2023年11月勒索软件流行态势分析

2023-12-07 16:30:20
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2023年11月，全球新增的活跃勒索软件家族有MEOW LEAKS和Lambda，其中MEOW LEAKS家族采用多重勒索方式运营，而Lambda则采用较为传统的加密勒索方式运营。

以下是本月值的关注的部分热点：

1. LockBit勒索软件肆虐网络，多家知名企业中招

2. Cerber新变种L0CK3D勒索软件借助漏洞多平台传播

3. TellYouThePass借助Web服务漏洞卷土重来

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比20%居首位，第二是占比18%的TellYouThePass，TargetCompany(Mallox)家族以12%位居第三。

其中位居第二的TellYouThePass本月再度利用web应用类漏洞进行大范围传播。

需要特别指出的是：虽然并未跻身Top10榜单，但一款名为Lambda的新兴勒索软件于本月首次被检测到在国内活跃。该家族主要针对组织/企业进行攻击，受害者可使用勒索提示信息中的暗网地址和ID,与黑客进行赎金谈判。该家族向受害组织/企业索要价值$2250的比特币(超过72小时将上涨至$8750)，且仅支持比特币交易。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows Server 2012、Linux以及Windows 10。

Linux平台受害者激增且受多个活跃家族影响，需Linux管理员加强漏洞修复与安全管理。

2023年11月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型服务器系统占比远高于桌面系统，偶有NAS平台感染。服务器系统占比超过桌面系统，主要是受到TellYouThePass活跃家族影响，该家族目前主要通过服务器部署的web应用漏洞传播。

勒索软件热点事件

LockBit勒索软件肆虐网络，多家知名企业中招

进入11月，当下主要活跃勒索软件家族之一的LockBit再度肆虐网络，并导致多家国内外知名企业中招。航空航天巨头波音公司也成为了本轮攻击的受害者。波音自称正在调查一场影响其零部件和分销业务的网络攻击，之前LockBit勒索软件团伙便声称他们攻入了该公司的网络系统并窃取到了数据。

波音公司表示此次事件并未影响其飞行安全，并称已经与执法和监管机构合作展开调查。目前，波音的服务网站已关闭，并在页面上展示消息称页面关停是由“技术问题”引起的。

虽然波音公司方面并未证实LockBit的说法，但该团伙在暗网搭建的数据泄露页面已删除了波音的相关数据。而LockBit团伙则在删除数据前表示：“如果波音公司不在最后期限内与团伙联系，便会泄露和发布大量敏感数据。”……“目前为了保护该公司数据，我们不会公布详细列表或样例，但在截止日期之后，我们便不会再有所保留。”

此外，国内某大型跨国公司在美的金融分支机构也受到了本轮LockBit攻击的影响。据英国《金融时报》报道：有市场参与者于11月9日透露中国某公司的金融服务部门遭到勒索软件攻击，这次攻击导致其金融服务公司代理的美国国债结算业务被阻断，一些股票交易也受到影响。另据交易消息人士称：包括对冲基金和资产管理公司在内的市场参与者，因为此次系统中断而被迫改变了交易途径。此次攻击对美国国债市场的流动性产生了一些影响，但并未损害市场的整体运作。以上消息也得到了证券业和金融市场协会的印证。

安全研究组织表示“该公司目前无法连接到DTCC/NSCC系统。该问题正影响其所有清算客户。”由于此次攻击，该公司无法代理其他市场参与者进行美国国债结算交易。

有安全专家表示，这家中国公司的Citrix服务器在周一最后一次上线，并且未针对已被披露的NetScaler安全漏洞（又称“Citrix Bleed”漏洞）进行修补，而该服务器现在已离线。

目前，该公司在国内的母公司回应称，遭受攻击的是其金融服务业务，该业务独立于集团主体业务之外。同时强调总公司及其他境内外关联机构的系统没有受到此次事件的影响，其纽约分部也没有受到影响。

Cerber新变种L0CK3D勒索软件借助漏洞多平台传播

近期，接到大量Linux系统用户反馈，电脑中的文件被勒索软件加密，被加密后的文件后缀均为.L0CK3D。经分析，这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence 数据中心和服务器中的不当授权漏洞进行传播（漏洞编号为CVE-2023-22518）。受该漏洞影响而遭到攻击的平台，覆盖了Linux与Windows等主流服务器操作系统。

根据360安全大脑捕获的攻击信息显示，攻击者会通过该Confluence漏洞调起cmd进程并创建powershell进程来加载攻击载荷。最终，从193.176.179.41服务器上下载Cerber勒索软件的主体功能文件，并将其保存到临时文件夹中，进而命名为svcPrvinit.exe。完成后，附加参数“-b 9”以达到静默执行该进程而不显示窗口的目的。

根据相关数据扫描，目前暴露于互联网中并运行有带漏洞的Confluence服务的设备约有20万台，但受到攻击的数量目前不详。根据以往经验推算被入侵的设备量级目前应该在数千台左右。而国内受影响情况总体来说目前并不严重。

TellYouThePass借助Web服务漏洞卷土重来

一直以来TellYouThePass勒索软件都是借助各类网络服务的漏洞入侵系统后实施勒索攻击。本月TellYouThePass再次借助Apache ActiveMQ服务的关键远程代码执行漏洞发动攻击入侵网络。被利用的漏洞编号为CVE-2023-46604，是由ActiveMQ可扩展开源消息代理中的一个严重错误导致，该漏洞允许未经身份验证的攻击者在存在漏洞的服务器上执行任意Shell命令。

虽然Apache于10月27日便发布了安全更新来修复该漏洞，但依然有网络安全公司发现至少从10月10日起便有攻击者已经开始利用其作为0day漏洞部署远控类恶意软件。而在Apache发布了针对该漏洞的更新补丁后，又有安全机构发现攻击者利用该漏洞部署HelloKitty和TellYouThePass两款勒索软件来加密受害者设备，本轮漏洞攻击也带来了“自Log4Shell 漏洞被曝出后，TellYouThePass活跃量的再度激增”。

此外，TellYouThePass的这一波猛攻同时还利用了国内某安防管理平台的漏洞。其所涉及的漏洞基本可以锁定为该公司部分安防管理平台产品所带有的安全漏洞。这些漏洞均为任意文件上传漏洞。由于这些综合安防管理平台对上传文件接口校验不足，导致攻击者可以利用漏洞将恶意文件上传到平台，并最终获取服务权限或引发服务异常。不过这些漏洞已被该公司于2023年6月进行修复，并发布相关公告对其用户进行安全提示。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表格1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有470个组织/企业遭遇勒索攻击，其中3个中国组织/企业在本月遭遇了双重勒索/多重勒索。另有12个组织/企业未被标明，因此不再以下表格中。

表格2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

对2023年11月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2023年11月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l locked1: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

l locked: 同locked1。

l faust： phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l mkp: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词，本后缀为10月新增变种。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族也曾通过匿影僵尸网络进行传播。

l wis：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。

l eking：同faust。

l mallab：同mallox。

l halo：同360。

解密大师

从解密大师本月解密数据看，解密量最大的是Loki，其次是OpenMeV2。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。