2024年8月勒索软件软件流行态势分析报告
- 2024-09-05 17:24:03
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年8月,全球新增的传统勒索软件家族有RNTC、BaiduLock等。相关家族在国内主要通过远程桌面与数据库弱口令登录方式投毒。
以下是本月值得关注的部分热点:
1. 法国凡尔赛宫在奥运会期间遭遇网络攻击
2. Patelco向72.6万名客户通报了勒索软件数据泄露事件
3. 江河集团短期内被两个勒索软件家族泄露数据
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:Makop家族占比18.05%居首位,第二的是TargetCompany(Mallox)占比16.59%的,phobos家族以15.61%位居第三。
图1. 2024年8月勒索软件家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
图2. 2024年8月勒索软件入侵操作系统占比
2024年8月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC与服务器平台的攻击比例基本相当。
图3. 2024年7月勒索软件入侵操作系统类型占比
勒索软件热点事件
法国凡尔赛宫在奥运会期间遭遇网络攻击
法国的大皇宫国家博物馆联盟(RMN)于2024年8月3日晚间遭遇网络攻击。据《巴黎人报》内部消息来源透露,由于遭遇勒索软件攻击,大皇宫博物馆的运营受到了干扰。
然而,大皇宫博物馆馆长Matthias Grolier在社交媒体上否认了这一说法,称此次攻击并未影响到其他博物馆。而法国媒体《西南报》则报道称,此次袭击导致大皇宫博物馆关闭了其系统以防止攻击蔓延,这扰乱了法国众多博物馆的书店和精品店,只不过该情况目前已得到了暂时性的解决。
大皇宫博物馆联盟表示,此次网络攻击并未对其管理下的其他博物馆造成影响,这些博物馆仍继续正常运营。由大皇宫管理的36家博物馆商店目前同样也在正常运营。
据该博物馆表示,其已向法国网络安全特别行动组(ANSSI)、法国国家信息与自由委员会(CNIL)以及文化部通报了此次网络攻击事件。ANSSI目前正在协助进行修复和网络恢复工作,初步调查尚未发现任何从被入侵系统中窃取数据的迹象。
然而,据称此次事件的攻击者留下了一封勒索信来索要赎金,并威胁称如果不支付赎金他们将公布在攻击中窃取的数据。不过,目前还没有任何勒索软件组织宣称对此次攻击负责,因此攻击者的身份尚不明确。
Patelco向72.6万名客户通报了勒索软件数据泄露事件
Patelco信用合作社警告客户称今年早些时候该信用合作社在遭受RansomHub勒索软件攻击时,客户的个人数据或已被盗,信用合作社因此遭受了数据泄露事件。虽然Patelco并没有透露袭击者的身份,但勒索团伙“RansomHub”于2024年8月15日宣称对此事负责,当时他们将所有被盗数据发布在他们的勒索门户网站上。
此前,该公司曾透露其于2024年6月29日遭遇勒索软件攻击,被迫关闭面向客户的银行系统以控制损失并保护客户的数据。该系统中断事件持续了大约两周时间。在此期间,该组织恢复了其IT系统大部分功能。
在事件曝光时,Patelco公司尚未确定攻击中是否存在数据泄露情况。但在2024年8月14日,该组织经调查后最终确认了攻击者已窃取了客户数据。
被攻击者获取的个人信息因人而异,可能包括:
l 客户全名
l 社会安全号码(SSN)
l 驾驶执照号码
l 出生日期
l 电子邮件地址
以上信息也与暗网勒索平台“RansomHub”泄露的信息相符。该平台上的黑客声称在为期两周谈判之后,他们未能与Patelco达成协议。
根据缅因州检察长办公室网站上的一份名单显示,该事件影响了72.6万名Patelco客户。Patelco公司也在其网站首页放置了一个警告横幅,提醒会员该公司团队绝不会直接联系他们要求提供卡号信息,包括PIN码、有效期或CVV码。而对于那些身份信息被泄露的人来说,遭受钓鱼攻击、社会工程攻击和诈骗的风险大大增加。因此他们现在被建议要对未经请求的通信和恶意企图保持警惕。
国内某建筑集团短期内被两个勒索软件家族泄露数据
国内一家集建筑幕墙系统、建筑装饰、医疗健康和投资等多元化业务于一体的全球化大型建筑企业集团在今年8月时,分别被两个勒索软件组织Hunters International与RansomHouse公开了入侵后窃取的数据。
图4. Hunters International勒索组织宣称攻陷国内某建筑集团
图5. 据勒索团伙称窃取自该集团内部的数据列表
图6. RansomHouse勒索团伙信息泄露页面挂出国内某建筑集团
早在7月20日,360安全大脑就监测到相关攻击团伙通过域控制器下发计划任务的方式,实施了在企业内部大规模部署勒索攻击的行为。
图7. 360安全大脑监控到攻击者利用域控部署勒索软件
我们也已第一时间通报了相关单位,对方目前尚未进对该事件进行回应。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图8. 2024年8月通过数据泄露获利的勒索软件家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有446个组织/企业遭遇勒索攻击,其中包含中国3个组织/企业在本月遭遇了双重勒索/多重勒索。其中有7个组织/企业未被标明,因此不在以下表格中。
表2. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
图9. 2024年8月受攻击系统占比
对2024年8月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
图10. 2024年8月国内受攻击地区占比排名
通过观察2024年8月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
图11. 2024年8月监控到的RDP入侵量
图12. 2024年8月监控到的MS SQL入侵量
图13. 2024年8月监控到的MYSQL入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
n rmallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
n hmallox:同rmallox。
n baxia:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。
n src: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
n svh:同src。
n bixi:同baxia。
n mallox:同rmallox。
n jaff: 属于Anony勒索软件家族,由于被加密文件后缀会被修改为anony而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
n faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
n Moneyistime: 属于Moneyistime勒索软件家族,由于被加密文件后缀会被修改为Moneyistime而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。
图14. 2024年8月反病毒搜索引擎关键词搜索排名
解密大师
从解密大师本月解密数据看,解密量最大的是Lime其次是Loki。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
图15. 2024年8月解密大师解密文件数及设备数排