2024年1月勒索软件流行态势分析

2024-02-02 19:35:27
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年1月，全球新增的活跃勒索软件家族有0mega、USDLocker、TOLKONEPERDITE等。其中0mega家族采用多重勒索方式运营。

以下是本月值得关注的部分热点：

1. 能源巨头施耐德电气遭Cactus勒索软件攻击

2. Tietoevry勒索软件攻击导致瑞典企业和城市停电

3. 中国凉茶品牌加多宝遭遇LockBit勒索软件攻击

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：phobos家族占比20.77%居首位，第二的是占比14.75%的Makop，TargetCompany(Mallox)家族以13.11%位居第三。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

2024年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC比服务器系统略高一些。

勒索软件热点事件

能源巨头施耐德电气遭Cactus勒索软件攻击

据知情人士透露，法国能源业巨头施耐德电气遭到了Cactus勒索软件攻击，导致公司数据被盗。据悉勒索软件攻击开始于1月17日，而遭到攻击的是该公司的可持续发展业务部门。本次攻击扰乱了施耐德电气的部分资源顾问云平台，这些平台至今仍处于中断状态。

据报道，勒索软件团伙在网络攻击期间窃取了以TB计的公司数据，并以此威胁该公司。虽然尚不清楚被盗数据的类型，但可持续发展业务部门为企业组织提供咨询服务就可再生能源解决方案提供建议并帮助他们满足全球公司复杂的气候监管要求，所以被盗数据可能包含有关客户用电、工业控制和自动化系统以及环境和能源法规合规性的敏感信息。

目前尚不清楚施耐德电气是否会支付赎金，但该公司在声明中证实其可持续发展业务部门确实遭受了网络攻击，并且确认攻击者获取到了内部数据。不过该公司同时也表示此次攻击仅限于该部门，并未影响公司其他部门。

Tietoevry勒索软件攻击导致瑞典企业和城市停电

芬兰IT服务和企业云托管提供商Tietoevry在1月21日证实，其在19日晚上到20日早上受到Akira勒索软件攻击，此次攻击影响了他们位于瑞典的一个数据中心。Tietoevry立即隔离了受影响的平台，勒索软件攻击并未影响公司基础设施的其他部分。而该数据中心用于该公司的企业管理云托管服务，此次事件导致瑞典多个客户出现服务中断。

该公司表示他们正在恢复基础设施和服务，但客户在服务器恢复上线时仍然受到影响。而据报道，此次攻击对该公司的虚拟化和管理服务器进行了加密，这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院Filmstaden已确认他们受到了此次攻击的影响，因此无法通过网站或移动应用程序在线购买电影票。此外，折扣零售连锁店Rusta、原材料供应商Moelven和农业供应商Grangnården也受到了影响。这次中断还影响了Tietoevry的薪资和人力资源管理系统Primula，该系统被瑞典政府、大学和学院广泛使用。该国受影响的大学和学院包括卡罗林斯卡学院、SLU、西大学、斯德哥尔摩大学、隆德大学和马尔默大学。

Primula所受到的攻击还影响了瑞典的众多政府机构和市政当局，包括Statens服务中心、Vellinge市和乌普萨拉县。对于乌普萨拉来说，系统的终端还影响了该地区的医疗保健记录系统。

中国凉茶品牌加多宝遭遇LockBit勒索软件攻击

Lockbit勒索组织在2024年1月12日发布了加多宝集团的勒索信息，并于2024年1月26日公开了发布了他们窃取到的460GB数据。

从勒索组织发布的数据示例截图看，相关数据涉及各类财务信息、供应商信息、员工劳动合同等。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表格1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有286个组织/企业遭遇勒索攻击，其中包含中国1个组织/企业在本月遭遇了双重勒索/多重勒索。其中有1个组织/企业未被标明，因此不在以下表格中。

表格2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

对2024年1月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2024年1月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词，本后缀为10月新增变种。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族正通过匿影僵尸网络进行传播。

l faust： phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l wis：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

l halo：同360。

l pings: 属于TargetOwner勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l mkp: 同wis。

l locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

l blackbit: 属于Loki勒索软件家族的分支变种，由于被加密文件后缀会被修改为blackbit而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l devicdata: 同mallox

解密大师

从解密大师本月解密数据看，解密量最大的是Sodinokibi，其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。