2024年6月勒索软件流行态势分析

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年6月，全球新增的双重勒索软件家族有Cicada3301、Trinity、ElDorado。新增的传统勒索软件家族有Anony。其中Anony在国内广泛传播并出现多个变种。

以下是本月值得关注的部分热点：

1. 过节也不消停——TellYouThePass的“端午攻势”

2. Black Basta勒索软件组织与Windows的0day攻击有关联

3. Ratel远控软件针对过时的安卓手机发动勒索攻击

4. Brain Cipher攻击印度尼西亚数据中心

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比60.27%居首位，第二的是phobos占比12.05%，BeiJingCrypt家族以8.04%位居第三。

图1. 2024年6月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

图2. 2024年6月勒索软件入侵操作系统占比

2024年6月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器平台的攻击比例基本相当。

图3. 2024年6月勒索软件入侵操作系统类型占比

勒索软件热点事件

过节也不消停——TellYouThePass的“端午攻势”

随着端午节假期的结束，大家也都逐步回到了日常的工作生活当中。而360安全大脑则监控到，就在端午节假期期间，一个熟悉的勒索病毒家族再度开启了新一轮的“攻势”。

结合目前的监控数据来看，本轮攻击最早见于2024年6月8日15时左右。而攻击的源头是来自于一个针对PHP-CGI的参数注入攻击漏洞，漏洞的CVE编号为“CVE-2024-4577”。根据CVE官方的记述，在带有该漏洞的环境中，PHP-CGI模块可能会将Windows系统传入的参数误识别为PHP的配置选项传递给正在运行的PHP程序，进而可能被恶意攻击者利用来实现“任意代码执行”的操作。

而在6月8日时，360安全大脑便监控到了该漏洞的在野攻击。在实际触发的在野攻击中，系统中的HTTP守护进程会将可触发漏洞的参数传递给php-cgi程序，进而导致php-cgi.exe调起系统的cmd命令行工具运行mshta解释器来获取在线的远程hta脚本（实际为vbs脚本）到本地并运行。

而最终执行的脚本，则会释放其中经过编码过的恶意程序并运行。这个最终被释放到本地并被运行起来的恶意程序，便是我们阴魂不散的“老朋友”，TellYouThePass勒索软件。至此，TellYouThePass借助这个新公开的PHP漏洞展开了又一轮的攻击。

Black Basta勒索软件组织与Windows的0day攻击有关联

Black Basta勒索软件被怀疑利用Windows的提权漏洞CVE-2024-26169进行传播。该漏洞是Windows错误报告服务中存在的一个严重问题，其允许攻击者提升其权限至SYSTEM级别。微软在2024年3月12日的常规下发的每月“补丁星期二”更新中修复了这一漏洞，而在其描述页面中显示该漏洞尚未发现被真实的在野攻击所利用。

而赛门铁克的一份报告则指出，CVE-2024-26169可能已被Black Basta勒索软件的运营团队——红衣主教网络犯罪集团（Storm-1811，UNC4394）利用，并指出它很有可能是在其尚处于未知的0day漏洞阶段时期就已被利用作为入侵手段之一。赛门铁克调查了一起勒索攻击事件，该事件中使用了针对CVE-2024-26169漏洞的攻击工具，该漏洞是在黑暗之门加载器（Black Basta一直在使用该加载器）首次感染后被利用的。

安全分析人员认为攻击者与“Black Basta”有关联，因为他们使用了批处理脚本伪装成软件更新，目的是执行恶意命令并对被入侵的系统建立持久连接——这也正是该组织的常见策略。同时，研究人员观察到的攻击工具利用了Windows文件werkernel.sys在创建注册表键时使用空安全描述符的事实。该工具利用这一点创建了一个注册表键，并将“Debugger”值设置为自身的可执行文件路径，从而允许其以SYSTEM权限启动一个命令提示符窗口。

在这份研究成果中有一个有趣的情况：其中一个攻击工具的编译时间戳是2024年2月27日，而另一个样本的编译时间则更早，是2023年12月18日。这意味着Black Basta在微软最终为该提权漏洞发布修复方案的14至85天之间便已拥有了该漏洞的利用工具。虽然这个时间戳可以被修改，但目前看来攻击者没有伪造时间戳的动机，所以这种情况的可能性并不大。

为了降低Black Basta利用这一漏洞进行传播所带来的风险，建议用户及时安装最新的Windows安全更新补丁。目前，安全研究机构观察到较新版本的BiBi Wiper会用随机数据破坏非系统文件，并在文件后附加一个包含“BiBi”字符串的随机扩展名。与过去的版本相比，这些较新的变种仅针对地区标记在以色列操作系统，并且不再删除系统快照或禁用系统的错误恢复功能。但它们现在会从硬盘中删除分区表信息，这种专门针对系统分区表展开的攻击，因其会导致安全人员无法恢复硬盘布局而将数据恢复工作复杂化，并最大程度地破坏数据。CI Wiper则主要针对地区标记为阿尔巴尼亚的系统，它使用“ElRawDisk”驱动程序执行擦除操作并将预定义的缓冲区覆盖到物理驱动器的对应位置中。

Ratel远控软件针对过时的安卓手机发动勒索攻击

一种名为“Rafel RAT”的开源Android恶意软件被多个网络犯罪组织广泛部署用于攻击过时的安卓设备，其中一些团伙还试图使用勒索软件模块将设备锁定，并通过Telegram要求支付赎金。

据安全分析人员报告称，他们发现了120多起利用Rafel RAT恶意软件发动的攻击活动。而攻击目标则多为包括政府和军事部门在内的敏感组织，受害者大多来自美国、中国和印度尼西亚。

研究发现在大多数感染案例中，受害者使用的多是已经过时的Android版本，并且不再接收安全更新，因此容易受到已知或已公布的漏洞的攻击。所谓过时指的是Android 11及更早版本，此类设备在所有被攻击的设备中占比为87.5%。而被攻击的目标品牌和型号，则涵盖了各种各样的产品：包括三星Galaxy、谷歌Pixel、小米Redmi、摩托罗拉One以及一加、vivo和华为的设备。这也证明Rafel RAT是一种能够有效攻击多种不同Android设备的攻击工具。Rafel RAT的传播方式也很多，最常见的则是伪装成Instagram、WhatsApp、电子商务平台或防病毒软件等来诱导人们下载其恶意APK安装包。

它所支持的命令因版本而异，但通常包括以下内容：

表1. Rafel指令表

根据研究，大约有10%的案例中出现了“ransomware”命令。Rafel RAT的勒索软件模块旨在通过控制受害者的设备并使用预先定义的AES密钥加密其文件来实施敲诈勒索计划。如果攻击者已经在设备上获得了DeviceAdmin权限，那么勒索软件就可以控制设备的关键功能，例如更改锁定屏幕密码和在屏幕上添加定制消息（通常是勒索通知）。如果用户试图撤销管理员权限，勒索软件还会立即更改密码并锁定屏幕。

研究人员发现，攻击者在执行加密模块之前通常会利用Rafel RAT的其他功能进行侦察。之后再通过清除通话记录；修改设备壁纸为自定义消息；锁定屏幕；激活设备振动功能；并发送了一条包含勒索信息的短信等一系列操作来要求受害者通过Telegram联系他们以“解决当前问题”。

Brain Cipher攻击印度尼西亚数据中心

印度尼西亚正在建设国家数据中心用来安全地存储政府用于在线服务和数据托管的服务器。而就在6月20日，其中一个临时国家数据中心遭遇网络攻击，政府服务器遭到加密，同时移民服务、护照检查、活动许可发放以及其他在线服务也均被中断。当地政府证实此次袭击是由名为Brain Cipher的新勒索软件攻击造成的，影响了200多个政府机构。

而Brain Cipher方面则要求受害机构使用门罗币支付折合800万美元的赎金用以获取解密器，并防止泄露据称是在攻击中窃取的数据。媒体报道称，攻击者在谈判对话中表示他们将发布一份关于此次攻击中“个人数据保护质量”的“新闻稿”，这很可能意味着数据已被窃取。尽管该勒索软件团伙最初并未建立数据泄露网站，但他们在最新的勒索赎金通知信息中指向了一个网站，这意味着受害者的数据同样处于危险之中，并将可能被用于双重勒索的威胁之中。

据分析，Brain Cipher是使用泄露的LockBit 3.0构建器创建的。与其他勒索软件类似，Brain Cipher会入侵企业网络并横向传播到内网中的其他设备上。一旦攻击者获得了Windows域管理员权限，他们就会在整个网络中部署勒索软件。然而，在对文件进行加密之前，攻击者还会窃取公司的数据以便在后续的勒索行动中增加谈判筹码以及提高赎金金额。

Brain Cipher在窃取数据方面也不例外，该组织最近推出了一个新的数据泄露网站，而目前该网站中所列出的唯一受害者就是印度尼西亚的数据中心。但在该数据泄露页面中，Brain Cipher表示不会泄露盗取的数据，同时，会在7月3日时免费交出用于恢复被加密文件的密钥。对于本次攻击行为，该勒索家族解释为此次攻击仅是为了提醒受害者应重视安全防护。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表2. 黑客邮箱 

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图4. 2024年6月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有340个组织/企业遭遇勒索攻击，其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有5个组织/企业未被标明，因此不在以下表格中。

表3. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows 7、Windows 10以及Windows Server 2016。

图5. 2024年6月受攻击系统占比

对2024年6月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图6. 2024年6月国内受攻击地区占比排名

通过观察2024年6月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图7. 2024年6月监控到的RDP入侵量

图8. 2024年6月监控到的MS SQL入侵量

图9. 2024年6月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l  hmallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

l  locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

l  svh: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l  anony: 属于Anony勒索软件家族，由于被加密文件后缀会被修改为anony而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l  halo：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

l  360：同halo。

l  src：同svh。

l  rmallox：同hmallox。

l  mallox：同hmallox。

l  faust： phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

图10. 2024年6月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是Crysis其次是Buran。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。

图11. 2024年6月解密大师解密文件数及设备数排名