2024年2月勒索软件流行态势分析
2024-3-5 17:51:56 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2024-726

报告来源:360CERT

报告作者:360CERT

更新日期:2024-03-05

1
 简述

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2024年2月,全球新增的活跃勒索软件家族有Mirror、LVTLocker、Bl00dy等。其中,LVTLocker家族主要攻击Nas平台,Bl00dy家族则利用ScreenConnect身份验证绕过漏洞(CVE-2024-1709)进行攻击。此漏洞已被广泛用于网络攻击,已知使用该漏洞的勒索软件家族还有ALPHV/Blackcat。

以下是本月值得关注的部分热点:

1. LockBit勒索软件在被警方查封后恢复服务器并卷土重来

2. Rhysida勒索软件索要360万美元赎买被盗的儿童数据

3. 国内知名品牌NAS系统遭LvtLocker勒索软件攻击

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

2
 感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比19.89%居首位,第二的是占比17.20%的Makop,TargetOwner家族以15.05%位居第三。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。

2024年2月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC与服务器为主流平台,Nas平台受LvtLocker家族春 节期间集中爆发的影响首次出现较高占比。

3
 勒索软件热点事件

LockBit勒索软件在被警方查封后恢复服务器并卷土重来

就在执法部门发动攻击拿下服务器不到一周后,LockBit团伙便已开始在新的服务器上重新启动其在线服务,并威胁将更多的攻击集中到 政府部门上。

下图便是LockBit3.0重新上线后的主页。

2月24日,LockBit宣布将恢复勒索软件业务并对近期遭到执法部门打击的情况做了“复盘”。LockBit表示执法部门(他们将所有执法部 门统称为FBI)入侵了其两个主要服务器——“原因是在过去的5年里我沉迷于金钱而变得非常懒惰”……“由于我的个人疏忽和不负责任,我松懈了,没有及时更新PHP”。团伙组织者表示:受害者的管理和聊天面板服务器以及博客服务器均运行在PHP 8.1.2环境中,而执法部门很可能是使用了CVE-2023-3824漏洞对其进行的攻击。据此,LockBit表示他们已经更新了服务器所使用的PHP版本,并宣布将奖励任 何在最新版本中发现漏洞的人。

此外,该团伙猜测此次“FBI”的入侵行动是由于其在今年一月份对富尔顿县的一次勒索攻击所致。在那次攻击中,他们掌握了“许多可 能影响即将到来的美国大选的有趣事情以及唐纳德·特朗普相关的案件信息”

目前,LockBit方面则表示执法部门所查获的数据、代码及密钥等数据仅为一小部分,并称以后会更加频繁地攻击各类政府部门以迫使“FBI”展示其是否有能力对自己展开更进一步的攻击。

360安全大脑目前已监测到LockBit4.0的活动迹象。

Rhysida勒索软件索要360万美元赎买被盗的儿童数据

Rhysida勒索软件团伙声称对本月初芝加哥Lurie儿童医院遭到的网络攻击负责。此次网络攻击迫使医疗保健提供商关闭其IT系统,并在某些情况下推迟医疗服务。此外,电子邮件、电话、MyChart访问以及本地互联网都受到了影响,并且超声波和CT扫描结果也无法正常获取 ,而医生则被迫改用纸笔开具处方。

2月28日,Rhysida勒索软件团伙将Lurie儿童医院列入了其在暗网的勒索门户网站中,并声称从该医院窃取了600GB的数据。Rhysida现在 以60比特币(当前约合370万美元)的价格向单一买家出售被盗数据。此次售卖的时限为七天,超过时限后这些数据要么以较低的价格出 售给多个攻击者,要么则在Rhysida的平台上免费公布。

而Lurie儿童医院方面则于2月22日更新了最新状态,表示IT系统的恢复工作仍在进行中,目前系统服务中断仍会影响某些部门的运营。

国内知名品牌NAS系统遭LvtLocker勒索软件攻击

春节期间,360安全智脑监测并收到了一大波勒索攻击的集中反馈。经分析这波勒索攻击大多为一款名为LvtLocker的勒索软件所为,而该勒索软件的攻击目标主要是国内某知名的NAS设备系统。

通过对360的大数据分析研判,发现此次勒索软件入侵事件主要是通过两种途径进入到受害用户的NAS设备中:

1. 利用该NAS设备系统中存在的一些RCE漏洞,比如下面一些漏洞,允许未经身份验证的用户获取root权限:

- CVE-2020-28188

- CVE-2022-24989

- CVE-2022-24990

2. 直接通过弱口令暴力破解,之后登录投毒。

以下为该家族勒索软件在执行完加密流程后投放的勒索信息文件:

4
 黑客信息披露

以下是本月收集到的黑客邮箱信息:

[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected][email protected][email protected]
[email protected]

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有391个组织/企业遭遇勒索攻击,其中有14个组织/企业未被标明,因此不在以下表格中。

Allan Berger & Associatesmanchesterfertility.comAbelSantosyAsociados
Artissimo DesignsBorah Goldstein Altschuler Nahins & GoidelTandem
scullionlaw.combandcllp.comSouthwark Council
alanritchey.comGilmore & Associatesstemcor.com
HSPG & AssociatesFaisondms-imaging
Dinamic OilArray Networkshvd.host
easternshipbuilding.comfcw.chErwat
Bangladesh PoliceBenthanh Groupgoodinabernathy.com
DTN Management Companygapsolutions.com.auhaas4.com
sundbirsta.comHAL Allergysunharbormanor.com
Orange Public School DistrictJ A Piper RoofingEssential Labs
Acies SrlHypertension Nephrology Associates, P.C.Hotel Avenida, Hostal Espoz y Mina, Hostal Arriazu, Pension Alemana
verbraucherzentrale hessenMedall Healthcare Pvt Ltd.etairoshealth.com
npgandour.comabtexelgroup.comChange Healthcare - Optum - UnitedHealth
moore-tibbits.co.ukSaudia MROvertdure.com
WEL PartnersROYAL INSIGNIAFrencken
metal7.comIreland's Department of Foreign AffairsBertani Trasporti Spa
Penn CinemaEpicGamesRWF Frömelt
BAZAARVOICE.COMAnn & Robert H. Lurie Children's Hospital of ChicagoJS International
The Professional Liability FundIronrockElectro Marteix
S+C Partnersprattindustries.comch-armentieres.fr
Pot O’ Gold CoffeeGCA NederlandPEDDIE.ORG
crbgroup.comSouthwest Industrial SalesHeadwater Companies LLC
magierp.comBjuvs kommunAngeles Medical Centers
Spine Westsilganholdings.comWebber International University
kinematica.chAL SHEFA FARMernesthealth.com
Family Health centernationaldentex.comdunaway.com
gatesshields.comWangkanai Groupequilend.com
Pressco TechnologyRoncelli PlasticsBRADSHAW-MEDICAL.COM
C and J Industries, Inc.Welch'sGRUPOCREATIVO
PEER Consultantsremkes.nlIJM Corporation
nfllp.comAPEX - apexspedition.deRapid Granulator
birchallfoodservice.co.ukmnorch.orgAcorn
Hardeman County Community Health CenterInnovex Downhole SolutionsANDFLA SRL
Desarrollo De Tecnologia y Sistemas Ltdamtmrobotics.comQuik Pawn Shop
Austen Consultantsclimatech.comabcor.com.au
Helical Technologydilweg.comusmerchants.com
taloninternational.comKHSS (You have 3 days)zircodata.com
River Delta Unified School DistrictHRTec IncLancaster
Raocaladasteam.chMarchassociates
se.comAxel Johnsondoneff.com
ki.seRobert D. Clements Jr Law Group, LLLPlexcaribbean.com
aeromechinc.comFinlay Screening & Crushing SystemsINFINITIUSA.COM
bucher-strauss.chloransrladvancedprosolutions.com
Greater NapaneeFirst Professional Servicessoco.be
AftrpCompression Leasing Servicesaivi.it
Wapiti Energycarlfischer.comWestward 360
Prudential FinancialVSP DentalBimbo Bakeries
The Chas. E. PhippsTiete Automobilehttp://antunovich.com
davidsbridal.comChicago Zoological SocietyVoice Technologies
tormetal.clPSIBS&B Safety Systems L.L.C
spaldingssd.comLoanDepotCP Communications
Griffin Dewateringdelia.plwww.cogans.ie
von HagenBRAM Auto GroupBRONSTEIN-CARMONA.COM
Mechanical RepsConcello de Teoetisalat.ae
DuBose Strappingtheclosingagent.compacifica.co.uk
AsamDobrowski Stafford & PierceRibe-Groupe
ASP Basilicata - ASM Matera - IRCCS CROBNorman, FoxLD Davis
sitrack.comOnclusiveHR Ewell & Hy-tec
centralepaysanne.luSilverLiningMeerServices
calcomp.co.thAdvantage Orthopedic & Sports Medicine ClinicSchuster Trucking Company
BM Catalysts bmcatalysts.co.ukchampion.com.coHawbaker Engineering
vanwingerden.comhatsinteriors.comcoreengg.com
kabat.plASA Electronics [2.7 TB]pradiergranulats.fr
UNIFERstudiogalbusera.combombaygrills.com
mmiculinary.comAmerica MovilNekoosa School District
rajawali.comKALEEDSFALCO Electronics
ffppkg.co.ukwsnelson.comconseguros
globalrescue.comInstitutional Casework, Incfultoncountyga.gov
ROOSENS BÉTONSadioscancer.comATB SA Ingénieurs-conseils SIA
doprastav.skmotilaloswal.comgiraud
Trans-Northern Pipelinespatriziapepe.combarberemerson.com
auruminstitute.orgssmnlaw.combtl.info
garonproducts.comuniversalservicesms.comleonardssyrups.com
DHX–Dependable Hawaiian ExpressThe SourceCommunication Federal Credit Union
etsolutions.com.mxProcopioArcisGolf
Lower Valley Energy, IncSatseNew Indy Containerboard
germaintoiture.frtecasrl.itSanok Rubber CompanySpólka Akcyjna
Freedom MunitionsForgepresion.comAntunovich Associates
robs.orgRush Energy Services Inc [You have 48 hours]CNPC Peru S.A.
isspol.govModern KitchensSERCIDE
envie.orgDisaronno Internationalvhprimary.com
fidcornelis.beArlington Perinatal AssociatesAllmetal Inc.
textiles.org.twparkhomeassist.co.ukjacksonvillebeach.org
camarotto.itlyon.co.ukgrotonschools.org
Amoskeag Network Consulting Group LLCsealco-leb.comdienerprecisionpumps.com
YKP LTDAplexustelerad.compaltertonprimary.co.uk
Nastechsilverairways.comcabc.com.ar
Impact Energy ServicesKadac AustraliaKreyenhop & Kluge
Carespring Health Carelacolline-skincare.comLILI'S BROWNIES
maddockhensonVillage of SkokieUpper Merion Township
Pacific American Fish Company Inc.Benchmark Management GroupLancaster County Sheriff's Office
J.P. OriginalGroupe GoyetteSOPEM Tunisie
Capozzi Adler, P.C.Avianor AircraftDalmahoy Hotel & Country Club
ZGEOaisg-online.commranet.org
soken-ce.co.jpwater.ccverdimed.es
willislease.comTechNet Kronoberg ABCTSI
seymourct.orgDrost Kivlahan McMahon & O'Connor LLCmagi-erp.com
posen.comalfiras.comGrace Lutheran Foundation
solveindustrial.commaximumresearch.comgrupomoraval.com
originalfootwear.comcdtmedicus.plindoramaventures.com
Western Municipal Constructionbsaarchitects.comnorthseayachtsupport.nl
transaxle.commacqueeneq.commoneyadvicetrust.org
Worthen IndustriesDucontparksite.com
Anderco PTE LTDJewish Home Lifecareperkinsmfg.com
Karl Rieker GmbH and Co. KGSouthwest Binding & LaminatingDistecna
vimarequipment.comPWS - The Laundry CompanyTeraGo
B&B Electric IncCERALPPJ Green Inc
Hbl Cpas, P.C.Tetrosyl Group LimitedHarinck
spbglobal.comYRW Limited - Chartered AccountantsTherme Laa Hotel and Silent Spa
Ready Mixed ConcreteShipleys LLPaxsbolivia.com
McMillan Pazdan SmithAVer Informationdeltron.com
Perry-McCall ConstructionArpuPlusCeleste
Douglas County LibrariesNortheastern Sheet Metalgocco.com
themisbourne.co.ukMason ConstructionGreenwich Leisure
davis-french-associates.co.ukVirgin Islands LotteryHannon Transport
noe.wifi.atLeaders StaffingAlbert Bartlett
semesco.comVail-Summit Orthopaedics & Neurosurgery (VSON)Premier Facility Management
philogen.comCampaign for Tobacco-Free Kidsasecos.com
portline.ptGRTC Transit Systemhutchpaving.com
cxm.comultraflexx.comVCS Observation
pbwtulsa.comprima.comksa-architecture.com
manitou-group.comDOD contractors you are welcome in our chat.tgestiona.br
Law Office of Michael H JosephCommonwealth Signlogtainer.com
DIROX LTDA (Vietnã)Digitel VenezuelaCole, Cole, Easley & Sciba
FEPCO Zona Franca SASAbelsantosyasoc.com.ar

表格2. 受害组织/企业

5
 系统安全防护数据分析

360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows 10、Windows Server 2016以及Windows Server 2003。

对2024年2月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。

通过观察2024年2月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

6
 勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- mkp: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- wis:同mkp。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令与数据库弱口令成功后手动投毒。

- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌 面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

- lvt:属于LvtLocker勒索软件家族,由于被加密文件后缀会被修改为lvt而成为关键词。主要通过漏洞利用与弱口令暴破攻击Nas平台,在本月春节期间集中爆发。

- faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- halo:同360。

- target: 属于TargetOwner勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- elbie:同faust。

- carver:同faust。

7
 解密大师

从解密大师本月解密数据看,解密量最大的是Coffee,其次是Stop。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。

另外值得一提的是,FBI宣称放出了LockBit3.0的解密器。但经过我们验证,放出的所谓解密器并未集成解密功能,也就是说目前仍无法 通过公开渠道获取到LockBit3.0的解密支持。

8
 时间线

2024年03月05日 360高级威胁研究分析中心发布通告

9
 特制报告相关说明

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。

360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
点击在看,进行分享

文章来源: https://mp.weixin.qq.com/s?__biz=MzU5MjEzOTM3NA==&mid=2247503506&idx=1&sn=1d7f3c9b96a36c42db4fe50022d4c92f&chksm=fe26cb93c9514285846613fe03a4f74ccc3ef0cfe84944ba19791e83c4c46e750e0961c5d8c2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh