报告编号:CERT-R-2023-510
报告来源:360高级威胁研究分析中心
报告作者:360高级威胁研究分析中心
更新日期:2023-11-07
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2023年10月,全球新增的活跃勒索软件家族有Hunters International、Electronic等家族。其中Hunters International为多重勒索家族,基于Hive勒索病毒家族代码修改演化而来。
以下是本月值得关注的部分热点:
1. 勒索软件攻击正针对未修补漏洞的WS_FTP服务器
2. 亲巴勒斯坦黑客组织声称使用Crucio勒索软件发动攻击
3. Ragnar Locker勒索软件的设备及相关人员被警方查获
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
对本月勒索软件受害者设备所中的病毒家族进行统计:Phobos家族占比26.58%居首位,第二的是占比15.82%的BeiJingCrypt,TargetCompany(Mallox)家族以13.29%位居第三。
其中位居第三的TargetCompany(Mallox),本月新增了以Mallab后缀结尾的新变种。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
2023年10月,被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面系统占比远高于服务器,偶有NAS平台感染。
勒索软件攻击正针对未修补漏洞的WS_FTP服务器
安全研究人员最近发现,自称为Reichsadler的网络犯罪组织试图利用2022年9月被泄露的LockBit 3.0生成器来部署勒索软件,但未成功 。研究人员表示:“勒索软件攻击者利用了最近公开的WS_FTP服务器软件中的漏洞。”尽管Progress Software于2023年9月就发布了针对此漏洞的修复程序,但并非所有服务器都已对其进行修补。
此次监控到的攻击者尝试使用开源的GodPotato工具进行提权操作,该工具允许跨Windows客户端(Windows 8到Windows 11)和服务器(Windows Server 2012到Windows Server 2022)平台提权至“NT AUTHORITY\SYSTEM”账户。幸运的是,从此次攻击的受害系统上看,部署的勒索软件执行失败导致攻击者未能成功加密目标数据。但尽管如此,攻击者仍然要求支付500美元的赎金……
此次攻击所利用的WS_FTP Server漏洞编号为CVE-2023-40044,是由Ad Hoc Transfer Module中的.NET反序列化漏洞引起的。其可以使未 经身份验证的攻击者通过HTTP请求远程在服务器系统中执行命令。而研究人员通过对WS_FTP的分析,发现当前互联网中约有2900台主机正在运行WS_FTP。而这些在线资产大多数属于大型企业、政企单位以及教育机构。
亲巴勒斯坦黑客组织声称使用Crucio勒索软件发动攻击
据安全分析人员透露:一个新兴的名为“所罗门士兵”的亲巴勒斯坦黑客组织近期出现,声称对破坏内瓦蒂姆军事区内50多个服务器、安全摄像头和智能城市管理系统的攻击事件负责。该组织表示,他们使用了一款名为“Crucio”的勒索软件——该软件可能使用了勒索软件即服务(RaaS)功能生成。除此之外,该组织还声称其已从攻击中获取到了高达25TB的数据。
此前,“所罗门士兵”通过电子邮件将此信息发送给几家威胁情报公司,同时为了证明其消息的可信度,该组织还提供了来自受感染的闭路电视系统中的一些视频截图,并通过更改被入侵系统的桌面壁纸来显示他们的存在。
Ragnar Locker勒索软件的设备及相关人员被警方查获
Ragnar Locker勒索软件在Tor网络上的“勒索及数据泄露网站”,于10月19日上午被查获。此次行动是由美国、欧洲、德国、法国、意大利、日本、西班牙、荷兰、捷克共和国和拉脱维亚等多个国际执法机构共同参与的一次联合执法行动。欧洲刑警组织发言人已确认:作为针对Ragnar Locker勒索软件团伙持续行动的一部分,此次扣押了Ragnar Locker组织的服务器设备。
此外,在本次行动中,执法机构还逮捕了一名与勒索软件团伙有关联的恶意软件开发人员。欧洲刑警组织在10月20日表示:“这一恶意勒索软件的‘主要参与者’于10月16日在法国巴黎被捕,行动同时搜查了他在捷克的家。随后几天,共五名嫌疑人在西班牙和拉脱维亚也接受了讯问。”……“目前,涉案的开发者主犯已被带到巴黎司法法院预审法官处等待进一步审理。”
与此同时,乌克兰警方还突袭了基辅另一名犯罪嫌疑人的住所,没收了其笔记本电脑、手机和电子设备。
以下是本月收集到的黑客邮箱信息:
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅涉及未能第一时间缴纳赎金或拒缴纳赎金的情况(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有351个组织/企业遭遇勒索攻击,其中有6个中国组织/企业在本月遭遇了双重勒索/多重勒索。另有2个组织/企业未被标明,因 此不再以下表格中。
| Betton France | Smead | Saint Mark Catholic Church |
|---|---|---|
| Jules B | clearwaterlandscape.com | WEBBER RESTAURANT GROUP |
| VV&A | MGM Resorts International | Pond Security |
| Prodegest Assessors | etsi.uy | SUD TRADING COMPANY |
| marianoshoes.com | American Steel & Aluminum Co., Inc. | ZZColdstores |
| gosslaw.com | Ja Quith | NTT Docomo |
| Arkopharma | East Baking | Nusmiles Hospital |
| DDB Unlimited | carthagehospital.com | Ministry Of Finance (Kuwait) |
| Rick Ramos Law | Fondation Vincent De Paul | Praxis Arndt und Langer |
| Riverside Logistics | EDUCAL, SA de CV | PRETZEL-STOUFFER |
| Estes Design & Manufacturing | EnPOS | J.T. Cullen Co., Inc. |
| Aiphone | Harmonic Accounting | Springer Eubank |
| Newton Media A.S. | Imperador S.R.L | MNGI Digestive Health |
| phms.com.au | Waterford Retirement Residence | epson.es |
| paynesvilleareainsurance.com | Shelly Engineering Metal Work | altmanplants.com |
| SKF.com | RSV Centrale Bvba | SONY.COM |
| Lawsonlundell | Soprovise | Phil-Data Business Systems |
| TissuPath Australia | clearcreek.org | bnm.bg |
| Strata Plan Australia | Dpc & S | mango.bg |
| glprop.com | Carpet One | ebag.bg |
| Barry Plant Real Estate Australia | Elwema Automotive | popolo.bg |
| ramlowstein.com | Tanachira Group | andrews.bg |
| scottpartners.com | Solano-Napa Pet Emergency Clinic | ardes.bg |
| nerolac.com | Morgan Smith Industries LLC | myshoes.bg |
| seasonsdarlingharbour.com.au | Decarie Motors Inc | ecco.bg |
| neolife.com | Financial Services Commission | districtshoes.bg |
| sterncoengineers.com | Accuride | footshop.bg |
| attorneydanwinder.com | SAC Finance | Punto.bg |
| designlink.us | Abbeyfield | arelion.com |
| dasholding.ae | M-Extend / MANIP | Clarion |
| DOIT | sinloc.com | interep.com.br |
| Statefarm.com | BF&S Civil Engineers | Franktronics, Inc |
| SKF.com | Dee Sign | Philippine Health Insurance |
| Powersportsmarketing.com | Credifiel | FabricATE Engineering |
| Taylor University | Derrimon Trading | The Envelope Works Ltd |
| cc-gorgesardeche.fr | Alps Alpine | Ort Harmelin College of Engineering |
| Rs Logistics Ltd | CORTEL Technologies | marshallindtech.com |
| GORDON, MUIR & FOLEY LLP | International Joint Commission | precisionpractice.com |
| cciamp.com | AdSage Technology Co., Ltd. | CLX Logistics |
| Lutheran Church and Preschool | deeroaks.com | Agilitas IT Solutions Limited |
| Templeman Consulting Group Inc | Altmann Dental GmbH & Co KG | Progressive Leasing |
| Firmdale Hotels | Cmranallolaw.com | Pik Rite |
| Hawaii Health System | Wardlaw Claims Service | COMECA Group |
| hamilton-techservices.com | Unimarketing | Carlo Ditta |
| aquinas.qld.edu.au | Leekes | SK Accountants & Tax Consultants |
| konkconsulting.com | My Insurance Broker | SPEC Engineering |
| Piex Group | ZILLI | Jersey College |
| Israel Medical Center | Florida Department of Veterans' Affairs | JSM Group |
| I Keating Furniture World | CITIZEN | Key Construction |
| It4 Solutions Robras | First Line | Leiblein & Kollegen Steuerberatungsgesellschaft |
| Ayass BioScience | Rea Magnet Wire | Liberty Lines |
| Energy One | RTA | LoopLoc |
| FRESH TASTE PRODUCE USA AND ASSOCIATES INC. | TSC | Reload SPA |
| Chula Vista Electric (CVE) | PASCHAL - Werk G Maier | Ananda Temple |
| Precisely | Vucke | Omniatel |
| Kikkerland Design | Fuji Seal International | Paradise Custom Kitchens |
| Markentrainer Werbeagentur | Glovis America | The WorkPlace |
| Winshuttle | Elemetal | Professional Moving Company - Mackie Group |
| Master Interiors | Hoteles Xcaret | Mexican Government |
| Bordelon Marine | Grupo Boreal | Central Trenching |
| Majestic Spice | Lopez & Associates Inc | Immanuel Christian School |
| Infinity Construction Company | Auckland Transport | Cullum Services |
| Seymours | Araújo e Policastro Advogados | Gold Coin Restaurant |
| Promotrans | Retail House | Marlboro Township Public School |
| MINEMAN Systems | Delta Group | Carmocal |
| Maxxd Trailers | TransTerra | Johnson Boiler Works |
| Marfrig Global Foods | Marston Domsel | EnCom Polymers |
| Treadwell, Tamplin & Company, Certified Public Accountants, Madison, GA | faithfamilyacademy.org | Ambrosini Holding |
| Flamingo Holland | piramidal.com.br | Colors Dress |
| Aria Care Partners | commercialfluidpower.com | THEATER LEAGUE INC |
| Cedar Holdings | ipsenlogistics.com | GI Medical Services |
| Unimed | glat.zapweb.co.il | Gordon Law Firm |
| Cyberport | michalovich.co.il | Contraband Control Specialists |
| Lagarde Meregnani | motsaot.co.il | I&Y Senior Care |
| Hornsyld Købmandsgaard | gsaenz.com.mx | EWBizservice |
| Foroni SPA | eljayoil.com | Center Township Trustee |
| Barsco | energyinsight.co.za | Garlick & Markison |
| spmblaw.com | mehmetceylanyapi.com.tr | Double V Construction |
| godbeylaw.com | aeroportlleida.cat | Swann's Furniture & Design |
| wantager.com | lamaisonmercier.com | Gateseven Media Group |
| easydentalcare.us | neolaser.es | Asia Vegetable |
| quantinuum.com | perfectlaw.com | Carnelutti Law Firm |
| laasr.eu | milbermakris.com | Foundation Professionals of Florida |
| medcenter-tambov.ru | FinDec | Acoustic Center |
| makflix.eu | gov.la | Siamese Asset |
| nucleus.live | pelicanwoodcliff.com | GCserv.com |
| Mulkay Cardiology Consultants | hillsboroughschools.org | Orthum Bau |
| HBME LLC | hollandspecial | Astro Lighting |
| Northwave s.r.l. | St Margaret's Prep | Prestige Care |
| Barco Uniforms | SMWLLC.COM | Nordic Security Services |
| Balcan | Steelforce | Woody Anderson Ford |
| Swipe.bg | wdgroup.com.my | BestPack Packaging |
| Balmit Bulgaria | pvbfabs.com | Istituto Prosperius |
| Knight Barry Title | intechims.com | Network Pacific Real Estate - Leak |
| cdwg.com | zero-pointorganics.com | Astre - Leaked |
| Levine Bagade Han | visitingphysiciansnetwork.com | Motel One |
| cfsigroup.ca | pelmorex.com | INC RANSOMWARE... |
| KUITS Solicitors | Yusen Logistics | MNGI Digestive Health (TIME IS UP) |
| Wave Hill | Hospice of Huntington | mclaren health care |
| Steripharma | Yakima Valley Radiology | palaciodosleiloes.com.br |
| co.grant.mn.us | haciendazorita.com | New data leak. IT company from California |
| Ford Covesa | fi-tech.com | solveindustrial.com |
| Linktera | Holon Institute of Technology | Garn Mason Orthodontics was hacked. All insurance and personal data of customers was stolen |
| airelec.bg | neuraxpharm.com | Belzona UK Ltd |
| pilini.bg | PainCare | Andalusia Group |
| kasida.bg | TAOGLAS | MNGI Digestive Health |
| proxy-sale.com | Auckland University of Technology | C.F. Service and Supply |
| Core Desktop | ruko.de | C.F. Service & Supply |
| Singing River Health System | Mole Valley Farmers | Kona Equity |
| Kirby Risk | ende.co.ao | onyx-fire.com |
| IT-Center Syd | Cosal | Robuck Homes |
| Low Keng Huat | Unique Engineering | Webb Landscape |
| sd69.org | Arail | Amanzi Marble & Granite |
| monaco-technologies.com | Stratesys solutions | BAMO |
| UNIVERSAL REALTY GROUP | Road Safety | Van Eck Transport |
| Geo Tek | Smartfren Telecom | Terralogic |
| hanwha.com | DM Civil | Kessler Collins |
| JSS Almonds | Hawkins Delafield Wood | Plumbase |
| BRiC Partnership | NOVEXCO | Wexas |
| Custom Powder Systems | Radley and Co | fdf.org.uk |
| atWork Office Furniture | messner.com | ezpaybuildings.net |
| PAUL-ALEXANDRE DOICESCO | compass-inc.com | rexgroup.co.uk |
| WACOAL | bauscherhepp.com | Jacobsen Construction |
| 24/7 Express Logistics | constantinecannon.com | simmonsequip.com |
| PetroVietnam Metallic Structures & Erection Joint Stock Company (PVC-MS) | Chait | Hochschule Furtwangen University |
| Chambersburg Area School District | Gulf American Lines | Notel |
| FOCUS Business Solutions | Leoch Battery | UTC Overseas |
| toua.net | hwwealth.com | Unitex Textile Rental Services |
| Omniatel | Federal Labor Relations Authority | Muenz-Engineered Sales |
| Conselho Superior da Justiça do Trabalho | ENTRUST Solutions Group | Arazoza Brothers |
| Kramer Tree Specialists, Inc | Spuncast | Popovici Niu Stoica & Asociaii |
| Sebata Holdings (MICROmega Holdings) | Bacon Universal | Procab |
| West Craft Manufacturing | payrollselectservices.com | Hoosier Uplands Economic Development |
| Trimaran Capital Partners | Portesa | Oasys Technologies |
| TORMAX USA | Al Ashram Contracting | Merced City School District |
| Specialised Management Services | University Obrany | Morgan School District |
| ragasa.com.mx | fersan.com.tr | Ferguson Wellman |
| qsoftnet.com | Groupe Fructa Partner | TORMAX |
| protosign.it | American University of Antigua | Brown and Streza |
| concrejato.com.br | Agilitas IT Solutions Limited | CEFCO |
| meroso.be | Gossler, Gobert & Wolters Group. | Glassline |
| nobleweb.com | Peacock Bros | SydganCorp |
| gormanusa.com | Hacketts printing services |
表格2. 受害组织/企业
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows Server 2016。
对2023年10月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2023年10月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
- mallab:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。 主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族曾通过匿影僵尸网络 进行传播。
- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- faust:同devos。
- halo:同360。
- faust:同devos。
- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。
- elbie:同devos。
- carver:同devos。
从解密大师本月解密数据看,解密量最大的是Loki,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
2023年11月07日 360高级威胁研究分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯
如有侵权请联系:admin#unsafe.sh