2024年8月勒索軟件軟件流行態勢分析報告

2024-09-05 17:24:03
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年8月，全球新增的傳統勒索軟件家族有RNTC、BaiduLock等。相關家族在國內主要通過遠程桌面與數據庫弱口令登錄方式投毒。

以下是本月值得關注的部分熱點：

1. 法國凡爾賽宮在奧運會期間遭遇網絡攻擊

2. Patelco向72.6萬名客戶通報了勒索軟件數據泄露事件

3. 江河集團短期內被兩個勒索軟件家族泄露數據

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：Makop家族占比18.05%居首位，第二的是TargetCompany(Mallox)占比16.59%的，phobos家族以15.61%位居第三。

圖1. 2024年8月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

圖2. 2024年8月勒索軟件入侵操作系統占比

2024年8月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC與服務器平臺的攻擊比例基本相當。

圖3. 2024年7月勒索軟件入侵操作系統類型占比?

勒索軟件熱點事件

法國凡爾賽宮在奧運會期間遭遇網絡攻擊

法國的大皇宮國家博物館聯盟（RMN）于2024年8月3日晚間遭遇網絡攻擊。據《巴黎人報》內部消息來源透露，由于遭遇勒索軟件攻擊，大皇宮博物館的運營受到了干擾。

然而，大皇宮博物館館長Matthias Grolier在社交媒體上否認了這一說法，稱此次攻擊并未影響到其他博物館。而法國媒體《西南報》則報道稱，此次襲擊導致大皇宮博物館關閉了其系統以防止攻擊蔓延，這擾亂了法國眾多博物館的書店和精品店，只不過該情況目前已得到了暫時性的解決。

大皇宮博物館聯盟表示，此次網絡攻擊并未對其管理下的其他博物館造成影響，這些博物館仍繼續正常運營。由大皇宮管理的36家博物館商店目前同樣也在正常運營。

據該博物館表示，其已向法國網絡安全特別行動組（ANSSI）、法國國家信息與自由委員會（CNIL）以及文化部通報了此次網絡攻擊事件。ANSSI目前正在協助進行修復和網絡恢復工作，初步調查尚未發現任何從被入侵系統中竊取數據的跡象。

然而，據稱此次事件的攻擊者留下了一封勒索信來索要贖金，并威脅稱如果不支付贖金他們將公布在攻擊中竊取的數據。不過，目前還沒有任何勒索軟件組織宣稱對此次攻擊負責，因此攻擊者的身份尚不明確。

Patelco向72.6萬名客戶通報了勒索軟件數據泄露事件

Patelco信用合作社警告客戶稱今年早些時候該信用合作社在遭受RansomHub勒索軟件攻擊時，客戶的個人數據或已被盜，信用合作社因此遭受了數據泄露事件。雖然Patelco并沒有透露襲擊者的身份，但勒索團伙“RansomHub”于2024年8月15日宣稱對此事負責，當時他們將所有被盜數據發布在他們的勒索門戶網站上。

此前，該公司曾透露其于2024年6月29日遭遇勒索軟件攻擊，被迫關閉面向客戶的銀行系統以控制損失并保護客戶的數據。該系統中斷事件持續了大約兩周時間。在此期間，該組織恢復了其IT系統大部分功能。

在事件曝光時，Patelco公司尚未確定攻擊中是否存在數據泄露情況。但在2024年8月14日，該組織經調查后最終確認了攻擊者已竊取了客戶數據。

被攻擊者獲取的個人信息因人而異，可能包括：

l? 客戶全名

l? 社會安全號碼（SSN）

l? 駕駛執照號碼

l? 出生日期

l? 電子郵件地址

以上信息也與暗網勒索平臺“RansomHub”泄露的信息相符。該平臺上的黑客聲稱在為期兩周談判之后，他們未能與Patelco達成協議。

根據緬因州檢察長辦公室網站上的一份名單顯示，該事件影響了72.6萬名Patelco客戶。Patelco公司也在其網站首頁放置了一個警告橫幅，提醒會員該公司團隊絕不會直接聯系他們要求提供卡號信息，包括PIN碼、有效期或CVV碼。而對于那些身份信息被泄露的人來說，遭受釣魚攻擊、社會工程攻擊和詐騙的風險大大增加。因此他們現在被建議要對未經請求的通信和惡意企圖保持警惕。

國內某建筑集團短期內被兩個勒索軟件家族泄露數據

國內一家集建筑幕墻系統、建筑裝飾、醫療健康和投資等多元化業務于一體的全球化大型建筑企業集團在今年8月時，分別被兩個勒索軟件組織Hunters International與RansomHouse公開了入侵后竊取的數據。

圖4. Hunters International勒索組織宣稱攻陷國內某建筑集團

圖5. 據勒索團伙稱竊取自該集團內部的數據列表

圖6. RansomHouse勒索團伙信息泄露頁面掛出國內某建筑集團

早在7月20日，360安全大腦就監測到相關攻擊團伙通過域控制器下發計劃任務的方式，實施了在企業內部大規模部署勒索攻擊的行為。

圖7. 360安全大腦監控到攻擊者利用域控部署勒索軟件

我們也已第一時間通報了相關單位，對方目前尚未進對該事件進行回應。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖8. 2024年8月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有446個組織/企業遭遇勒索攻擊，其中包含中國3個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有7個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖9. 2024年8月受攻擊系統占比

對2024年8月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖10. 2024年8月國內受攻擊地區占比排名

通過觀察2024年8月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖11. 2024年8月監控到的RDP入侵量

圖12. 2024年8月監控到的MS SQL入侵量

圖13. 2024年8月監控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

n? rmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

n? hmallox：同rmallox。

n? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

n? src: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? svh：同src。

n? bixi：同baxia。

n? mallox：同rmallox。

n? jaff: 屬于Anony勒索軟件家族，由于被加密文件后綴會被修改為anony而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? faust： phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? Moneyistime：屬于Moneyistime勒索軟件家族，由于被加密文件后綴會被修改為Moneyistime而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播。

圖14. 2024年8月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是Lime其次是Loki。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。

圖15. 2024年8月解密大師解密文件數及設備數排

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

2024年8月勒索軟件軟件流行態勢分析報告

熱點排行

關注我們