2024年1月勒索软件流行态势分析
2024-2-4 18:0:41 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏

赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2024-681

报告来源:360高级威胁研究分析中心

报告作者:360高级威胁研究分析中心

更新日期:2024-02-04

1
 简述

勒索软件传播至今,360反勒索服务已累计接收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升 ,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安 全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。2024年1月,全球新增的活跃勒索软件家族有0mega、USDLocker、TOLKONEPERDITE等。其中0mega家族采用多重勒索方式运营。以下是本月值得关注的部分热点:

1. 能源巨头施耐德电气遭Cactus勒索软件攻击

2. Tietoevry勒索软件攻击导致瑞典企业和城市停电

3. 中国凉茶品牌加多宝遭遇LockBit勒索软件攻击

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

2
 感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:phobos家族占比20.77%居首位,第二的是占比14.75%的Makop,TargetCompany(Mallox)家族以13.11%位居第三。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。

2024年1月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC比服务器系统略高一些。

3
 勒索软件热点事件

能源巨头施耐德电气遭Cactus勒索软件攻击

据知情人士透露,法国能源业巨头施耐德电气遭到了Cactus勒索软件攻击,导致公司数据被盗。据悉勒索软件攻击开始于1月17日,而遭 到攻击的是该公司的可持续发展业务部门。本次攻击扰乱了施耐德电气的部分资源顾问云平台,这些平台至今仍处于中断状态。

据报道,勒索软件团伙在网络攻击期间窃取了以TB计的公司数据,并以此威胁该公司。虽然尚不清楚被盗数据的类型,但可持续发展业务部门为企业组织提供咨询服务就可再生能源解决方案提供建议并帮助他们满足全球公司复杂的气候监管要求,所以被盗数据可能包含有关客户用电、工业控制和自动化系统以及环境和能源法规合规性的敏感信息。

目前尚不清楚施耐德电气是否会支付赎金,但该公司在声明中证实其可持续发展业务部门确实遭受了网络攻击,并且确认攻击者获取到了内部数据。不过该公司同时也表示此次攻击仅限于该部门,并未影响公司其他部门。

Tietoevry勒索软件攻击导致瑞典企业和城市停电

芬兰IT服务和企业云托管提供商Tietoevry在1月21日证实,其在19日晚上到20日早上受到Akira勒索软件攻击,此次攻击影响了他们位于 瑞典的一个数据中心。Tietoevry立即隔离了受影响的平台,勒索软件攻击并未影响公司基础设施的其他部分。而该数据中心用于该公司 的企业管理云托管服务,此次事件导致瑞典多个客户出现服务中断。

该公司表示他们正在恢复基础设施和服务,但客户在服务器恢复上线时仍然受到影响。而据报道,此次攻击对该公司的虚拟化和管理服务器进行了加密,这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院Filmstaden已确认他们受到了此次攻击的影响,因此无法通过网站或移动应用程序在线购买电影票。此外,折扣零售连锁店Rusta、原材料供应商Moelven和农业供应商Grangnården也 受到了影响。这次中断还影响了Tietoevry的薪资和人力资源管理系统Primula,该系统被瑞典政府、大学和学院广泛使用。该国受影响的大学和学院包括卡罗林斯卡学院、SLU、西大学、斯德哥尔摩大学、隆德大学和马尔默大学。

Primula所受到的攻击还影响了瑞典的众多政府机构和市政当局,包括Statens服务中心、Vellinge市和乌普萨拉县。对于乌普萨拉来说,系统的终端还影响了该地区的医疗保健记录系统。

中国凉茶品牌加多宝遭遇LockBit勒索软件攻击

Lockbit勒索组织在2024年1月12日发布了加多宝集团的勒索信息,并于2024年1月26日公开了发布了他们窃取到的460GB数据。

从勒索组织发布的数据示例截图看,相关数据涉及各类财务信息、供应商信息、员工劳动合同等。

4
 黑客信息披露

以下是本月收集到的黑客邮箱信息:

[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
Write here [email protected][email protected][email protected]
reserve [email protected][email protected][email protected]
jabber [email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected]

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有286个组织/企业遭遇勒索攻击,其中包含中国1个组织/企业在本月遭遇了双重勒索/多重勒索。其中有1个组织/企业未被标明 ,因此不在以下表格中。

Aspiration TrainingNorth Hillmnorch.org
apeagers.auderrama.org.peGalaxy Fireworks, Inc
SportsMEDIA TechnologyLeClair GroupHydraflow
SefinAusaGenesis Motors
CMG Drainage EngineeringDaher ContractingElliott Wave International
VVD Elettrotecnica SrlBasin Trucking and Oilfield Services LLCNbbl
Meag Va-system ABS茅quanoGeographe
Diamond Technical Services, Inc.Able One a Quadbridge Companymrm.com.mx
sahchicago.orgclackamas.eduMA Engineering
TECHNICA - HACKED AND MORE THEN 300 GB DATA LEAKED!Black Butte Coal CoWaterford Country School Inc
Benjamin Plumbing IncCORBETT EXTERMINATING IncNorth American University
grimme.dkese.comcrowe.com.za
Lomma Crane & RiggingCastilleja SchoolGet Away Today
Safe PlatingChamber of Deputies of Romania (Camera Deputa葲ilor din Rom芒nia)ABECOM LTDA
Dutton BrockCislo and Thomas LLPmordfin
oogp.comvidalung.aijaygroup.com
Kansas City Area Transportation AuthorityCislo & Thomas LLPImage Craft
Shoma groupehsd.orgsipicorp.com
Brazilian Business Parkelandenergy.com Eland EnergyValley TeleCom Group
securinux.netDraneas Huglin Dooley LLCLush
OrthoNY, Orthopedic CareFour Hands LLCCloudFire Italy
leclairgroup.comNOVA Business Law GroupThe Wiser Financial Group
ANI Networkscaravanclub.co.ukToronto Zoo
wannagocloudneafidiBrightstar Care
Hawbaker EngineeringCharles TrentInnovative Automation
TamdownThorite GroupSANDALAWOFFICES.COM
Southeast Vermont Transit (MOOver)IntegrityInc.org Integrity Inchttps://www.carri.com
https://www.gadotbio.com/Gadot Biochemical Industries Ltdicn-artem.comaccolade-group.com + levelwear.com +Taiwan microelectronics(CRM).
a24group.com ambition24hours.co.zahttps://www.mikeferry.comDirig Sheet Metal
Winona Pattern & MoldSignature Performance InsuranceMBC Law Professional Corporation
Groupe SweetcoBikesportz ImportsLa Ligue
Midwest Service CenterSunfab Hydraulics ABGlimstedt
synergyfinancialgrp.commicrometals.comlyonshipyard.com
sierrafrontgroup.comCryopakfairmontfcu.com
ktbslaw.comdupont-restauration.frkivibros.com
haes.cacinfab.comprudentpublishing.com
unitedindustries.co.nzstemcor.comWilhoit Properties
Milestone Environmental ContractingTotal Air SolutionsR.C. Moore Trucking
envea.globalHerrs (You have 72 hours)Smith Capital - Press Release
ARPEGEC and F Packing Company Inc.Double Eagle Development
Waldner'sHOE Pharmaceuticals Sdn Bhddavidsbridal.com
agc.comsouthernwater.co.ukPozzi Italy
The Gainsborough BathRichmond Fellowship ScotlandANS COMPUTER [72hrs]
deknudtframes.besynnex-grp.comgattoplaters.com
duconind.comwittmann.atqtc-energy.com
hughessupplyco.comumi-tiles.comcmmt.com.tw
shenandoahtx.uscct.or.thstjohnrochester.org
jasman.com.mxNorth Star Tax And AccountingKC Pharmaceuticals
Martinaire Aviationbmc-cpa.comsubway.com
tvjahnrheine.dehome-waremmien.bemarxan.es
wendy.mxswiftair.comWorthen Industries [You have three days]
Sykes Consulting, Inc.Busse & Busee, PC Attorneys at LawAnna Jaques Hospital
pratt.eduseiu1000.orgdywidag.com
TPG Architecturejdbchina.comHamilton-Madison House
Hydratekevit.eduAlupar Investimento SA
PROJECTSWfoxsemicon.comMalongo France
Groveport Madison SchoolsSamuel Sekuritas Indonesia & Samuel Aset ManajemenPremier Facility Management
Fertility NorthVision Plastuffs.edu.br
GROWTH by NCRCLT Business Dynamicsdigipwr.com
jaffeandasher.comGallup McKinley County Schoolsaercap.com
Stone, Avant & DanielsJspPharmaDENHAM the Jeanmaker
Axfast ABSyndicat G茅n茅ral des Vignerons de la ChampagneWashtech
SIVAM Coatings S.p.A.Nexus Telecom Switzerland AGnobleweb.com
selmi.com.bronyx-fire.commillgate.co.uk
Becker LogisticsBestway SalesTGS Transportation
Premium GuardF J O'Hara & SonsDonear Industries
Beit Handesaishinwajpn.co.jpmaisonsdelavenir.com
vasudhapharma.comhosted-it.co.ukAusa
Northeast Spine and Sports Medicine'sHartl European Transport CompanyAmerican International College
Republic Shipping Consolidators, Incwww.kai.id "FF"amenitek.com
turascandinavia.comLee SpringCharm Sciences
Malabar Gold & DiamondsBanco Promericaarrowinternational.com
thecsi.compharrusa.comBuilcore
hotelcontinental.noolea.comasburyauto.com
Washington School For The DeafFormer S.p.A.International Trade Brokers and Forwarders
BALLAY MENUISERIESAnderson King Energy Consultants, LLCSems and Specials Incorporated
acutis.comdtsolutions.netintercityinvestments.com
hi-cone.comAlliedwoundcarePrimeimaging
Blackburn CollegeVincentz NetworkLimburg
Water For Peoplepactchangeslives.comTriella
Ursel Phillips Fellows HopkinsonSHIBLEY RIGHTONautomotionshade.com
R Robertson Insurance Brokersmolnar&partnerhartalega.com.my
twt.co.zatiautoinvestments.co.zaGroup Bogart
agnesb.euDelco AutomationViridi
Ito Pallpack GruppenCorinth Coca-Cola Bottling WorksPrecision Tune Auto Care
HALLEONARDVan Buren Public SchoolsHeller Industries
CellNetix Pathology & Laboratories, LLCmorganpilate.commciwv.com
capitalhealth.orgAgro Baggio LTDAMaas911.com
GRUPO SCATeleverdeGeologics
The Lutheran World FederationProax Technologies LTDSomerset Logistics
ips-securex.comProject M.O.R.E.Thermosash Commercial Ltd
Gunning & LaFazia, Inc.Diablo Valley Oncology and Hematology Medical Group - Press ReleaseKershaw County School District
Bradford HealthMadison Capital & WPM & The Time Groupgroupe-idea.com
SAED Internationalgraebener-group.comleonardsexpress.com
nals.comMPM Medical SupplyDELPHINUS.COM

表格2. 受害组织/企业

5
 系统安全防护数据分析

360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows 10。

对2024年1月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。

通过观察2024年1月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

6
 勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族正通过匿影僵尸网络 进行传播。

- faust:phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令与数据库弱口令成功后手动投毒。

- halo:同360。

- pings: 属于TargetOwner勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- mkp: 同wis。

- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

- blackbit: 属于Loki勒索软件家族的分支变种,由于被加密文件后缀会被修改为blackbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- devicdata: 同mallox

7
 解密大师

从解密大师本月解密数据看,解密量最大的是Sodinokibi,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

8
 时间线

2024年02月04日 360高级威胁研究分析中心发布通告

9
 特制报告相关说明

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。

360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
点击在看,进行分享

文章来源: https://mp.weixin.qq.com/s?__biz=MzU5MjEzOTM3NA==&mid=2247502246&idx=1&sn=df6fbfc57760b37dc118dd8e2f55e25b&chksm=fe26cca7c95145b1c58f0027caaa0508a992dc08b355b70eb7d225a4c2f4d50fe523069515bf&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh