2024年10月勒索軟件流行態勢分析

2024-11-06 18:04:58
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年10月，全球新增的雙重勒索軟件家族有Sarcoma、Playboy、DragonRansom、Interlock、Hellcat。10月新增的傳統勒索軟件家族Weaxor在國內的傳播較為顯著，目前監測其主要通過遠程桌面登錄手動投毒。

以下是本月值得關注的部分熱點：

1. Fog勒索軟件以SonicWall VPN為目標來破壞公司網絡

2. BianLian勒索軟件聲稱對波士頓兒童健康醫生發起攻擊

3. 卡西歐確認客戶數據在勒索軟件攻擊中被盜

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：TargetCompany(Mallox)家族占比43.50%居首位，第二的是Makop占比17.51%的，RNTC家族以10.73%位居第三。

圖1. 2024年10月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 2024年10月勒索軟件入侵操作系統占比

2024年10月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC高于服務器平臺。

圖3. 2024年10月勒索軟件入侵操作系統類型占比?

勒索軟件熱點事件

Fog勒索軟件以SonicWall VPN為目標來破壞公司網絡

Fog和Akira勒索軟件運營商越來越多地通過SonicWall VPN賬戶入侵企業網絡，據信攻擊者正在利用CVE-2024-40766，這是一個嚴重的SSL VPN訪問控制漏洞。

與此同時，安全研究人員報告說看到Akira勒索軟件下屬公司利用該漏洞獲得對受害者網絡的初始訪問權限。安全研究人員的一份新報告警告說，Akira和Fog勒索軟件已經進行了至少30次入侵，這些入侵都是從通過SonicWall VPN賬戶遠程訪問網絡開始的。在這些案例中，75%與Akira有關其余則歸因于Fog勒索軟件。

有趣的是，這兩個威脅組織似乎共享基礎設施，這表明兩者之間非官方合作的繼續。雖然研究人員并不能100%肯定該漏洞在所有情況下都被使用，但所有被破壞的端點都容易受到它的攻擊，運行的是較舊的、未修補的版本。在大多數情況下，從入侵到數據加密的時間很短，大約十小時，最快的甚至達到1.5~2小時。在許多此類攻擊中，攻擊者通過VPN/VPS訪問客戶端，混淆其真實IP地址。安全研究人員指出，除了運行未修補的客戶端外，受感染的組織似乎沒有在受感染的SSL VPN賬戶上啟用多因素身份驗證，也沒有在默認端口4433上運行其服務。

從被破壞的系統竊取數據涉及文檔和專有軟件，但攻擊者不會理會超過6個月的文件或者超過30個月的敏感文件。

BianLian勒索軟件聲稱對波士頓兒童健康醫生發起攻擊

BianLian勒索軟件組織聲稱對波士頓兒童健康醫師（BCHP）進行了網絡攻擊，并威脅稱如不支付贖金則會泄露被盜文件。BHCP是一個由300多名兒科醫生和專家組成的網絡，在紐約哈德遜谷和康涅狄格州的60多個地點運營，在波士頓兒童醫院附屬的診所、社區醫院和保健中心提供患者護理。

根據BHCP在其網站上發布的公告稱，其信息技術供應商在9月6日遭到了一次網絡攻擊，幾天后BHCP也在其網絡上檢測到未經授權的活動。隨后在第三方法醫專家的幫助下進行的調查證實，攻擊者未經授權進入了BHCP系統并竊取了文件。

此次泄露影響到了現任和前任員工、患者和擔保人。根據客戶提供給BHCP的信息，泄露的數據包括以下內容：

l? 全名

l? 社會安全號碼

l? 地址

l? 出生日期

l? 駕照號碼

l? 病歷號

l? 健康保險信息

l? 賬單信息

l? 治療信息（部分）

BHCP進一步澄清說，因為托管在一個單獨的網絡上，此次網絡攻擊沒有影響其電子病歷系統。

目前，BianLian還沒有泄露任何東西，也沒有泄露被盜信息的最后期限，這表明他們仍然希望與BHCP談判。

卡西歐確認客戶數據在勒索軟件攻擊中被盜

卡西歐目前證實，本月早些時候它遭受了勒索軟件攻擊，警告說員工、求職者和一些客戶的個人和機密數據也被盜。

此次攻擊于7日被披露，當時卡西歐警告稱，由于周末未經授權訪問其網絡，該公司正面臨系統中斷和服務中斷。9日，Underground勒索軟件組織聲稱對此次攻擊負責，并泄露了據稱從日本科技巨頭系統中竊取的各種文件。10日，在數據泄露后，卡西歐發表了一份新聲明，承認敏感數據在其網絡受到攻擊期間被盜。

至于目前正在進行的調查結果，卡西歐表示，以下信息已被證實可能被泄露：

l? 卡西歐及其關聯公司的長期和臨時/合同員工的個人數據。

l? 與卡西歐和某些關聯公司的業務合作伙伴相關的個人詳細信息。

l? 過去在卡西歐面試過的個人信息。

l? 使用卡西歐及其關聯公司提供的服務的客戶的個人信息。

l? 與當前和過去業務合作伙伴的合同相關的詳細信息。

l? 有關發票和銷售交易的財務數據。

l? 包括來自卡西歐及其關聯公司的法律、財務、人力資源規劃、審計、銷售和技術信息的文件。

具體關于客戶數據，卡西歐指定公開的集合不包括信用卡信息，因為支付數據不存儲在其系統上。

此外，這家日本公司表示，像卡西歐ID和ClassPad.net這樣的服務系統沒有受到該事件的影響，因為它們沒有托管在被破壞的服務器基礎設施上。

隨著調查的繼續，影響的范圍可能會擴大，建議那些認為自己可能受到影響的人對未經請求的電子郵件保持警惕?？ㄎ鳉W還要求互聯網用戶避免在線分享任何泄露的信息，因為這只會使受數據泄露影響的人的情況惡化。“請不要通過社交媒體等傳播這些信息，因為這可能會增加本案信息泄露造成的損害，侵犯受影響者的隱私，對他們的生活和業務產生嚴重影響，并鼓勵犯罪，”卡西歐最新聲明說。警方和日本個人信息保護委員會從本周早些時候就已經獲悉了這一情況，因此當局參與了調查和整治工作。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖4. 2024年10月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有536個組織/企業遭遇勒索攻擊，其中包含中國3個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有10個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5. 2024年10月受攻擊系統占比

對2024年10月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖6. 2024年10月國內受攻擊地區占比排名

通過觀察2024年10月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2024年10月監控到的RDP入侵量

圖8. 2024年10月監控到的MS SQL入侵量

圖9. 2024年10月監控到的MYSQL入侵量?

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

n? rmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

n? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

n? locked：屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族主要通過各種軟件漏洞、系統漏洞進行傳播。

n? src：同mkp。

n? mallox：同rmallox。

n? wormhole：屬于Wormhole勒索軟件家族，由于被加密文件后綴會被修改為Wormhole而成為關鍵詞。該家族主要的傳播方式為：通過瑞友天翼軟件漏洞發起攻擊。

n? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? baxia：同bixi。

圖10. 2024年10月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是GandCrab其次是OpenMeV2。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。

圖11. 2024年10月解密大師解密文件數及設備數排名

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

2024年10月勒索軟件流行態勢分析

熱點排行

關注我們