報告編號:B6-2021-080902ios
報告來源:360高級威脅分析中心web
報告做者:360高級威脅分析中心算法
更新日期:2021-08-09swift
勒索病毒威脅還是當前最熱門的網絡安全風險,360反勒索服務已累計接收處置數萬勒索病毒感染求助。隨着新型勒索病毒的快速蔓延,企業數據泄露風險不斷上升,數百萬甚至上億贖金的勒索案件不斷出現。勒索病毒給企業和我的帶來的影響範圍愈來愈廣,危害性也愈來愈大。360安全大腦針對勒索病毒進行了全方位的監控與防護,爲須要幫助的用戶提供360反勒索服務。api
2021年7月,全球新增的活躍勒索病毒家族有:BlackMatter、Grief、AvosLocker、nohope、GoodMorning、MiniWorld、FancyLeaks、LegionLocker、LockBit2.0等勒索軟件。本月還發現Linux版本的HelloKitty正對安裝VMWare ESXI的服務器發起攻擊。安全
此外,本月發現DarkSide家族重命名爲BlackMatter,而DoppelPaymer重命名爲Grief。AvosLocker可能和Avaddon是同一批人運營,而目前雙重勒索病毒中最爲活躍的一個家族是LockBit2.0。服務器
針對本月勒索病毒受害者所中勒索病毒家族進行統計,Stop家族佔比24.11%居首位,其次是佔比14.23%的phobos,Makop家族以10.28%位居第三。微信
本月GlobeImposter家族比較罕見的掉出前三,同時本月經過匿隱僵屍網絡進行傳播的YourData以及針對網絡存儲設備進行攻擊的ech0Raix勒索軟件有較大的上漲。網絡
對本月受害者所使用的操做系統進行統計,位居前三的是:Windows 十、Windows 7以及Windows Server 2008。less
2021年7月被感染的系統中桌面系統和服務器系統佔比顯示,受攻擊的系統類型仍以桌面平臺爲主,與上月相比無較大波動。本月針對NAS設備的攻擊事件依然較多,致使其佔比有所上漲,建議受害者當即提升設備登陸口令的複雜度。若使用的NAS設備品牌爲威聯通,則還應及時對HBS多媒體軟件進行升級。
Kaseya遭REvil供應鏈攻擊,100萬個系統被加密,購恢復文件需支付7000萬美圓的贖金
REvil勒索團伙在暗網數據泄露網站發佈了一則聲明:「 週五(2021.07.02)咱們對MSP提供商發起了攻擊,超過100萬個系統被感染。若是任何人想要協商通用解密器——咱們的價格是7000萬美圓的BTC,那咱們將公開發布解密器解密全部受害者的文件,而後每一個系統都能在一小時內獲得恢復。若是您對此類交易感興趣——請使用受害者系統中留下的‘readme’文檔與咱們聯繫。」
除通用解密器的報價,REvil還對不一樣類型的受害者報出了不一樣贖金:針對MSP(管理服務提供商) REvil索要500萬美圓,而向其客戶則索要4萬到4.5萬美圓做爲贖金。這次攻擊事件影響了多個託管服務商及其一千多名客戶。其中瑞典最大連鎖超市Coop所以次事件致使收銀系統被感染,被迫關閉了500家商店。
針對這次事件調查事,REvil利用Kaseya VSA服務器中的漏洞來訪問安裝在客戶系統中的VSA設備,而後經過被感染設備轉向全部鏈接的工做站和公司網絡,並安裝有效載荷並加密客戶文件。該漏洞並不是未知漏洞,Kaseya正在替其用戶發佈補丁,但不幸的是仍是被REvil先一步利用了。此次攻擊事件不只是近兩年來感染設備量最大的一次,同時也創造了索要贖金金額最大的記錄。
大部分受害者均拒絕向黑客支付贖金——在7月中旬僅有兩名受害者向黑客妥協,而7月底,Kaseya從受信任的第三方手中獲取到了通用解密工具,能夠協助這次受攻擊影響的設備免費解密文件。
宣稱速度最快的LockBit 2.0本月極度活躍
7月中旬,已消失6個月的LockBit在其數據泄露網站發佈一條新聞宣佈更新版本爲2.0。其中最引人注意的是該家族宣稱是加密文件最快的勒索軟件,並提供了2.0 版本和其餘34個勒索軟件的加密速度對照表格。同時還會爲其攻擊者支提供名爲"DESITET"的數據軟件,攻擊者可經過該軟件壓縮、上傳文件用戶文件,做者宣稱可在20分鐘內上傳100GB數據。在以前發現的版本中,該家族竊取數據利用到了第三方軟件MegaSync。而在今年6月份時,RagnarLocker勒索家族還曾利用MegaSync來公開發布受害者數據,不過當時MegaSync很快作出反應,刪除了該攻擊者帳戶並取消了連接的訪問權限。因此猜想也正是因爲這個緣由,Lockbit 2.0選擇了一個新的數據軟件來竊取數據。
同時該勒索軟件還在新聞中提到,這次的最新版本具備自傳播能力。該勒索軟件經過使用Active Directory組策略自動加密Windows域。
本月該勒索軟件家族已成爲活躍度最高的勒索病毒家族之一。截止目前爲止已有62個企業/組織的數據遭到該家族的竊取,該家族最高一天曾連續公佈12個受害企業/組織名單。目前該數據泄露網上僅保留40名受害者信息,由此可推測已有22名受害者向該勒索軟件團伙支付了贖金。
匿影僵屍網絡協YourData勒索軟件再度來襲
近日360安全大腦監控到YourData勒索病毒開始採用匿影僵屍網絡進行傳播(該僵屍網絡還曾傳播過WannaRen以及CryptoJoker勒索病毒家族), 該家族又被稱做Hakbit、Thanos家族,最先出現於2019年11月。但在2021年1月中旬以前,國內極少出現被該家族或變種攻擊案例。2021年1月開始在國內出現該家族的變種,因爲早期其後綴雖一直更新,但在國內傳播時使用到的郵箱均爲yourdata@RecoveryGroup.at,被命名爲YourData。
該病毒演變過程以下:
- 2021年1月份開始,該變種開始在國內開始採用暴力破解遠程桌面口令進行傳播,並不具有任何針對性的投放勒索病毒。
- 2021年4月份開始,發現該家族開始針對性的進行投放勒索軟件,使用帶有受害者公司名特徵的字符串做爲後綴,重命名被加密文件。一樣採用暴力破解遠程桌面口令進行傳播。
- 2021年7月份開始,發現該家族開始經過匿隱僵屍網絡進行傳播,不具體針對性,可是傳播量有大幅度提高。
進行鍼對性攻擊時,該家族在生成的勒索提示信息中不只給出了郵箱聯繫方式,還給爲受害者提供了一個網址,可和黑客進行即時通訊。黑客給受害者24小時的時間,若不能在24小時內支付0.7BTC的贖金,解密文件所需費用將提高20%.
這次利用匿影僵屍網絡投放的勒索病毒生成的勒索提示信息,僅提供郵件地址供受害者聯繫。
DoppelPaymer勒索軟件重命名爲Grief捲土重來
在DarkSide襲擊美國最大的燃料管道運營商之一的Colonial Pipeline後,DoppelPaymer的活動開始降低。5月開始其數據泄露網站不曾更新過受害者消息,近日發現DoppelPaymer進行品牌重塑後,重命名爲Grief(又叫Pay)。二者有較多類似之處:
1. 二者共享相同的加密方式。
1. 相同的分發渠道(Dridex僵屍網絡)。
1. 高度類似的代碼,採用相同的加密算法(RSA2048和AES-256)。
1. 均使用歐盟通用數據保護條例(GDPR)做爲警告,未付款的受害者仍將因違規而面臨法律處罰。
1. 數據泄露站點上的防止爬蟲的驗證碼等。
該家族最先的信息是從2021年6月開始的,但被捕獲到的樣本的編譯時間爲5月17日。同時該家族接受贖金時僅支持XMR虛擬貨幣,採用此虛擬貨幣很大程度是爲了不被追溯。目前已出現受害者,其中Clover Park學區被索要價值35萬美圓的XMR。
DarkSide改名爲BlackMatter再度活躍,目標瞄準資產超1億美圓企業
在DarkSide襲擊美國最大的燃料管道運營商之一的Colonial Pipeline後不久,便關停了全部的基礎設施,並銷聲匿跡。7月發現一新型勒索軟件BlackMatter(由DarkSide重命名而來)開始在網絡犯罪論壇開始發佈各類廣告招募合做夥伴,並聲稱同時擁有REvil和DarkSide的最佳功能。
該團伙在攻擊受害者的同時,還積極的從其餘攻擊者那裏購買網絡訪問權限以發起新的勒索攻擊。該家族曾在網絡犯罪論壇發佈消息稱,其主要目標是那些盈利超過1億美圓,網絡中存在500-15000臺設備的公司。
該勒索病毒不只支持在Windows上運行,還支持在Linux和EXSi服務器上運行。目前已出現受害者被攻擊,而且已有受害者向BlackMatter支付400萬美圓的贖金。從其數據泄露網站發佈的消息看,該家族聲稱不會攻擊如下行業,並承諾若如下行業不幸中招,會提供免費的解密工具:
- 醫療行業
- 關鍵基礎設施(核電站、發電廠、水處理設施)
- 石油和自然氣工業(管道、煉油廠)
- 非盈利公司
- 政府部門
如下是本月收集到的黑客郵箱信息:
| k3n3dy@xmpp.cz | GoodMorning9@cock.li | ustedesfil@safeswiss.com |
|---|---|---|
| raincry@dr.com | johnlo@techmail.info | willettamoffat@yahoo.com |
| keepcry@mail.con | recupes@tutanota.com | GooodMorning@tutanota.com |
| recofile@mail.ee | tedydecrypt@elude.in | JessMalibu@protonmail.com |
| Zeus1@msgsafe.io | helpguarantee@aol.com | yourdata@RecoveryGroup.at |
| 3292987166@qq.com | mrreturn@ctemplar.com | cryptodancer@onionmail.org |
| dragon520@mail.me | slamhelp123@gmail.com | devos_support@pressmail.ch |
| Handi@firemail.cc | AsupQue@protonmail.com | fushenkingdee@tutanota.com |
| kingkong2@tuta.io | diniaminius@winrof.com | GooodMorning1@tutanota.com |
| Naver@firemail.cc | recofile@mailfence.com | Forexexchane@protonmail.com |
| norahghnq@gmx.com | chickenfried@keemail.me | Goood.Morning@mailfence.com |
| chaziz@firemail.cc | decryptionwhy@india.com | protoshak140@protonmail.com |
| ecoding141@tuta.io | irrelevantly@aliyun.com | Goood.Morning1@mailfence.com |
| greenoffer@aol.com | justiceinfo@disroot.org | martingarrix@nonpartisan.com |
| datos@onionmail.org | soterissylla@wyseil.com | nohopeproject@protonmail.com |
| desmcmorran@aol.com | yourdataok@tutanota.com | troublemaker113@tutanota.com |
| greenoffer1@aol.com | greenoffer1@tutanota.com | troublemaker113@mailfence.com |
| nomanscrypt@tuta.io | kabayaboo@protonmail.com | bob_marley1991@libertymail.net |
| AsupQue@tutanota.com | managerhelper@airmail.cc | slamransomwareasistance@gmail.com |
當前,經過雙重勒索模式獲利的勒索病毒家族愈來愈多,勒索病毒所帶來的數據泄露的風險也愈來愈大。如下是本月經過數據泄露獲利的勒索病毒家族佔比,該數據僅爲未能第一時間繳納贖金或拒繳納贖金部分(由於第一時間聯繫並支付贖金的企業或我的不會在暗網中公佈,所以無這部分數據)。
如下是本月被雙重勒索病毒家族攻擊的企業或我的。若未發現被數據存在泄露風險的企業或我的也請第一時間自查,作好數據已被泄露準備,採起補救措施。
| dimeo | Geneva, Ohio | Arabian Cargo Group |
|---|---|---|
| imasa | Stevens & Lee | Breydons Solicitors |
| cegos | Talbert House | Pesquera Exalmar SAA |
| KASEYA | Paxton Access | ensingerplastics.com |
| Walsin | Paxton Access | Dragon Capital Group |
| Alcedo | aris-services | cecengenharia.com.br |
| Bamford | cometgroup.be | Commune De Villepinte |
| ALBIOMA | kennen.com.ar | Heller Injury Lawyers |
| CHADDAD | betonlucko.hr | swiftlogistics.com.my |
| Beckley | anderscpa.com | Virginia Defense Force |
| habasit | Techni+Contact | Belperio Clark Lawyers |
| matchmg | siro-group.com | europeanaccounting.net |
| Gulf Oil | The Wild Rabbit | creditoycaucion.com.ar |
| Hx5, LLC | Mambrino S.A.C. | sahintoptangida.com.tr |
| DiaSorin | Gateway College | classicalmusicindy.org |
| keltbray | INSERM-TRANSFER | Sierra Air Conditioning |
| friedrich | grupodismar.com | kuk.de / KREBS + KIEFER |
| PCM Group | f** | Florida Sugar Cane League |
| BHoldings | vincents.com.au | Walter's Automotive Group |
| Cinépolis | SAC Wireless Inc | Elm3 Financial Group, LLC |
| Actiontec | Sandhills Center | Nottingham City Transport |
| infovista | Home in Brussels | Haftpflichtkasse Darmstadt |
| Jhillburn | Grupo DINA S.A. | GATEWAY Property Management |
| HUF GROUP | Phoenix Services | Artas Holding / Artas Insaat |
| Daylesford | riostarfoods.com | South Carolina Legal Services |
| inocean.no | modernbakery.com | Century 21 Gold Key Realty, Inc |
| IBC24 News | Agrokasa Holdings | Walter's Mercedes-Benz of Riverside |
| apg-neuros | Aquazzura Firenze | Trifecta Networks & CloudFirst Labs |
| ccz.com.au | Revision Skincare | On logistics Services Algeciras, S.L |
| Mega Vision | spiralfoods.com.au | Corporación Nacional de Telecomunicación |
| supplyforce | cspmould-stampi.it | SALZBURGER EISENBAHN TRANSPORT LOGISTIK GmbH |
| Colligan Law | WT Microelectronics | Orange County Chrysler Jeep Dodge Ram Dealership |
經過將2021年6月與7月的數據進行對比,本月各個系統佔比變化均不大,位居前三的系統還是Windows 七、Windows 8和Windows 10。
如下是對2021年7月被攻擊系統所屬地域採樣製做的分部圖,與以前幾個月採集到的數據進行對比,地區排名和佔比變化均不大。數字經濟發達地區還是攻擊的主要對象。
經過觀察2021年7月弱口令攻擊態勢發現,RDP和MYSQL弱口令攻擊在整體量級層面無較大變化。而利用MSSQL進行傳播勒索的家族本月的感染量也有大幅度的降低——例如上個月的GlobeImposter家族。
如下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜索引擎。
- devos:該後綴有三種狀況,均因被加密文件後綴會被修改成devos而成爲關鍵詞。但月活躍的是phobos勒索病毒家族,該家族的主要傳播方式爲:經過暴力破解遠程桌面口令成功後手動投毒。
- eking:屬於phobos勒索病毒家族,因爲被加密文件後綴會被修改成eking而成爲關鍵詞。該家族主要的傳播方式爲:經過暴力破解遠程桌面口令成功後手動投毒。
- Makop:該後綴有兩種狀況, 均因被加密文件後綴會被修改成makop而成爲關鍵詞:
- 屬於Makop勒索病毒家族,該家族主要的傳播方式爲:經過暴力破解遠程桌面口令成功後手動投毒。
- 屬於Cryptojoker勒索病毒家,經過「匿隱」 進行傳播。
- gujd:屬於Stop勒索病毒家族,因爲被加密文件後綴會被修改成gujd而成爲關鍵詞。該家族主要的傳播方式爲:假裝成破解軟件或者激活工具進行傳播。
- zzla:同gujd。
- Lockbit:Lckbit勒索病毒家族,因爲被加密文件後綴會被修改成lockbit而成爲關鍵詞。該家族主要的傳播方式爲:經過暴力破解遠程桌面口令成功後手動投毒。
- neer:同gujd。
- hauhitec:屬於CryptoJoker,因爲被加密文件後綴會被修改成hauhitec而成爲關鍵詞。經過「匿隱」 僵屍網絡進行傳播。
- moqs: 同gujd。
- encrypt:該後綴被不少家族均使用過,但在本月活躍的是ech0Raix勒索軟件,因爲被加密文件後綴會被修改成encrypt而成爲關鍵詞。該家族針對網絡存儲設備NAS進行攻擊,主要經過弱口令攻擊以及漏洞攻擊進行傳播。
解密大師 從解密大師本月解密數據看,解密量最大的是CryptoJoker,其次是GandCrab。使用解密大師解密文件的用戶數量最高的是被Stop家族加密的設備,其次是被Crysis家族加密的設備。!
若想了解更多產品信息或有相關業務需求,可移步至http://360.net。
360AISA全流量威脅分析系統
針對微軟本次安全更新,360AISA已基於流量側提供對應檢測能力更新,請AISA用戶聯繫techsupport@360.cn獲取更新,儘快升級檢測引擎和規則,作好安全防禦工做。
360安全衛士
Windows用戶可經過360安全衛士實現對應補丁安裝、漏洞修復、惡意軟件查殺,其餘平臺的用戶能夠根據修復建議列表中的安全建議進行安全維護。
360CERT建議廣大用戶使用360安全衛士按期對設備進行安全檢測,以作好資產自查以及防禦工做。
360本地安全大腦
360本地安全大腦是將360雲端安全大腦核心能力本地化部署的一套開放式全場景安全運營平臺,實現安全態勢、監控、分析、溯源、研判、響應、管理的智能化安全運營賦能。360本地安全大腦已支持對相關漏洞利用的檢測,請及時更新網絡神經元(探針)規則和本地安全大腦關聯分析規則,作好防禦。
360終端安全管理系統
360終端安全管理系統軟件是在360安全大腦極智賦能下,以大數據、雲計算等新技術爲支撐,以可靠服務爲保障,集防病毒與終端安全管控功能於一體的企業級安全產品。
360終端安全管理系統已支持對相關漏洞進行檢測和修復,建議用戶及時更新漏洞庫並安裝更新相關補丁。
2021-08-09 360高級威脅分析中心發佈通告
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。爲更好地爲政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特製版報告,以便用戶作資料留存、傳閱研究與查詢驗證。用戶可直接經過如下連接進行特製報告的下載。
2021年7月勒索病毒流行態勢分析
http://certdl.qihucdn.com/cert-public-file/forward_ramsomeware_status_analyze_report/【360CERT】2021年7月勒索病毒流行態勢分析.pdf
如有訂閱意向與定製需求請掃描下方二維碼進行信息填寫,或發送郵件至g-cert-report#360.cn ,並附上您的 公司名、姓名、手機號、地區、郵箱地址。
https://cert.360.cn/
進入官網查看更多資訊
本文分享自微信公衆號 - 三六零CERT(CERT-360)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。