2022年12月勒索软件流行态势分析

admin 2023年1月11日18:01:51安全新闻评论15 views7893字阅读26分18秒阅读模式


赶紧点击上方话题进行订阅吧!

报告编号:B6-2023-010902

报告来源:360CERT

报告作者:360CERT

更新日期:2023-01-09


1
 简述



勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑 针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2022年12月,全球新增的活跃勒索软件家族有:Seoul、Lucknite、Blocky、HentaiLocker等家族。本月没有新增双重勒索软件家族,但Mallox勒索软件家族从本月开始在暗网公布受害者数据,目前已对外公布5个受害组织或企业的数据。

以下是本月值的关注的部分热点:

1. TellYouThePass勒索软件再次对国内OA服务器发起攻击。

2. 以比利时市政部门为目标的勒索软件团伙实际攻击了警察系统。

3. 勒索软件攻击迫使法国医院转移病人。

基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。


2
 感染数据分析



针对本月勒索软件受害者所中病毒家族进行统计:TellYouThePass家族占比22.14%居首位,其次是占比20.61%的phobos,而TargetCompany(Mallox)家族则以12.72%位居第三。

TellYouThePass勒索软件在最近一年异常活跃,本月中旬,其再次使用高危漏洞,攻击国内OA服务器。攻击共持续约16小时,造成大量安全防护不当,未打补丁的机器感染该家族勒索软件。

TargetCompany(Mallox)勒索软件今年也动作频频,近期我们监测到,该家族开始在其网站公开被攻击者数据,目前已公布了5个受害组织或企业的数据。若受害者收到的勒索提示信息中包含暗网地址,那么可能遭到了数据窃取攻击。若只是邮箱,则有较大概率未被窃取数据。

本月TOP10家族中的CryLock家族,我们监测到其传播团伙已将它重命名为Trigona,并建立了独立的赎金谈判网站。

2022年12月勒索软件流行态势分析

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows 2008。

2022年12月勒索软件流行态势分析

2022年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。

2022年12月勒索软件流行态势分析


3
 勒索软件疫情分析



TellYouThePass勒索软件再次对国内OA服务器发起攻击

本月,360政企安全集团高级威胁研究分析中心 (CCTGA勒索软件防范应对工作组成员)监测到Tellyouthepass勒索软件利用多个漏洞进行 入侵攻击,包括Atlassian Confluence OGNL 注入漏洞CVE-2022-26134、用友(Yonyou) GRP-U8 /UploadFileData 接口任意文件上传漏洞、用友(Yonyou) NC accept 接口文件上传漏洞、用友(Yonyou) NC NCInvokerServlet 接口任意代码执行漏洞、致远OA漏洞等。

攻击者在12月12日至13日持续发起批量攻击。最早监测到的攻击是在2022年12月12日凌晨02:31:43,而最近一次攻击则是发生在2022年12月13日18:47。利用Web漏洞入侵后,攻击者直接利用Web宿主进程(如java.exe)进行对系统进行加密并提出勒索。该勒索软件家族通常 通过漏洞利用批量扫描进行攻击,受影响较大的是存在Web漏洞且对外网映射的服务器。

Tellyouthepass勒索软件已经不是第一次利用高危漏洞发起攻击:早在2020年该家族就已利用永恒之蓝漏洞攻击多个目标,而2021年其再次利用Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)攻击了多个目标。

2022年12月勒索软件流行态势分析

以比利时市政部门为目标的勒索软件团伙实际攻击了警察系统

Ragnar Locker勒索软件团伙发布了他们认为是窃取自比利时兹维因德雷赫特市的数据,但事实证明是从比利时安特卫普警察部门兹维因 德利赫特警察局所窃取到的数据。

据报道,泄露的数据暴露了数千辆汽车牌照、罚款、犯罪报告文件、人员详情、调查报告等信息。而这类数据可能会暴露举报犯罪或虐待的举报人员隐私信息,并可能危及正在进行的执法及调查行动。

比利时媒体称此次数据泄露是此类事件中影响该国公共服务的最大事件之一,暴露了兹维因德利赫特警方从2006年至2022年9月保存的所 有数据。

2022年12月勒索软件流行态势分析

勒索软件攻击迫使法国医院转移病人

位于巴黎郊区的安德雷·米格诺教学医院因12月3日晚发生的勒索软件攻击,不得不关闭其电话和电脑系统。

据称,这起勒索软件事件背后的攻击者已经要求赎金。但院方并不打算支付。

目前,医院已取消了部分手术。据法国卫生与预防部长弗朗索瓦·布劳恩表示,院方还被迫将6名患者从新生儿和重症监护室转移到其他 医疗机构。

负责数字转型和电信的部长代表让·诺埃尔·巴罗表示,医院已隔离了受感染的系统来限制勒索软件向其他设备的传播,并向法国国家信息系统安全与防御局(ANSSI)发出了警报。

2022年12月勒索软件流行态势分析


4
 黑客信息披露



以下是本月收集到的黑客邮箱信息:

[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

2022年12月勒索软件流行态势分析

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有239个组织/企业遭遇勒索攻击,其中包含中国5个组织/企业在本月遭遇了双重勒索/多重勒索。其中有12个组织/企业未被标明,因此不再以下表格中。

sickkids.ca hacla.org QUT
Centro Médico Virgen De La Caridad AONTTAGL presco.com
Camst Group amundson.co.nz Iowa Public Television
Waterloo Wellington Flight Centre CPTM St. Rose Hospital
MITCON Consultancy & Engineering Services PANOLAM portodelisboa.pt
ELOTECH JAKKS Pacific, Inc. SUMITOMO BAKELITE USA
NO LIMIT MARINE Emoney AOAL - Azienda Ospedaliera di Alessandria
Einatec Centro Turistico Giovanile ET GLOBAL
Square Yards TCL Chinese Theatres Trubee, Collins & Co
www.buildersmutual.com INTRADO Inforlandia
HELMA Eigenheimbau AG Grupo Ibiapina Ltda pu.edu.lb
FARMS.COM CR&R Meyer & Meyer Holding SE & Co. KG
SSI Schäfer Shop Empresas Públicas de Medellín Fantasy Springs Resort Casino
Robinson Pharma STRESSER ASSOCIATES CPA BroadvisionGroup
Atlatec SA de CV Republic of Vanuatu aristopharma.com
excentiahumanservices.org Myofficeplace Inc. SEMITEC Corporation
pro office Büro + Wohnkultur GmbH Bregman Berbert Schwartz & Gilday Protecmedia
bavelloni.com Aegea Group companies Rech Informatica Ltda
Strem Chemicals thedonovancompany.com maxionwheels.com
MHMR Authority Of Brazos Valley SIRIUS SHIPPING FURETANK
DONSONET VAS Alvaria
menziesaviation.com smithsinterconnect.com hildinganders.com
ATLAS Interface Zehnders of Frankenmuth
Wrapex Industrial Serena Hotels MARK-TAYLOR
City Of Huntsville, Texas North Idaho College Innovative Education Management
Dixons Allerton Academy Sae-a Xavier University of Louisiana
Keralty Stolle Machinery JAKKS Pacific Inc
Monte Cristalina S.A. jka.co.uk mayflowerdentalgroup.com
agriobtentions.com womgroup.com rgvfirm.com
stmc.edu.hk polyflor.co.nz businesscentral.org.nz
catalyst-group.co.nz accuro.co.nz mercuryit.co.nz
senateshj.com OPUS IT Services H-Hotels
Cervecería Regional Creta Farm Conform
st-group.com Australian Real Estate Group Pty Ltd The Exchange Bank
University Institute of Technology of Paris TLC Publicare
Mol Arsat JMicron
Universidade Catolica Portuguesa Leo Hamel Fine Jewelers UPONOR
Eureka Casino Resort Emilio Sanchez American School CIMT College
ZXP Technologies Jeppesen Sterling
Vincent Fister mcft.com Bailey Cavalieri LLC
Mark-Taylor Expand Group TEIJIN AUTOMOTIVE TECHNOLOGIES
Ban Leong Technologies Ltd Petmate ITONCLOUD
Pinnacle Communications PARIC CORPORATION Schnee Berger
Cetrogar VFS ENPPI
veolus.com luxeprint.com.tw sentecgroup.com
financierareyes.com.mx dof.ca.gov tdtu.edu.vn
rkfoodland.com jieh.vn amazing-global.com
k-toko.com 2networkit Una Seguros
Antwerpen REC Silicon sushi-master.ru
KNOX College dothousehealth.org biotipo.com.br
koda.com.tw Aeroproductsco oltax.com
rhotelja.com hawanasalalah.com Maney | Gordon | Zeller, P.A.
Atcore Dingbro Ltd A.R. Thomson Group
Altro Mortons Media Group Ltd ARRI
Cleveland Brothers AIRCOMECHANICAL Panolam Surface Systems
SEACAST Pella Landaumedia
Hilldrup ChemiFlex Radical Sportscars
Orotex Pilenpak AHT Wisconsin Windows
Acquarius Trust Group Warren County Community College Generator-power
V3 Companies SOTO Consulting Engineers Requena
Albina Asphalt Adams-Friendship Area School District Wrota Mazowsza
UJV Rez Skoda Praha MME Group
Highwater Ethanol Boss-inc Feu Vert
g4s.com myersontooth.com nworksllc
CIBTvisas BRYCON Construction NCI CABLING INC
SEED CO LTD LJ Hooker Palm Beach morugait
Elias Motsoaledi Local Municiapality Novak Law Offices prinovaglobal.com
littleswitzerland.com Glutz INTERSPORT
Jubilant AV Solutions ZXP Technologies
Aria systems Realstar Holdings Partnership Berlina Tbk
Austria Presse Agentur brunoy.fr sentenia.net
handrhealthcare.com Grupo NGN Philippine Economic Zone Authority (PEZA)
Cappagh Contractors Construction (London) Ltd Lucchini RS abilways.com
Trussbilt LLC Duplicator Sales & Service All Seasons Global Solutions
Summit PGT Innovations thorntontomasetti.com
ckfinc.com adamjeeinsurance.com 8x8.com

表格2. 受害组织/企业


5
 系统安全防护数据分析



360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。

2022年12月勒索软件流行态势分析

对2022年12月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

2022年12月勒索软件流行态势分析

通过观察2022年12月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

2022年12月勒索软件流行态势分析


6
 勒索软件关键词



以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- locked1: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、 系统漏洞进行传播。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌 面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

- locked:同locked1。

- faust:同devos。

- mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- eking:同devos。

- elbie:同devos。

- _locked:属于Trigona(CryLock)勒索软件家族,由于被加密文件后缀会被修改为_locked而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

2022年12月勒索软件流行态势分析


7
 解密大师



从解密大师本月解密数据看,解密量最大的是Loki,其次是Tesla。使用解密大师解密文件的用户数量最高的是Crysis被家族加密的设备(解密文件数较小故未入榜),其次是被Stop家族加密的设备。

2022年12月勒索软件流行态势分析


8
 时间线



2023-01-09 360高级威胁研究分析中心发布通告


9
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。

2022年12月勒索软件流行态势分析

2022年12月勒索软件流行态势分析
360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
2022年12月勒索软件流行态势分析


2022年12月勒索软件流行态势分析
点击在看,进行分享
2022年12月勒索软件流行态势分析

原文始发于微信公众号(三六零CERT):2022年12月勒索软件流行态势分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日18:01:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  2022年12月勒索软件流行态势分析 http://cn-sec.com/archives/1508943.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: