2025年1月勒索软件流行态势分析

2025-02-08 17:42:31
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2025年1月，全球新增的双重勒索软件家族包有GD Lockersec，该家族目前以攻击AWS托管站点并窃取数据进行勒索为主。新增的传统勒索软件家族有Contacto、Codefinger、D0glun，其中D0glun仅发现在国内少数论坛中进行传播。

以下是本月值得关注的部分热点：

n Wolf Haldenstein律师事务所称泄露了350 万人的数据

n 勒索软件利用Amazon AWS功能加密S3存储容器

n 勒索软件团伙冒充IT支持在Microsoft Teams网络中进行钓鱼攻击

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比40%居首位，第二的是Makop占比14.29%的，RNTC家族以10%位居第三。

图1. 2025年1月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows7以及Windows Server 2008。

图2. 2025年1月勒索软件入侵操作系统占比

2025年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC大幅度高于服务器平台，NAS平台以内网SMB共享加密为主。

图3. 2025年1月勒索软件入侵操作系统类型占比

勒索软件热点事件

Wolf Haldenstein律师事务所称泄露了350 万人的数据

Wolf Haldenstein报告称它遭遇了一次数据泄露，使近350万人的个人信息暴露给了黑客。此次事件发生在2023年12月13日，但该公司表示数据分析和数字取证并发症严重延迟了调查的完成。

2025年1月10日，Wolf Haldenstein在其网站上发布了一份数据泄露通知，而缅因州AG数据泄露门户网站上的一个条目将受其影响的总人数锁定为3445537人。虽然这个数字是在2024年12月3日确定的，但该公司一直无法找到许多受影响者的联系信息，因此尚未发送通知。

尽管该律师事务所表示没有证据表明暴露的数据被滥用，但它警告受影响的个人，黑客可能持有有关他们的以下信息：

l 全名

l 社会安全号码（SSN）

l 员工

l 身份证号码

l 医疗诊断

l 医疗索赔信息

泄露这些数据会急剧增加网络钓鱼、诈骗、社会工程和其他针对受影响个人的针对性攻击的风险。该公司在确定受影响的人方面进展缓慢，以及延迟公开，情况只会变得更糟。尽管无法直接联系受影响的个人，但将向那些认为自己受到影响的人提供补充的信用监控保险。Wolf Haldenstein还建议个人对其账户上的未经请求的通信和可疑活动保持警惕，并考虑设置欺诈警报或安全冻结。该公司没有明确说明暴露的数据是否属于客户、员工或将其信息存储在其服务器上的其他个人。如果您与他们有业务往来，谨慎的做法是打电话给他们并询问此事件对您有何影响。

勒索软件利用Amazon AWS功能加密S3存储容器

一款新的勒索软件使用AWS的服务器端加密和只有攻击者知道的客户密钥（SSE-C）来加密Amazon S3 buckets ，并索要赎金才能提供解密密钥。

有分析人员发现，一个名为“Codefinger”的攻击者已经加密了至少两名受害者。不过本轮攻击事件可能还会进一步扩大，或是出现更多攻击者开始采用此类策略进行加密和勒索攻击。

Amazon S3是AWS提供的可扩展、安全且高速的对象存储服务，而S3 buckets是用于存储文件、数据备份、媒体、日志等的云存储容器。SSE-C则是其提供的一种加密选项，用于保护静态S3数据，允许客户使用自己的加密密钥通过AES-256算法加密和解密其数据。AWS不存储密钥，客户负责生成密钥、管理和保护密钥。

在Codefinger的攻击中，攻击者使用泄露的AWS凭证来获取SSE-C密钥生成权限。此后，攻击者在本地生成加密密钥以加密目标的数据。而由于AWS不存储这些加密密钥，因此即使受害者向Amazon求助，在没有攻击者密钥的情况下也无法恢复数据。

勒索软件团伙冒充IT支持在Microsoft Teams网络中进行钓鱼攻击

勒索软件团伙近期越来越多地采用电子邮件轰炸手段发动攻击，并在Microsoft Teams通话中冒充技术支持人员，诱骗员工允许远程控制并安装提供公司网络访问权限的恶意软件。攻击者往往会在短时间内发送了数千封垃圾邮件，然后利用已控制的Office 365实例呼叫目标，假装提供IT支持人员。

自2024年年底以来，在不少Black Basta勒索软件的攻击中出现了这种攻击策略。但安全研究人员发现与FIN7组织有关的其他攻击者可能也开始使用相同的方法。为了联系公司员工，黑客利用目标组织的默认Microsoft Teams配置，该配置允许来自外部域的呼叫和聊天。

在发现的案例中，黑客首先通过电子邮件发送了大量消息。不久之后，目标员工收到了来自名为“Help Desk Manager”的账户的外部Teams电话。攻击者说服受害者通过Microsoft Teams设置远程屏幕控制会话。攻击者则释放了托管在外部SharePoint链接上的恶意载荷，该载荷会为攻击者提供对受感染计算机的远程访问。攻击者还会检查系统详细信息并部署第二阶段的黑客工具与恶意指令。

由于在攻击的最后阶段之前就被阻止了，研究人员认为黑客的目标是窃取数据，然后部署勒索软件。此外，研究人员还观察到STAC5777试图在网络上部署Black Basta勒索软件，因此攻击者可能与臭名昭著的勒索软件团伙有某种关系。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图4. 2025年1月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露的准备，采取补救措施。

本月总共有522个组织/企业遭遇勒索攻击，其中包含中国4个组织/企业在本月遭遇了双重勒索/多重勒索。其中有7个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图5 2025年1月受攻击系统占比

对2025年1月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图6. 2025年1月国内受攻击地区占比排名

通过观察2025年1月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图7. 2025年1月监控到的RDP入侵量

图8. 2025年1月监控到的MS SQL入侵量

图9. 2025年1月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

n wexor：属于Weaxor勒索软件家族，该家族的之前的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。自本月起则主要以漏洞利用方式进行投毒。

n wxr：同wexor。

n wstop： RNTC勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

n baxia：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

n mkp: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

n bixi：同baxia。

n src：同mkp。

n 888：属于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。devicdata：同hmallox。

n sstop：同wstop。

n devicdata：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，后来增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

图10 2025年1月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是Xiaoba其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

2025年1月勒索软件流行态势分析

热点排行

关注我们