2023年8月勒索软件流行态势分析

技术研究 发布时间:2023-09-06 00:51:39 311 浏览


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-386

报告来源:360CERT

报告作者:360CERT

更新日期:2023-09-05


1
 简述



勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。2023年8月,全球新增的活跃勒索软件家族有INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor等家族。以下是本月值的关注的部分热点:

1. TellYouThePass再度来袭,集中攻击OA及财务类系统平台

2. Rhysida勒索软件被锁定为近期针对医保系统的攻击事件幕后黑手

3. 日本钟表制造商精工遭BlackCat勒索软件团伙攻击

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。


2
 感染数据分析



针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比18.18%居首位,第二的是占比16.78%的TellYouThePass,BeijingCrypt家族以15.38%位居第三。

其中,位居第二的TellYouThePass,在8月最后一个周末,利用web漏洞发动大面积攻击。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。

2023年8月被感染的系统中,桌面系统和服务器系统占比显示,受攻击的系统类型占比基本相当。


3
 勒索软件热点事件



TellYouThePass再度来袭,集中攻击OA及财务类系统平台

8月27日,发生一起针对OA、财务类系统平台的勒索投毒攻击事件,攻击目标主要为畅捷通财务管理软件,投递病毒为“TellYouThePass ”勒索病毒。此次攻击的范围波及大约1000台服务器,目前攻击所使用的载荷已下线,但攻击本身仍在自动执行中。

攻击现场如下:

目前已发现的攻击载荷如下(目前均已下线):

hxxp://45.95.174.125/logout.hta

hxxp://45.95.173.29/a

“TellYouThePass”勒索病毒家族是一种勒索软件,最早于2019年3月出现。由于其背后始终是由单一黑客组织运营,因此该黑客组织也 同样被称为TellYouThePass。根据现有线索推断,该组织为国内黑客团伙,其惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。

其曾经使用过的代表性漏洞有:“永恒之蓝”系列漏洞、WebLogic应用漏洞、Log4j2漏洞、用友OA漏洞、畅捷通漏洞等。而一旦攻击成功后,便会投递勒索病毒实施加密,并向被加密的文件添加后缀名为“.locked”。

该家族在去年发动了几轮攻击后,已经逐渐销声匿迹。但今年6月初,TellYouThePass再次卷土重来,利用畅捷通T+财务管理系统中存在 的命令执行漏洞发起攻击发起了一波较为强势的攻击。而本轮攻击是今年其“重出江湖”后的第二次大规模勒索攻击。希望广大政企单位对各类网络服务、OA及财务类应用的安全问题提起重视,及时修补漏洞并进行有效的安全监控和管理。

Rhysida勒索软件被锁定为近期针对医保系统的攻击事件幕后黑手

近期针对医疗机构的一波攻击迫使美国政府机构和网络安全公司更加密切地关注Rhysida勒索软件。在美国卫生与公众服务部(HHS)发布安全公告后,CheckPoint、思科Talos和趋势科技均发布了有关Rhysida的报告,对其攻击者进行密切关注。今年6月,Rhysida在其数据泄露网站上泄露了从智利陆军(Ejército de Chile)窃取的文件后首次进入公众视野。在当时,安全人员对Rhysida的初步分析表明,该勒索软件正处于早期开发阶段,缺少大多数病毒株中常见的标准功能。如持久性机制、卷影复制擦除、进程终止等。

而近期Rhysida在暗网数据泄露网站列出了澳大利亚的一家医疗机构,并在对外宣称这些数据被盗之前曾给对方一周的时间支付赎金。根 据美国卫生与公众服务部(HHS)8月初发布的一份公告警告称:虽然Rhysida仍在使用较为基础的加密程序,但其扩散规模已发展到了非常 危险的程度。最近,攻击者更是表现出对医疗保健相关机构的特别关注。

据消息人士透露,Rhysida是近期Prospect Medical Holdings遭受网络攻击的幕后黑手。该公司的系统目前仍然因受到攻击而中断,并已影响了美国各地的17家医院和166家诊所。但Rhysida尚未宣布对此次攻击负责,PMH也没有公布有关勒索软件团伙是否是此次攻击幕后黑手的电子邮件。

日本钟表制造商精工遭BlackCat勒索软件团伙攻击

2023年8月10日,精工公司曾发布了一份数据泄露通知,通知称未经授权的第三方获得了对其IT基础设施至少是部分的访问权限,并可能 窃取了内部数据。精工的声明中写道:“似乎在2023年7月28日,一股身份不明的团体在未经授权的情况下获得了对我们至少一台服务器 的访问权限。”……“随后的8月2日,我们委托外部网络安全专家团队对情况进行调查和评估。”……“因此,我们现在可以合理地确定存在被入侵的情况,并且我们公司及集团公司存储的一些信息可能已遭到泄露。”据此,精工向可能受影响的客户及业务合作伙伴道歉,并敦促他们警惕可能冒充精工的电子邮件或其他信息。

而在8月21日,BlackCat勒索软件组织声称是精工遭到攻击事件的幕后黑手,并发布了他们声称在攻击期间窃取到的数据样本。在发布页 中,攻击者一并嘲笑了精工的IT安全性,并泄露了疑似是生产计划、员工护照扫描件、新型号发布计划和专项实验室测试结果等内容。最令人担忧的是,攻击者泄露了他们声称是机密技术原理图和精工手表设计的数据样本。

目前,精工方面尚未对当前发生的数据泄露事件发表回应。


4
 黑客信息披露



以下是本月收集到的黑客邮箱信息:

nztz@tuta.io bob1997marley@firemail.cc decvvv110@tutanota.com
datukraine@tuta.io bob1997marley@zohomail.eu criptor@tutanota.com
datukr@onionmail.org cris_nickson@xmpp.jp bitencrypt@mailfence.com
kazinbekdutch@tutanota.com piltecheesig1973@protonmail.com bkpsvr@firemail.cc
kazinbekdutch@cock.li NoLock@keemail.me pcsupport@skiff.com
kazinbekdutch@protonmail.com NoLock@mailfence.com pctalk01@tutanota.com
BM-2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch WoundedOwl@onionmail.org legion@tfwno.gf
krize@onionmail.com WoundedOwl@cyberfear.com henderson@cock.li
globalkrize@proton.me leejohn@inboxhub.net myfile@waifu.com
support.antimalware@onionmail.com leejohn@cryptolab.net shonpen@mailfence.com
upport.antimalware@msgden.com network@outlookpro.net taxasfshwkasjfbuwbsja@protonmail.com
haymaker@qq.com networks@onionmail.org a_princ@aol.com
medusa.support@onionmail.org mallox.ressurection@onionmail.org help@assistrecovery.pw
aisaragpt@tuta.io RealWorld44@Tutanota.com unrasolo1970@proton.me
aisaragpt@proton.me MerlinWebster@aol.com solo@proton.me
toridastford@zohomail.com topcorp@usa.com teodorcarrida@tuta.io
LettoIntago@onionmail.org topcorp24@mail.com cybcyb123@tutanota.com
protec5@onionmail.org freeworld7001@gmail.com 3cfxg@onionmail.org
goodwork2020@mailfence.com decrypt2023@cock.li quvn5llxk@mailfence.com
protonis2023@tuta.io decrypt2023@cyberfear.com emcrvpts@msgsafe.io
DoraRec@onionmail.org ware_house@tuta.io helpsendmemessage@xmpp.jp
DoraRec@msgsafe.io exezez@blaze420.it duan77194@tutanota.com
Kigatsu@onionmail.com helze@cyberfear.com acbc@tutanota com
Kigatsu@mailo.com exezaz@msgden.com datasecurity@cock.li
helpbit911@onionmail.org bkpsvr@proxy.tg decrypt.tm@zohomail.eu
helpbit911@tuta.io petinjon@vpn.tg protonis@skiff.com
blackhathacker234@proton.me petinjon@gmail.com zinok19899@tuta.io
alvarodecrypt@gmail.com darkflare@mailfence.com filerecorder@hotmail.com
alvarodecrypt@outlook.com helper2023@onionmail.org theniklaus@cyberfear.com
iamaduck7@onionmail.org dontcrylol@mailfence.com tjjc110@outlook.com
mastadonster@onionmail.org drdecrypt@onionmail.org decryptor@cyberfear.com
54783@thesecure.biz cryptrd@msgsafe.io briandatahelp@onionmail.org
Decepticon@cock.li crypjo@mailfence.com briandatahelp@dnmx.org
test@test.com OnionRansom@Tutanota.com ffreefix@outlook.com
back2up@swismail.com OnionRansom@Decoymail.com chinahelp2023@nigge.ns
sunsunteam@tuta.io shotgune@onionmail.org incomings99112@onionmail.com
sunsunteam@jabb.im shotgune@mailfence.com sourcehack@nigge.rs
datastore@cyberfear.com suppdecrypt@onionmail.com arsupp@tutanota.com

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有390个组织/企业遭遇勒索攻击,其中包含中国5个组织/企业在本月遭遇了双重勒索/多重勒索。其中有9个组织/企业未被标明 ,因此不再以下表格中。

chevalerias.com deschamps.fr guyer.com.uy
vodatech.com.tr mayair.com.my abzarsara.com
Valley Mountain Regional Center Pifer's Auction & Realty Tisher Liner FC Law Australia
Wilder & Co Alpizar Law Firm Eckell Sparks Attorneys at Law
millwgs.com biso.at syntech.com.sg
Fenn Termite and Pest Control antioch.edu Fenn Termite & Pest Control
zep.it skystar.it tlip2.com
rydershealth.com greensboro.edu mariocoelho.com
alpepipesystems.com losh.com grebe-korbach.de
optoflux.com feuille-erable.fr nieul-sur-mer.fr
tavlit.co.il dollinger-pierre.fr annals.edu.sg
inouemfg.com potenciamaquinaria.com locaparc.fr
auto-pieces.fr guillerm-habitat.fr acolea.org
otltd.co.uk emec.com.eg texline-global.com
O’Brien Steel Service Renton School District Aranui Cruises
Skynet Felling Trailers, Inc. Brooklyn Premier Orthopedics
lhvisionclinic.com PRIDE GLOBAL CONSULTING SL Petkus Brothers
Pasquale Bruni Ltd Ningbo Yinzhou Vocational High School uprepschool.org
sherwin-electric.com beniculturali.it jamaicainn.com
wkclawfirm.com greenside-sch.org casa-andina.com
renaultinantwerpen.be ukseung.co.kr cloverbrook.com
carolfoxassociates.com mergerecords.com fimadev.fr
immoselekt.be distribuidoradavidsa.com cm.gov.nc.tr
younghomes.com Forsyth County, GA Jacklett Construction LLC
PT. Cahaya Benteng Mas esprigas.com University of the West of Scotland
persingerlaw.com Kendrion.com Pierce College
PSM QI Holdings Ltd. Iina Ba Inc
Cutler-Smith, P.C. Jasper High School Penny Publications
Divvies Voss Enterprises Intertek
Superior Communications Asian Network Pacific Home Care & Hospice GYP New Tree SA
Prince George's County Public Schools State Farm S&P
Metropolitan Club DC grupomartex.com jhilburn.com
purever.com Shanghai FRP Research Institute Co., Ltd. Fullerton India (SMFG India Credit)
Community Council of South Central Texas Gujarat Industries Power Company Ltd. SKYROOT
Varna Packaging KLM Laboratories Pvt. Ltd Argus Fluidhandling Ltd
Alfagomma Trimaran Capital Partners Demcointer
EPF LEN Italia Durham Fasteners
Axis Elevators HFH Capital Community Action
INSTITUTO NACIONAL DE ELECTRIFICACION FA Foundry Sydenham Laboratories
Fiocruz senacrs.com.br Edmonds School District
Storm Tight Windows Groupe Marchand Architecture & Design Inc Bahamas Medical and Surgical Supplies
Ontellus MBS Equipment TTI Pea River Electric Cooperative
Constellation Kidney Group Hoosick Falls Central School District Royal Oak Pet Clinic
Mil-Ken Travel Kevills Solicitors The Law Offices of Steven H. Heisler
Bahamas Medical & Surgical Supplies Arus-gmbh Sportlab-srl
BONI-PASSAU.DE lusis-avocats.com werk33.com
GRIDINSTALLERS.com surapon.com mps-24.com
gruppomoba.com stshcpa.com.tw ihopmexico.com
Nicer technology binhamoodah.ae first-resources-ltd
Sbs-Berlin imtmro.com INCOBEC
still95.it gsh-cargo.com flamewarestudios.com
ALEZZELPOWER.com Notaires.fr Sonabhy.bf
KVFCU.ORG Prospect Medical Holdings qintess.com
iledefrance-nature.fr newsupri.com.br decrolyamericano.edu.gt
mcnamaradrass.com Transunion Jhookers
I&G Broker House A1 Optimity
gerb.bg IMS Computer Solutions Atlantic Federal Credit Union
NE-BIC Heidelberg Materials FYTISA Industrial Felts and FabricsSL
Softverg Co., Ltd. Infuance Communication Inc Department of Defence South African (DARPA)
apdparcel.com.au TRIUNE TECHNOFAB PRIVATE LIMITED Davidoff Hutcher & Citron
Seiko Group Corporation stockwellharris.com equip-reuse.com
cochraninc.com cloudtopoffice.com hallbergengineering.com
Novi Pazar put ad The International Civil Defense Organization Sartrouville France
Econocom Gold Medal Bakery s3groupltd.com
macuspana.gob.mx phitoformulas.com.br National Institute of Social Services for Retirees and Pensioners
Municipality of Ferrara ABS Auto Auctions DSA Law Pty Ltd
Miami Management BTC Power Stanford Transportation Inc
Bolton Group Legends Limousine Oneonline
gh2.com au Domain Administration Ltd Dillon Supply
Epicure Coswell BOB Automotive Group
Seoul Semiconductor Kraiburg Austria GmbH Autohaus Ebert GmbH
CVO Antwerpen ICON Creative Studio Heilmann Gruppe
Schwälbchen Molkerei AG Münchner Verlagsgruppe GmbH Contact 121 Pty Ltd
umchealth.com sgl.co.th RIMSS
Pemberton Fabricators, Inc ALLIANCE DEUTSCHELEASING
VDVEN SYNQUESTLABS TWINTOWER
The Clifton Public Schools Camino Nuevo Charter Academy kriegerklatt.com
SFJAZZ.ORG mybps.us Smart-swgcrc.org
MBO-PPS.COM MBOAMERICA.COM KOMORI.COM
Cequint Tally Energy Services CORDELLCORDELL
Optimum Health Solutions Hemmink Tennis Canada
Ramtha ToyotaLift Northeast FTRIA CO. LTD
Recaro Postel SpA ABA Research
Keystone Insurance Services ANS Aspect Structural Engineers
Fondation De Verdeil Freeport-McMoran jhillburn.com
qbcqatar.com.qa leecorpinc.com John L Lowery & Associates
Federal Bar Association econsult.com Saint Xavier University
Agriloja.pt CB Energy Australlia Borets
luterkort.se majan.com zaun.co.uk
rappenglitz.de siampremier.co.th roxcel.com.tr
meaf.com stmarysschool.co.za difccourts.ae
Armortex Don’s Mobile Glass arganoInterRel
Rite Technology zain.com Top Light
Algorry Zappia & Associates EAI The Belt Railway Company of Chicago
Optimum Technology Boson United Tractors
Stockdale Podiatry oneatlas.com Lower Yukon School District
Thermenhotel Stoiser sekuro.com.tr asfcustomers.com
TIMECO csem.qc.ca octoso.de
ricks-motorcycles.com janus-engineering.com fashions-uk.com
cbcstjohns.co.za el-cerrito.org chula.ac.th
etisaleg.com 2plan.com unitycouncil.org
independenceia.org Batesville ZESA Holdings
Magic Micro Computers Emerson School District CH informatica
Thonburi Energy Storage Systems (TESM) Räddningstjänsten Västra Blekinge G**
KIMCO Staffing Service Avertronics Inc Republican Vilnius Psychiatric Hospital
Kreacta Papel Prensa SA varian.com
Delaney Browne Recruitment IBL premierbpo.com
Sports Medicine Oregon SatCom Marketing Rayden Solicitors
haynesintl.com Henlaw atser.com
Galicia en Goles scottevest.com mipe.com
armortex.com iqcontrols.com tetco.com
PX Zurvita SBS Construction
Koury Engineering Pharmatech Repblica Dominicana Grupo Garza Ponce
ESKA Erich Schweizer Studio Domaine LLC Ofimedic
THECHANGE Abatti Companies HealthIndia TPA Services Pvt Ltd
Spokane Spinal Sports Care Clinic pointpleasant.k12.nj.us Roman Catholic Diocese of Albany
Venture General Agency Datawatch Systems INSULCANA CONTRACTING LTD
admsc.com riggsabney RevZero, Inc
Rossman Realty Group, inc. Tempur Sealy International bestmotel.de
constructioncrd.com Helen F. Dalton Lawyers Grupo SCA
TGRWA Guido Optical Cable Corporation
Burmeister & Wain Scandinavian Contractor Bickel & Brewer COSI
ohiohistory.org University of Salerno unicorpusa.com
SHERMAN.EDU Garage Living Aapd
Birch, Horton, Bittner & Cherot DAL-TECH Engineering The Dispenser USA
Coral Resort Professionnel France ACTIVA Group
Aquatlantis Parathon by JDA eHealth Systems Ultimus

表格2. 受害组织/企业


5
 系统安全防护数据分析



360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows Server 2012。

对2023年8月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。

通过观察2023年8月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。


6
 勒索软件关键词



以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- halo:同360。

- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌 面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

- faust:同devos。

- malloxx:同mallox。

- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- mkp:同wis。

- malox:同mallox。


7
 解密大师



从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Loki。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。


8
 时间线



2023年09月05日 360高级威胁研究分析中心发布通告


9
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

G.O.S.S.I.P 阅读推荐 2024-10-30 SmartAxe

CSB专题安全研究 | 化工工艺设备的远程隔离

G.O.S.S.I.P 阅读推荐 2024-11-01 交叉火线—对苹果设备跨异构计算单元内存的模糊测试

G.O.S.S.I.P 阅读推荐 2024-11-08 ORL-AUDITOR

G.O.S.S.I.P 阅读推荐 2024-11-07 区域化的艺术

压水堆燃料安全研究团队:以“拓荒者”的姿态,澎湃向前