2024年10月勒索软件流行态势分析

2024-11-06 18:04:58
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年10月，全球新增的双重勒索软件家族有Sarcoma、Playboy、DragonRansom、Interlock、Hellcat。10月新增的传统勒索软件家族Weaxor在国内的传播较为显著，目前监测其主要通过远程桌面登录手动投毒。

以下是本月值得关注的部分热点：

1. Fog勒索软件以SonicWall VPN为目标来破坏公司网络

2. BianLian勒索软件声称对波士顿儿童健康医生发起攻击

3. 卡西欧确认客户数据在勒索软件攻击中被盗

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比43.50%居首位，第二的是Makop占比17.51%的，RNTC家族以10.73%位居第三。

图1. 2024年10月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

图2. 2024年10月勒索软件入侵操作系统占比

2024年10月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC高于服务器平台。

图3. 2024年10月勒索软件入侵操作系统类型占比

勒索软件热点事件

Fog勒索软件以SonicWall VPN为目标来破坏公司网络

Fog和Akira勒索软件运营商越来越多地通过SonicWall VPN账户入侵企业网络，据信攻击者正在利用CVE-2024-40766，这是一个严重的SSL VPN访问控制漏洞。

与此同时，安全研究人员报告说看到Akira勒索软件下属公司利用该漏洞获得对受害者网络的初始访问权限。安全研究人员的一份新报告警告说，Akira和Fog勒索软件已经进行了至少30次入侵，这些入侵都是从通过SonicWall VPN账户远程访问网络开始的。在这些案例中，75%与Akira有关其余则归因于Fog勒索软件。

有趣的是，这两个威胁组织似乎共享基础设施，这表明两者之间非官方合作的继续。虽然研究人员并不能100%肯定该漏洞在所有情况下都被使用，但所有被破坏的端点都容易受到它的攻击，运行的是较旧的、未修补的版本。在大多数情况下，从入侵到数据加密的时间很短，大约十小时，最快的甚至达到1.5~2小时。在许多此类攻击中，攻击者通过VPN/VPS访问客户端，混淆其真实IP地址。安全研究人员指出，除了运行未修补的客户端外，受感染的组织似乎没有在受感染的SSL VPN账户上启用多因素身份验证，也没有在默认端口4433上运行其服务。

从被破坏的系统窃取数据涉及文档和专有软件，但攻击者不会理会超过6个月的文件或者超过30个月的敏感文件。

BianLian勒索软件声称对波士顿儿童健康医生发起攻击

BianLian勒索软件组织声称对波士顿儿童健康医师（BCHP）进行了网络攻击，并威胁称如不支付赎金则会泄露被盗文件。BHCP是一个由300多名儿科医生和专家组成的网络，在纽约哈德逊谷和康涅狄格州的60多个地点运营，在波士顿儿童医院附属的诊所、社区医院和保健中心提供患者护理。

根据BHCP在其网站上发布的公告称，其信息技术供应商在9月6日遭到了一次网络攻击，几天后BHCP也在其网络上检测到未经授权的活动。随后在第三方法医专家的帮助下进行的调查证实，攻击者未经授权进入了BHCP系统并窃取了文件。

此次泄露影响到了现任和前任员工、患者和担保人。根据客户提供给BHCP的信息，泄露的数据包括以下内容：

l 全名

l 社会安全号码

l 地址

l 出生日期

l 驾照号码

l 病历号

l 健康保险信息

l 账单信息

l 治疗信息（部分）

BHCP进一步澄清说，因为托管在一个单独的网络上，此次网络攻击没有影响其电子病历系统。

目前，BianLian还没有泄露任何东西，也没有泄露被盗信息的最后期限，这表明他们仍然希望与BHCP谈判。

卡西欧确认客户数据在勒索软件攻击中被盗

卡西欧目前证实，本月早些时候它遭受了勒索软件攻击，警告说员工、求职者和一些客户的个人和机密数据也被盗。

此次攻击于7日被披露，当时卡西欧警告称，由于周末未经授权访问其网络，该公司正面临系统中断和服务中断。9日，Underground勒索软件组织声称对此次攻击负责，并泄露了据称从日本科技巨头系统中窃取的各种文件。10日，在数据泄露后，卡西欧发表了一份新声明，承认敏感数据在其网络受到攻击期间被盗。

至于目前正在进行的调查结果，卡西欧表示，以下信息已被证实可能被泄露：

l 卡西欧及其关联公司的长期和临时/合同员工的个人数据。

l 与卡西欧和某些关联公司的业务合作伙伴相关的个人详细信息。

l 过去在卡西欧面试过的个人信息。

l 使用卡西欧及其关联公司提供的服务的客户的个人信息。

l 与当前和过去业务合作伙伴的合同相关的详细信息。

l 有关发票和销售交易的财务数据。

l 包括来自卡西欧及其关联公司的法律、财务、人力资源规划、审计、销售和技术信息的文件。

具体关于客户数据，卡西欧指定公开的集合不包括信用卡信息，因为支付数据不存储在其系统上。

此外，这家日本公司表示，像卡西欧ID和ClassPad.net这样的服务系统没有受到该事件的影响，因为它们没有托管在被破坏的服务器基础设施上。

随着调查的继续，影响的范围可能会扩大，建议那些认为自己可能受到影响的人对未经请求的电子邮件保持警惕。卡西欧还要求互联网用户避免在线分享任何泄露的信息，因为这只会使受数据泄露影响的人的情况恶化。“请不要通过社交媒体等传播这些信息，因为这可能会增加本案信息泄露造成的损害，侵犯受影响者的隐私，对他们的生活和业务产生严重影响，并鼓励犯罪，”卡西欧最新声明说。警方和日本个人信息保护委员会从本周早些时候就已经获悉了这一情况，因此当局参与了调查和整治工作。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图4. 2024年10月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有536个组织/企业遭遇勒索攻击，其中包含中国3个组织/企业在本月遭遇了双重勒索/多重勒索。其中有10个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图5. 2024年10月受攻击系统占比

对2024年10月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图6. 2024年10月国内受攻击地区占比排名

通过观察2024年10月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图7. 2024年10月监控到的RDP入侵量

图8. 2024年10月监控到的MS SQL入侵量

图9. 2024年10月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

n rmallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

n wstop： RNTC勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

n mkp: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

n bixi：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

n locked：属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

n src：同mkp。

n mallox：同rmallox。

n wormhole：属于Wormhole勒索软件家族，由于被加密文件后缀会被修改为Wormhole而成为关键词。该家族主要的传播方式为：通过瑞友天翼软件漏洞发起攻击。

n 888：属于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

n baxia：同bixi。

图10. 2024年10月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是GandCrab其次是OpenMeV2。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

2024年10月勒索软件流行态势分析

热点排行

关注我们