并通知受害者索要赎金。

虽然目前尚未找到SEXi勒索软件的样本，但据分析人员推断该变种可能使用了Babuk勒索软件泄露出的源代码，许多勒索软件团伙都使用了该源代码来创建ESXi加密器。此外，目前也不清楚攻击者是否会通过数据泄露网站窃取数据来勒索公司进行双重勒索攻击。

芯片制造商安世在遭勒索软件公布数据后确认数据泄露

荷兰芯片制造商Nexperia是中国公司闻泰科技的子公司。在4月12日的新闻声明中，该公司披露了其在3月份因遭到勒索攻击而迫使其关闭了IT系统并启动调查以确定影响范围。目前勒索软件团伙已泄露了涉嫌被盗数据的样本。Nexperia方面表示已向荷兰警方和数据保护机构报告了这一事件，并与FoxIT签约以寻求调查方面的协助。

4月10日，勒索网站Dunghill Leak宣布入侵了Nexperia，并声称窃取了1TB的机密数据，同时也发布了据称是被盗文件的样本作为证据。攻击者发布了电子元件、员工护照、保密协议和各种其他样本的扫描图像，但这些样本的真实性尚未得到Nexperia方面的证实。

Dunghill声称，若不支付赎金，他们计划泄露以下数据：

l 371GB的设计和产品数据。包括：QC、NDAs、商业秘密、技术规格、机密原理图和生产说明；

l 246GB的工程数据。包括：内部研究和制造技术；

l 96GB的商业和营销数据。包括：定价和营销分析；

l 41.5GB的公司数据。包括：HR、员工个人详细信息、护照、保密协议等；

l 109GB的客户和用户数据。包括：SpaceX、IBM、Apple和华为等品牌；

l 121.1 GB的各种文件和杂项数据。包括：电子邮件存储文件。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表格1. 2024年4月用于勒索的黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图5. 2024年4月双/多重勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有383个组织/企业遭遇勒索攻击，其中包含中国1个组织/企业在本月遭遇了双重勒索/多重勒索。其中有9个组织/企业未被标明，因此不在以下表格中。

表2. 2024年4月统计受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图6. 2024年4月受到入侵的各系统占比

对2024年4月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图7. 2024年4月受到入侵的地区占比

通过观察2024年4月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图8. 2024年4月RDP入侵量

图9. 2024年4月MS SQL入侵量

图10. 2024年4月MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l rmallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，本月起增加漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

l svh: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

l mkp：同svh。

l faust： phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

l halo：同360。

l mallox：同rmallox。

l devos 同faust。

l eblie：同faust。

图11. 2024年4月勒索软件搜索引擎搜索量Top10

解密大师

从解密大师本月解密数据看，解密量最大的是Loki其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。

图12. 2024年4月解密大师解密量