报告编号:CERT-R-2024-726
报告来源:360CERT
报告作者:360CERT
更新日期:2024-03-05
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年2月,全球新增的活跃勒索软件家族有Mirror、LVTLocker、Bl00dy等。其中,LVTLocker家族主要攻击Nas平台,Bl00dy家族则利用ScreenConnect身份验证绕过漏洞(CVE-2024-1709)进行攻击。此漏洞已被广泛用于网络攻击,已知使用该漏洞的勒索软件家族还有ALPHV/Blackcat。
以下是本月值得关注的部分热点:
1. LockBit勒索软件在被警方查封后恢复服务器并卷土重来
2. Rhysida勒索软件索要360万美元赎买被盗的儿童数据
3. 国内知名品牌NAS系统遭LvtLocker勒索软件攻击
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比19.89%居首位,第二的是占比17.20%的Makop,TargetOwner家族以15.05%位居第三。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。
2024年2月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC与服务器为主流平台,Nas平台受LvtLocker家族春 节期间集中爆发的影响首次出现较高占比。
就在执法部门发动攻击拿下服务器不到一周后,LockBit团伙便已开始在新的服务器上重新启动其在线服务,并威胁将更多的攻击集中到 政府部门上。
下图便是LockBit3.0重新上线后的主页。
2月24日,LockBit宣布将恢复勒索软件业务并对近期遭到执法部门打击的情况做了“复盘”。LockBit表示执法部门(他们将所有执法部 门统称为FBI)入侵了其两个主要服务器——“原因是在过去的5年里我沉迷于金钱而变得非常懒惰”……“由于我的个人疏忽和不负责任,我松懈了,没有及时更新PHP”。团伙组织者表示:受害者的管理和聊天面板服务器以及博客服务器均运行在PHP 8.1.2环境中,而执法部门很可能是使用了CVE-2023-3824漏洞对其进行的攻击。据此,LockBit表示他们已经更新了服务器所使用的PHP版本,并宣布将奖励任 何在最新版本中发现漏洞的人。
此外,该团伙猜测此次“FBI”的入侵行动是由于其在今年一月份对富尔顿县的一次勒索攻击所致。在那次攻击中,他们掌握了“许多可 能影响即将到来的美国大选的有趣事情以及唐纳德·特朗普相关的案件信息”
目前,LockBit方面则表示执法部门所查获的数据、代码及密钥等数据仅为一小部分,并称以后会更加频繁地攻击各类政府部门以迫使“FBI”展示其是否有能力对自己展开更进一步的攻击。
360安全大脑目前已监测到LockBit4.0的活动迹象。
Rhysida勒索软件团伙声称对本月初芝加哥Lurie儿童医院遭到的网络攻击负责。此次网络攻击迫使医疗保健提供商关闭其IT系统,并在某些情况下推迟医疗服务。此外,电子邮件、电话、MyChart访问以及本地互联网都受到了影响,并且超声波和CT扫描结果也无法正常获取 ,而医生则被迫改用纸笔开具处方。
2月28日,Rhysida勒索软件团伙将Lurie儿童医院列入了其在暗网的勒索门户网站中,并声称从该医院窃取了600GB的数据。Rhysida现在 以60比特币(当前约合370万美元)的价格向单一买家出售被盗数据。此次售卖的时限为七天,超过时限后这些数据要么以较低的价格出 售给多个攻击者,要么则在Rhysida的平台上免费公布。
而Lurie儿童医院方面则于2月22日更新了最新状态,表示IT系统的恢复工作仍在进行中,目前系统服务中断仍会影响某些部门的运营。
春节期间,360安全智脑监测并收到了一大波勒索攻击的集中反馈。经分析这波勒索攻击大多为一款名为LvtLocker的勒索软件所为,而该勒索软件的攻击目标主要是国内某知名的NAS设备系统。
通过对360的大数据分析研判,发现此次勒索软件入侵事件主要是通过两种途径进入到受害用户的NAS设备中:
1. 利用该NAS设备系统中存在的一些RCE漏洞,比如下面一些漏洞,允许未经身份验证的用户获取root权限:
- CVE-2020-28188
- CVE-2022-24989
- CVE-2022-24990
2. 直接通过弱口令暴力破解,之后登录投毒。
以下为该家族勒索软件在执行完加密流程后投放的勒索信息文件:
以下是本月收集到的黑客邮箱信息:
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有391个组织/企业遭遇勒索攻击,其中有14个组织/企业未被标明,因此不在以下表格中。
Allan Berger & Associates | manchesterfertility.com | AbelSantosyAsociados |
---|---|---|
Artissimo Designs | Borah Goldstein Altschuler Nahins & Goidel | Tandem |
scullionlaw.com | bandcllp.com | Southwark Council |
alanritchey.com | Gilmore & Associates | stemcor.com |
HSPG & Associates | Faison | dms-imaging |
Dinamic Oil | Array Networks | hvd.host |
easternshipbuilding.com | fcw.ch | Erwat |
Bangladesh Police | Benthanh Group | goodinabernathy.com |
DTN Management Company | gapsolutions.com.au | haas4.com |
sundbirsta.com | HAL Allergy | sunharbormanor.com |
Orange Public School District | J A Piper Roofing | Essential Labs |
Acies Srl | Hypertension Nephrology Associates, P.C. | Hotel Avenida, Hostal Espoz y Mina, Hostal Arriazu, Pension Alemana |
verbraucherzentrale hessen | Medall Healthcare Pvt Ltd. | etairoshealth.com |
npgandour.com | abtexelgroup.com | Change Healthcare - Optum - UnitedHealth |
moore-tibbits.co.uk | Saudia MRO | vertdure.com |
WEL Partners | ROYAL INSIGNIA | Frencken |
metal7.com | Ireland's Department of Foreign Affairs | Bertani Trasporti Spa |
Penn Cinema | EpicGames | RWF Frömelt |
BAZAARVOICE.COM | Ann & Robert H. Lurie Children's Hospital of Chicago | JS International |
The Professional Liability Fund | Ironrock | Electro Marteix |
S+C Partners | prattindustries.com | ch-armentieres.fr |
Pot O’ Gold Coffee | GCA Nederland | PEDDIE.ORG |
crbgroup.com | Southwest Industrial Sales | Headwater Companies LLC |
magierp.com | Bjuvs kommun | Angeles Medical Centers |
Spine West | silganholdings.com | Webber International University |
kinematica.ch | AL SHEFA FARM | ernesthealth.com |
Family Health center | nationaldentex.com | dunaway.com |
gatesshields.com | Wangkanai Group | equilend.com |
Pressco Technology | Roncelli Plastics | BRADSHAW-MEDICAL.COM |
C and J Industries, Inc. | Welch's | GRUPOCREATIVO |
PEER Consultants | remkes.nl | IJM Corporation |
nfllp.com | APEX - apexspedition.de | Rapid Granulator |
birchallfoodservice.co.uk | mnorch.org | Acorn |
Hardeman County Community Health Center | Innovex Downhole Solutions | ANDFLA SRL |
Desarrollo De Tecnologia y Sistemas Ltda | mtmrobotics.com | Quik Pawn Shop |
Austen Consultants | climatech.com | abcor.com.au |
Helical Technology | dilweg.com | usmerchants.com |
taloninternational.com | KHSS (You have 3 days) | zircodata.com |
River Delta Unified School District | HRTec Inc | Lancaster |
Raocala | dasteam.ch | Marchassociates |
se.com | Axel Johnson | doneff.com |
ki.se | Robert D. Clements Jr Law Group, LLLP | lexcaribbean.com |
aeromechinc.com | Finlay Screening & Crushing Systems | INFINITIUSA.COM |
bucher-strauss.ch | loransrl | advancedprosolutions.com |
Greater Napanee | First Professional Services | soco.be |
Aftrp | Compression Leasing Services | aivi.it |
Wapiti Energy | carlfischer.com | Westward 360 |
Prudential Financial | VSP Dental | Bimbo Bakeries |
The Chas. E. Phipps | Tiete Automobile | http://antunovich.com |
davidsbridal.com | Chicago Zoological Society | Voice Technologies |
tormetal.cl | PSI | BS&B Safety Systems L.L.C |
spaldingssd.com | LoanDepot | CP Communications |
Griffin Dewatering | delia.pl | www.cogans.ie |
von Hagen | BRAM Auto Group | BRONSTEIN-CARMONA.COM |
Mechanical Reps | Concello de Teo | etisalat.ae |
DuBose Strapping | theclosingagent.com | pacifica.co.uk |
Asam | Dobrowski Stafford & Pierce | Ribe-Groupe |
ASP Basilicata - ASM Matera - IRCCS CROB | Norman, Fox | LD Davis |
sitrack.com | Onclusive | HR Ewell & Hy-tec |
centralepaysanne.lu | SilverLining | MeerServices |
calcomp.co.th | Advantage Orthopedic & Sports Medicine Clinic | Schuster Trucking Company |
BM Catalysts bmcatalysts.co.uk | champion.com.co | Hawbaker Engineering |
vanwingerden.com | hatsinteriors.com | coreengg.com |
kabat.pl | ASA Electronics [2.7 TB] | pradiergranulats.fr |
UNIFER | studiogalbusera.com | bombaygrills.com |
mmiculinary.com | America Movil | Nekoosa School District |
rajawali.com | KALEEDS | FALCO Electronics |
ffppkg.co.uk | wsnelson.com | conseguros |
globalrescue.com | Institutional Casework, Inc | fultoncountyga.gov |
ROOSENS BÉTONS | adioscancer.com | ATB SA Ingénieurs-conseils SIA |
doprastav.sk | motilaloswal.com | giraud |
Trans-Northern Pipelines | patriziapepe.com | barberemerson.com |
auruminstitute.org | ssmnlaw.com | btl.info |
garonproducts.com | universalservicesms.com | leonardssyrups.com |
DHX–Dependable Hawaiian Express | The Source | Communication Federal Credit Union |
etsolutions.com.mx | Procopio | ArcisGolf |
Lower Valley Energy, Inc | Satse | New Indy Containerboard |
germaintoiture.fr | tecasrl.it | Sanok Rubber CompanySpólka Akcyjna |
Freedom Munitions | Forgepresion.com | Antunovich Associates |
robs.org | Rush Energy Services Inc [You have 48 hours] | CNPC Peru S.A. |
isspol.gov | Modern Kitchens | SERCIDE |
envie.org | Disaronno International | vhprimary.com |
fidcornelis.be | Arlington Perinatal Associates | Allmetal Inc. |
textiles.org.tw | parkhomeassist.co.uk | jacksonvillebeach.org |
camarotto.it | lyon.co.uk | grotonschools.org |
Amoskeag Network Consulting Group LLC | sealco-leb.com | dienerprecisionpumps.com |
YKP LTDA | plexustelerad.com | paltertonprimary.co.uk |
Nastech | silverairways.com | cabc.com.ar |
Impact Energy Services | Kadac Australia | Kreyenhop & Kluge |
Carespring Health Care | lacolline-skincare.com | LILI'S BROWNIES |
maddockhenson | Village of Skokie | Upper Merion Township |
Pacific American Fish Company Inc. | Benchmark Management Group | Lancaster County Sheriff's Office |
J.P. Original | Groupe Goyette | SOPEM Tunisie |
Capozzi Adler, P.C. | Avianor Aircraft | Dalmahoy Hotel & Country Club |
ZGEO | aisg-online.com | mranet.org |
soken-ce.co.jp | water.cc | verdimed.es |
willislease.com | TechNet Kronoberg AB | CTSI |
seymourct.org | Drost Kivlahan McMahon & O'Connor LLC | magi-erp.com |
posen.com | alfiras.com | Grace Lutheran Foundation |
solveindustrial.com | maximumresearch.com | grupomoraval.com |
originalfootwear.com | cdtmedicus.pl | indoramaventures.com |
Western Municipal Construction | bsaarchitects.com | northseayachtsupport.nl |
transaxle.com | macqueeneq.com | moneyadvicetrust.org |
Worthen Industries | Ducont | parksite.com |
Anderco PTE LTD | Jewish Home Lifecare | perkinsmfg.com |
Karl Rieker GmbH and Co. KG | Southwest Binding & Laminating | Distecna |
vimarequipment.com | PWS - The Laundry Company | TeraGo |
B&B Electric Inc | CERALP | PJ Green Inc |
Hbl Cpas, P.C. | Tetrosyl Group Limited | Harinck |
spbglobal.com | YRW Limited - Chartered Accountants | Therme Laa Hotel and Silent Spa |
Ready Mixed Concrete | Shipleys LLP | axsbolivia.com |
McMillan Pazdan Smith | AVer Information | deltron.com |
Perry-McCall Construction | ArpuPlus | Celeste |
Douglas County Libraries | Northeastern Sheet Metal | gocco.com |
themisbourne.co.uk | Mason Construction | Greenwich Leisure |
davis-french-associates.co.uk | Virgin Islands Lottery | Hannon Transport |
noe.wifi.at | Leaders Staffing | Albert Bartlett |
semesco.com | Vail-Summit Orthopaedics & Neurosurgery (VSON) | Premier Facility Management |
philogen.com | Campaign for Tobacco-Free Kids | asecos.com |
portline.pt | GRTC Transit System | hutchpaving.com |
cxm.com | ultraflexx.com | VCS Observation |
pbwtulsa.com | prima.com | ksa-architecture.com |
manitou-group.com | DOD contractors you are welcome in our chat. | tgestiona.br |
Law Office of Michael H Joseph | Commonwealth Sign | logtainer.com |
DIROX LTDA (Vietnã) | Digitel Venezuela | Cole, Cole, Easley & Sciba |
FEPCO Zona Franca SAS | Abelsantosyasoc.com.ar |
表格2. 受害组织/企业
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows 10、Windows Server 2016以及Windows Server 2003。
对2024年2月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。
通过观察2024年2月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
- mkp: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。
- wis:同mkp。
- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令与数据库弱口令成功后手动投毒。
- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌 面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
- lvt:属于LvtLocker勒索软件家族,由于被加密文件后缀会被修改为lvt而成为关键词。主要通过漏洞利用与弱口令暴破攻击Nas平台,在本月春节期间集中爆发。
- faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- halo:同360。
- target: 属于TargetOwner勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- elbie:同faust。
- carver:同faust。
从解密大师本月解密数据看,解密量最大的是Coffee,其次是Stop。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。
另外值得一提的是,FBI宣称放出了LockBit3.0的解密器。但经过我们验证,放出的所谓解密器并未集成解密功能,也就是说目前仍无法 通过公开渠道获取到LockBit3.0的解密支持。
2024年03月05日 360高级威胁研究分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯