2024年12月勒索软件流行态势分析

2025-01-06 16:58:18
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年12月，全球新增的双重勒索软件家族有Bluebox，目前仅有3个受害组织。12月新增的传统勒索软件家族有RdpLocker，目前尚未监测到在国内的传播行为。

以下是本月值得关注的部分热点：

n 美国指控俄罗斯-以色列人可能是LockBit勒索软件开发者

n Clop勒索软件声称对Cleo数据盗窃攻击负责

n 勒索软件攻击心脏手术设备头部制造商

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比25.52%居首位，第二的是RNTC占比23.45%的，BeijingCrypt家族以11.03%位居第三。

图1. 2024年12月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows7以及Windows Server 2012。

图2. 2024年12月勒索软件入侵操作系统占比

2024年12月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC占比大幅度高于服务器平台。

图3. 2024年12月勒索软件入侵操作系统类型占比

勒索软件热点事件

美国指控俄罗斯-以色列人可能是LockBit开发者

美国司法部已指控一名俄罗斯-以色列双重国籍人士涉嫌在开发恶意软件和管理臭名昭著的LockBit勒索软件组织的基础设施方面发挥作用。根据12月20日，新泽西州地区解封的一份刑事起诉书，51岁的俄罗斯-以色列双重国籍的Rostislav Panev据称帮助开发了LockBit勒索软件加密程序和攻击中常用的定制“StealBit”数据盗窃工具。

Panev于8月在以色列被捕，彼时他正在等待美国未决的引渡请求。刑事起诉书称，以色列执法部门在他的计算机上发现了一个在线存储库的凭据，其中包含LockBit加密程序和StealBit工具的源代码。这些存储库还包含Conti勒索软件加密程序的源代码，该源代码是在Conti在入侵乌克兰问题上站在俄罗斯一边后被一名乌克兰研究人员泄露的。据信，此源代码已用于帮助创建基于Conti加密器的“LockBit Green”加密器。

起诉书还称，Panev使用黑客论坛的私人消息功能与LockBit的主要运营商LockBitSupp（现在被确认为Dmitry Yuryevich Khoroshev）进行交流。这些消息是为了讨论需要在LockBit构建器和操作控制面板上编码的工作。据称，由于他与LockBit勒索软件团伙合作，Panev在18个月内赚取了大约23万美元。

据称，在被捕后接受以色列警方审讯时，Panev承认为LockBit勒索软件做编程工作并获得了报酬。如果Panev被引渡到美国，他将在新泽西州特区受审。

Clop勒索软件声称对Cleo数据盗窃攻击负责

2020年12月，Clop利用了Accellion FTA安全文件传输平台的0day漏洞，影响了近百家组织。在之后的2021年，勒索软件团伙利用SolarWinds Serv-U FTP软件中的0day漏洞窃取数据并破坏网络。2023年，Clop利用GoAnywhere MFT平台的0day漏洞，使勒索软件团伙再次从100多家公司窃取数据。然而，根据安全公司给出的一份报告称，该团伙最严重的此类攻击是在MOVEit Transfer平台上使用0day，这使他们能够从2773个组织中窃取数据。

目前，尚不清楚有多少公司受到了Cleo数据盗窃攻击的影响，也不清楚有任何公司证实通过该平台被入侵。美国国务院的正义奖励计划目前悬赏1000万美元，以获取将Clop勒索软件攻击与外国政府联系起来的信息。

勒索软件攻击心脏手术设备头部制造商

心脏外科医疗设备制造商Artivion近期披露了其在11月21日遭到了勒索软件攻击，该攻击中断了其运营并迫使其部分系统下线。

Artivion的应对措施包括使某些系统下线、启动调查以及聘请外部顾问，包括法律、网络安全和法医专业人士来评估、遏制和补救事件。虽然Artivion在公告中没有直接提到勒索软件，但它透露攻击者加密了其一些系统并从受感染的系统中窃取了数据。该公司还补充说，其公司运营、订单处理和运输的中断已基本得到解决，保险范围将涵盖与事件响应相关的费用。

目前，暂时没有勒索软件声称对攻击负责。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图4. 2024年12月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有528个组织/企业遭遇勒索攻击，其中包含中国1个组织/企业在本月遭遇了双重勒索/多重勒索。其中有76个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图5 2024年12月受攻击系统占比

对2024年12月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图6. 2024年12月国内受攻击地区占比排名

通过观察2024年12月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图7. 2024年12月监控到的RDP入侵量

关于MS SQL的入侵，12月30日的数据由于一些设备被大量暴破导致数据大幅增高，随后即恢复正常水平。

图8. 2024年12月监控到的MS SQL入侵量

图9. 2024年12月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

n hmallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

n wstop： RNTC勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

n Weaxor：属于Weaxor勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

n mkp: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

n baxia：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

n bixi：同baxia。

n rmallox：同hmallox。

n src：同mkp。

n devicdata：同hmallox。

n 888：属于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

图10 2024年12月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是GandCrab其次是Telsa。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

2024年12月勒索软件流行态势分析

热点排行

关注我们