报告编号:CERT-R-2024-620
报告来源:360高级威胁研究分析中心
报告作者:360高级威胁研究分析中心
更新日期:2024-01-03
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。 2023年12月,全球新增的活跃勒索软件家族有LIVE、DragonForce、Tisak等。其中DragonForce家族采用多重勒索方式运营, Tisak家族 除加密Windows设备外还会攻击ESXI服务器。以下是本月值得关注的部分热点:
1. 美国海军承包商Austal在数据泄露后承认遭受网络攻击
2. Akira勒索软件团伙声称对Nissan澳大利亚的网络攻击负责
3. 育碧表示正在调查有关新安全漏洞的报告
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
针对本月勒索软件受害者设备所中病毒家族进行统计:Makop家族占比21.79%居首位,第二的是占比17.31%的phobos,BeiJingCrypt家族 以14.74%位居第三。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2016。
2023年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型服务器系统占比与桌面系统基本相当。
美国造船公司Austal USA是美国国防部(DoD)和国土安全部(DHS)的承包商,该公司近期证实遭受了网络攻击,并称目前正在调查该事件的影响。该公司总部位于澳大利亚,专门生产高性能铝制容器。其美国子公司Austal USA签订了多项项目合同,其中包括为美国海军建造独立级濒海战斗舰。Austal还拥有一份价值33亿美元的有效合同,为美国海岸警卫队建造11艘巡逻艇。
当地时间12月6日早些时候,Hunters International勒索软件组织声称入侵了Austal USA并泄露了一些信息作为入侵的证据。Austal方面证实了此次攻击的真实性,并表示Austal USA迅速采取行动缓解了这一事件且未对运营造成影响。目前美国联邦调查局(FBI)和海军刑事 调查局(NCIS)在内的监管机构已得到通知并将参与调查事件原因以及所获取信息的范围。Austal USA表示攻击者没有访问或获取到任何个人或机密信息,并称正在与有关当局密切合作,将在了解新信息后继续通知受该事件影响的所有利益相关者。
Hunters International则威胁将在接下来的几天内公布从Austal系统窃取的更多数据,包括合规文件、招聘信息、财务详细信息、认证 和工程数据。
12月22日,Akira勒索软件团伙声称其侵入了日本汽车制造商日产汽车澳大利亚分公司Nissan Australia的内部网络。据Akira称,其从该汽车制造商的系统中窃取了约100GB的文件。攻击者还威胁要在网上泄露敏感的业务和客户数据——因为日产拒绝向其支付赎金。
“他们似乎对这些数据不太感兴趣,所以我们会在几天内公布这些数据。”勒索软件组织表示称,“档案中包含员工个人信息以及许多其他公众会感兴趣的内容,例如保密协议、项目、有关客户与合作伙伴的信息等。”
目前,日产表示仍在调查该事件的影响以及个人信息是否已被访问。同时称公司正致力于恢复受攻击影响的系统,但并未进一步透露更多信息。
育碧称正在调查该公司内部软件和开发工具截图在网上被公布后,相关文件是否也遭受了泄露。公司表示在安全研究团体VX-Underground分享了疑似是该公司内部服务的屏幕截图后,他们正在调查此次涉嫌数据安全的事件,但并未透露更多信息。
而VX-Underground则在推文中表示,一名未知的威胁者称他们已于12月20日入侵了育碧,还称其计划泄露大约900GB的数据。
攻击者声称他们获得了Ubisoft SharePoint服务器、Microsoft Teams、Confluence和MongoDB Atlas面板的访问权限,并分享了他们访问其中一些服务的屏幕截图。虽然此次事件让人联想到育碧公司在2020年遭到Egregor勒索软件团伙攻击的事件,但VX-Underground团队并 未透露攻击者身份,目前也没有勒索软件团伙声称对此次攻击事件负责。
以下是本月收集到的黑客邮箱信息:
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有332个组织/企业遭遇勒索攻击,其中包含中国6个组织/企业在本月遭遇了双重勒索/多重勒索。其中有4个组织/企业未被标明 ,因此不在以下表格中。
Goiasa | chuzefitness.com | Hinsdale School District |
---|---|---|
Keyser Mason Ball | Kauno Technologijos Universitetas | MSD Information technology |
Xerox Corp | Grupo Jose Alves | Independent Recovery Resources, Inc. |
Kenya Airways | Blackstone Valley Community Health Care | Studio MF |
Clearwinds | Richard Harris Personal Injury Law Firm | zailaboratory.com |
contimade.cz | Schoepe Display | ISC Consulting Engineers |
eagersautomotive.com.au | American Transportation | The Glendale Unified School District |
Erbilbil Bilgisayar (You have 72 hours) | Waldner's | pronatindustries.com |
Okada Manilla | Succes Schoonmaak | Colonial Pipeline |
Banco Promerica de la República Dominicana | DYWIDAG-Systems | policia.gob.pe |
krijnen.be | pecofoods.com | Qatar Racing and Equestrian Club |
bellgroup.co.uk | The CM Paula | Graphic Solutions Group Inc (US) |
coop.se | parat-technology.com | livanova.com |
tridon.com.au | Viking Therapeutics | HMW |
Nej Inc | lajollagroup.com | GOLFZON |
americanalarm.com | Zone Soft | aw-lawyers.com |
Northland Mechanical Contractors | Electrical Connections | midlandindustries.com |
gdi.com | navitaspet.com | Travian Games |
bachoco.com.mx | vyera.com | Tcman |
pbssystems.com | hallidays.co.uk | Burton Wire & Cable |
Wesgar Inc. | ATCO Products Inc | Precision Technologies Group Ltd |
CVR Associates | Biomatrix LLC | denave.com |
hoffmanestates.org | rodo.co.uk | Capespan |
Ohio Lottery | E & J Gallo Winery | Becker Furniture World |
EPS.RS | kohlwholesale.com | Payne Hicks Beach |
Aura Engineering, LLC | New York School of Interior Design | Vitro Plus |
FIRST 5 Santa Clara County | www.talbotslaw.co.uk | GVM |
Lake of the Woods County | CTS.CO.UK | Planbox |
Ultra Intelligence & Communications | www.fenwickelliott.com | bluewaterstt.com |
richmont.edu | DSG-US.COM | omegapainclinic.com |
coaxis.com | Insidesource | AG Consulting Engineering |
Kellett & Bartholow PLLC | hebeler.com | Greater Richmond Transit |
Bayer Heritage Federal Credit Union | Nexiga | Kuriyama of America |
smbw.com.au | Fred Hutchinson Cancer Research Center | AMCO Proteins |
Flash Motors | Spaulding Clinical | SML Group |
Tshwane University of Technology | Heart of Texas Region MHMR | stormtech |
Abdali Hospital | PCTEL | Garda |
Blaine County Schools | Agl Welding Supply | Tri-city Medical Center |
PC Market | Grayhill | Tasteful Selections |
International Electronic Machines Corp | Leedarson Lighting | Ware Manufacturing |
hendelsinc.com | Coca-Cola Singapore | Neurology Center of Nevada |
co.pickens.sc.us | Shorts | CIE Automotive |
walkro.eu | World Emblem International | National Nail Corp |
ontariopork.on.ca | The GBUAHN | citizenswv.com |
coastalplainsctr.org | Baden | directradiology.com |
zrvp.ro | Dafiti Argentina | bpce.com |
tecnifibre.com | Lunacon Construction Group | signiflow.com |
Davis Cedillo and Mendoza Inc | Tglt | usherbrooke.ca |
Prefeitura Municipal de Itabira | Seven Seas | hopto.com |
bkf-fleuren.de | Decina | Visan |
avescorent.ch | Cooper Research Technology | Tryax Realty Management |
Bay Orthopedic & Rehabilitation Supply | Greater Cincinnati Behavioral Health | Deutsche Energie-Agentur |
zurcherodioraven.com | goldwind.com | Campbell County Schools |
quakerwindows.com | converzemedia.com | Compass Group Italia |
castores.com.mx | spiritleatherworks.com | Aqualectra Holdings |
VF Corporation | bemes.com | Acero Engineering |
csmsa.com.ar | Chaney, Couch, Callaway, Carter & Associates Family Dentistry | syrtech.com |
ciasc.mx | Commonwealth Capital | labelians.fr |
whafh.com | Greenbox Loans Inc. | polyclinique-cotentin.com |
hotelplan.co.uk | Hyman Hayes Associates | fpz.com |
Nissan Australia | mcs360.com | ACCU Reference Medical Lab |
xeinadin.com | JV Driver | Sagent |
igs-inc.com | grandrapidswomenshealth.com | Lischkoff and Pitts, P.C. |
sterlinghomes.com.au | pcli.com | SMG Confrere |
esepac.com | austen-it.com | Calgary TELUS Convention Centre |
fager-mcgee.com | dawsongroup.co.uk | astley. |
denford.co.uk | ccadm.org | TraCS Florida FSU |
goldenc.com | Advantage Group International | laprensani.com |
Trabzon Akabat University | altezze.com.mx | aldoshoes.com |
Rajamangala University of Technology | thirdstreetbrewhouse.com | mapc.org |
Inwi | carolinabeveragegroup.com | skalar.com |
VietNam Electricity (EVN) | Tulane University | ussignandmill.com |
Zewail City | Dameron Hospital | hnncsb.org |
Comtrade | agy.com | elsewedyelectric.com |
DELPHINUS.COM | alexander-dennis.com | mirle.com.tw |
ACE Air Cargo | Dillard Door & Security | ychlccsc.edu.hk |
Kinetic Leasing | cms.law | restargp.com |
Owen Quilty Professional | SBK Real Estate | CLATSKANIEPUD |
Jon Richard | CACG | Akumin |
Concept Data | VAC-U-MAX | Bowden Barlow Law PA |
Packaging Solutions | Hawkins Sales | Rosens Diversified Inc |
Bladen County Public Library | William Jackson Food Group | Gaido-fintzen.com |
smudlers.com | Groupe PROMOBE | Henry County Schools |
Yakult Australia | Soethoudt metaalbewerking b.v. | fps.com |
Unite Here | REUS MOBILITAT I SERVEIS | Full access to the school network USA |
dbmgroup.com | Tim Davies Landscaping | Agamatrix |
wkw-group.com | King Aerospace, Inc. | CMS Communications |
Di Martino Group | GlobalSpec | Great Lakes Technologies |
Rockford Gastroenterology Associates | dena.de | Midea Carrier |
HALLIDAYS GROUP LIMITED | bboed.org | nlt.com |
Die Unfallkasse Thüringen | SmartWave Technologies | Getrix |
NIDEC GPM GmbH | rpassoc.com | Evnhcmc |
hunterbuildings.com | shareharris.com | UF Resources |
larlyn.com | woodruffenterprises.com | Nida Corp |
des-igngroup.com | Mitrani Caballero Ojam & Ruiz Moreno - Abogados | NCCU.EDU |
dobsystems.com | The Teaching Company, LLC | Bern Hotels & Resorts |
Navigation Financial Group | Memorial Sloan Kettering Cancer Center | Tipalti |
Air Sino-Euro Associates Travel Pte. Ltd | airtechthelong.com.vn | Roblox |
udhaiyamdhall.com | kitahirosima.jp | Lisa Mayer CA, Professional Corporation |
LCGB | tradewindscorp-insbrok.com | royaleinternational.com |
CETEC Ingénierie | petrotec.com.qa | inseinc.com |
The International School of Management | Holding Slovenske elektarne | HTC Global Services |
Employ Milwaukee | Insomniac Games | Dörr Group |
Horizon Pool & Spa | greenbriersportingclub.com | IRC Engineering |
socadis | phillipsglobal.us | Jerry Pate Energy |
Davis Cedillo & Mendoza Inc | Azienda USL di Modena | Austal USA |
WELBRO Building Corporation | r-ab.de | St. Johns River Water Management District |
RCSB PDB | ipp-sa.com | Iptor |
mtsd-vt.org | igt.nl | Centroedile Milano |
brintons.co.uk |
表格2. 受害组织/企业
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows 10。
对2023年12月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2023年12月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令与数据库弱口令成功后手动投毒。
- faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。
- mkp: 同wis。
- halo:同360。
- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。 主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网 络进行传播。
- Live:属于Live勒索软件家族,由于被加密文件后缀会被修改为live而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- locked1: 同locked。
- blackbit: 属于Loki勒索软件家族的分支变种,由于被加密文件后缀会被修改为blackbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。
2024年01月03日 360高级威胁研究分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯