勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶(hù)提供360反勒索服務(wù)。

2024年7月，全球新增的雙重勒索軟件家族有Lynx、Cicada3301、Fog、MAD LIBERATOR、Pryx、Vanir Group。Fog最早出現(xiàn)在2024年5月，并在7月開(kāi)始通過(guò)其數(shù)據(jù)泄露網(wǎng)站對(duì)外發(fā)布受害者名單。新增的傳統(tǒng)勒索軟件家族有ShadowRoot、Black4Over。

以下是本月值得注的部分熱點(diǎn)：

1. 新的Eldorado勒索軟件攻擊Windows及Vmware ESXi虛擬機(jī)

2. 來(lái)德愛(ài)承認(rèn)6月份遭遇勒索攻擊后發(fā)生數(shù)據(jù)泄露事件

3. 洛杉磯高等法院因遭遇勒索軟件攻擊而關(guān)閉

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比36.02%居首位，第二的是Makop占比22.46%，Anony家族以12.29%位居第三。

圖1. 2024年7月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 2024年7月勒索軟件入侵操作系統(tǒng)占比

2024年7月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類(lèi)型桌面PC與服務(wù)器平臺(tái)的攻擊比例基本相當(dāng)。

圖3. 2024年7月勒索軟件入侵操作系統(tǒng)類(lèi)型占比

勒索軟件熱點(diǎn)事件

新的Eldorado勒索軟件攻擊Windows及Vmware ESXi虛擬機(jī)

一種名為“Eldorado”的新型RaaS（勒索軟件即服務(wù)）勒索軟件于今年3月被首次發(fā)現(xiàn)，并帶有針對(duì)性的攻擊VMware ESXi和Windows平臺(tái)。該勒索軟件團(tuán)伙據(jù)稱(chēng)已攻擊了16個(gè)組織，其中大部分受害者在美國(guó)，涉及房地產(chǎn)、教育、醫(yī)療保健和制造業(yè)等領(lǐng)域。

網(wǎng)絡(luò)安全研究人員監(jiān)控到了“Eldorado”的活動(dòng)，發(fā)現(xiàn)其幕后控制者在RAMP論壇上推廣該勒索服務(wù)，并尋找有相關(guān)技術(shù)能力的合作伙伴加入項(xiàng)目。此外，Eldorado還運(yùn)營(yíng)著一個(gè)數(shù)據(jù)泄露網(wǎng)站用于列出了受害者名單，但目前該網(wǎng)站尚無(wú)法訪(fǎng)問(wèn)。

Eldorado是一款基于Go語(yǔ)言開(kāi)發(fā)的勒索軟件，可以通過(guò)兩種具有相似功能的變種在Windows和Linux平臺(tái)上進(jìn)行文件加密操作。研究人員從提供RaaS的供應(yīng)商手中取得了一個(gè)加密器以及其附帶的用戶(hù)手冊(cè)，說(shuō)明該加密器有適用于VMware ESXi虛擬機(jī)管理程序和Windows操作系統(tǒng)的32位及64位版本。根據(jù)分析發(fā)現(xiàn)，該勒索軟件使用ChaCha20算法進(jìn)行加密，并針對(duì)每臺(tái)受害設(shè)備生成一個(gè)獨(dú)有的32字節(jié)密鑰和12字節(jié)初始向量。然后，使用RSA加密算法對(duì)密鑰和初始向量進(jìn)行加密，采用的是最優(yōu)的非對(duì)稱(chēng)加密填充（OAEP）方案。加密完成后，文件會(huì)被添加“.00000001”的擴(kuò)展名，并在系統(tǒng)的“文檔”和“桌面”文件夾中放置名為“HOW_RETURN_YOUR_DATA.TXT”的勒索說(shuō)明文件。另外，Eldorado還利用SMB通信協(xié)議對(duì)網(wǎng)絡(luò)中的共享設(shè)備進(jìn)行加密，以最大程度地發(fā)揮其作用，并在被入侵的Windows機(jī)器上刪除卷影副本，以防止受害者通過(guò)副本對(duì)文件進(jìn)行恢復(fù)。同時(shí)，該勒索軟件會(huì)跳過(guò)DLL、LNK、SYS和EXE文件，以及與系統(tǒng)啟動(dòng)和基本功能相關(guān)的文件和目錄，以防止使系統(tǒng)無(wú)法啟動(dòng)或無(wú)法使用。最終，勒索軟件會(huì)刪除自身文件以避免被安全響應(yīng)人員發(fā)現(xiàn)和分析。

安全研究人員表示：“雖然目前來(lái)看，Eldorado是一個(gè)新出現(xiàn)的勒索軟件組織而非此前的勒索軟件組織的重生團(tuán)隊(duì)，但其在短時(shí)間內(nèi)已展現(xiàn)出了對(duì)受害者數(shù)據(jù)、聲譽(yù)和業(yè)務(wù)可用性的重大破壞能力。”

來(lái)德愛(ài)承認(rèn)6月份遭遇勒索攻擊后發(fā)生數(shù)據(jù)泄露事件

大型連鎖藥店來(lái)德愛(ài)在6月份遭受了一次網(wǎng)絡(luò)攻擊，隨后確認(rèn)發(fā)生了數(shù)據(jù)泄露事件，該事件被RansomHub勒索軟件組織所宣稱(chēng)。

大型連鎖藥店來(lái)德愛(ài)在7月12日表示其正在調(diào)查今年6月份發(fā)現(xiàn)的一起網(wǎng)絡(luò)攻擊，并正在努力向受數(shù)據(jù)泄露影響的客戶(hù)發(fā)送數(shù)據(jù)泄露通知。該公司還表示，在聘請(qǐng)外部專(zhuān)家解決此次攻擊影響的過(guò)程中，已恢復(fù)了所有受影響的系統(tǒng)。盡管來(lái)德愛(ài)沒(méi)有透露在數(shù)據(jù)泄露事件中被訪(fǎng)問(wèn)的客戶(hù)數(shù)據(jù)內(nèi)容以及受影響的個(gè)人數(shù)量，但該公司表示，此次數(shù)據(jù)泄露事件并未涉及健康或財(cái)務(wù)信息。

盡管來(lái)德愛(ài)尚未透露6月份襲擊事件的幕后黑手是誰(shuí)，但這份聲明是在RansomHub勒索軟件團(tuán)伙已聲明表示入侵了這家藥品巨頭的系統(tǒng)并竊取了客戶(hù)數(shù)據(jù)之后發(fā)布的。

在RansomHub的聲明中，明確表示在獲取了Riteaid網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限后，已獲取了超過(guò)10GB的客戶(hù)信息，相當(dāng)于約4500萬(wàn)人的個(gè)人信息。這些信息包括姓名、地址、dl_id號(hào)碼、出生日期和Riteaid推廣號(hào)碼。在將來(lái)德愛(ài)添加到其泄露網(wǎng)站后，據(jù)傳由于該公司已停止了贖金談判，勒索軟件組織分享了一些據(jù)稱(chēng)是被盜數(shù)據(jù)的截圖作為證據(jù)，并表示兩周內(nèi)將公布所有數(shù)據(jù)。

根據(jù)來(lái)德愛(ài)方面的最新統(tǒng)計(jì)，此次數(shù)據(jù)泄露事件已經(jīng)影響到其約220萬(wàn)名客戶(hù)的隱私信息。

洛杉磯高等法院因遭遇勒索軟件攻擊而關(guān)閉

美國(guó)最大的地方法院——洛杉磯縣高等法院于22日關(guān)閉了其36個(gè)法院的所有地點(diǎn)，以恢復(fù)在19日遭受勒索軟件攻擊的系統(tǒng)。這起尚未被勒索軟件組織公布的攻擊影響了洛杉磯高等法院的整個(gè)網(wǎng)絡(luò)。此次攻擊也波及了包括“MyJuryDuty Portal”門(mén)戶(hù)網(wǎng)站在內(nèi)的外部系統(tǒng)，以及一些如案件管理系統(tǒng)在內(nèi)的內(nèi)部系統(tǒng)。

此次攻擊在當(dāng)?shù)貢r(shí)間20日時(shí)被首次披露，當(dāng)時(shí)該法院透露襲擊開(kāi)始于7月19日星期五清晨。洛杉磯高等法院還(LASC)表示，此次事件與全球范圍內(nèi)影響Windows系統(tǒng)的CrowdStrike更新故障無(wú)關(guān)。在發(fā)現(xiàn)遭到攻擊后，LASC被迫立即關(guān)閉了所有網(wǎng)絡(luò)系統(tǒng)以遏制漏洞，這些設(shè)備很可能至少要到下周二才能恢復(fù)并重新上線(xiàn)。法院補(bǔ)充說(shuō)，他們沒(méi)有發(fā)現(xiàn)任何證據(jù)表明被入侵系統(tǒng)的數(shù)據(jù)被泄露，目前正與加州緊急服務(wù)辦公室（CALOES）以及地方、州和聯(lián)邦執(zhí)法機(jī)構(gòu)合作，調(diào)查此次事件并評(píng)估其影響。

雖然法院仍在迅速推進(jìn)恢復(fù)和恢復(fù)階段，但截至21日晚間，許多關(guān)鍵系統(tǒng)仍處于離線(xiàn)狀態(tài)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱?

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2024年7月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有406個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)6個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有9個(gè)組織/企業(yè)未被標(biāo)明，因此不在下表格中。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5. 2024年7月受攻擊系統(tǒng)占比

對(duì)2024年7月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

圖6. 2024年7月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2024年7月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

圖7. 2024年7月監(jiān)控到的RDP入侵量

圖8. 2024年7月監(jiān)控到的MS SQL入侵量

圖9. 2024年7月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l? svh: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? src：同svh。

l? rmallox：同hmallox。

l? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

l? jaff: 屬于Anony勒索軟件家族，由于被加密文件后綴會(huì)被修改為anony而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? mallox：同hmallox。

l? mkp：同svh。

l? faust： phobos勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? bixi：同baxia。

圖10. 2024年7月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Loki其次是Telsa。使用解密大師解密文件的用戶(hù)數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2024年6月解密大師解密文件數(shù)及設(shè)備數(shù)排名