勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2024年11月，全球新增的雙重勒索軟件家族有Kairos、Safepay、Argonauts、Chort、Termite。11月新增的傳統(tǒng)勒索軟件家族有XmrData、Frag、Triplex、Nyxe、MrBeast等十余個家族，其中XmrData、Frag有監(jiān)測到在國內(nèi)的傳播行為。

以下是本月值得關(guān)注的部分熱點：

n? Veeam RCE嚴重漏洞現(xiàn)在被Frag勒索軟件利用實施攻擊

n? 施耐德電器確認黑客竊取數(shù)據(jù)后開發(fā)平臺遭到破壞

n? 俄羅斯逮捕了與勒索團伙有關(guān)的知名開發(fā)人員

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進行統(tǒng)計：TargetCompany(Mallox)家族占比22.38%居首位，第二的是Makop占比15.38%的，RNTC家族以11.89%位居第三。

圖1. 2024年11月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows7以及Windows Server 2012。

圖2. 2024年11月勒索軟件入侵操作系統(tǒng)占比

2024年11月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC高于服務(wù)器平臺。

圖3. 2024年11月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

Veeam RCE嚴重漏洞現(xiàn)在被Frag勒索軟件利用實施攻擊

在確認已被Akira和Fog勒索軟件利用發(fā)起攻擊后，Veeam備份和復(fù)制（VBR）的一個嚴重安全漏洞最近再度爆出被用來部署Frag勒索軟件。

安全研究員發(fā)現(xiàn)，該漏洞（CVE-2024-40711）是由不受信任的數(shù)據(jù)漏洞反序列化引起的，未經(jīng)身份驗證的攻擊者可以利用這些數(shù)據(jù)漏洞在Veeam VBR服務(wù)器上獲得遠程代碼執(zhí)行（RCE）權(quán)限。

曾有安全實驗室于2024年9月9日發(fā)布了有關(guān)CVE-2024-40711的技術(shù)分析，并將該漏洞的概念驗證代碼發(fā)布推遲到9月15日以便管理員有足夠的時間安裝Veeam于9月4日發(fā)布的安全更新。這一推遲也正是由于Veeam的VBR軟件成為尋求快速訪問公司備份數(shù)據(jù)的攻擊者的熱門攻擊目標(biāo)，而許多企業(yè)目前都將該軟件視作災(zāi)難恢復(fù)和數(shù)據(jù)保護解決方案，以備份、恢復(fù)和復(fù)制虛擬、物理和云機器。

但實際上，安全響應(yīng)人員發(fā)現(xiàn)這對延遲Akira和Fog勒索軟件攻擊的作用很小。攻擊者依然利用了該RCE漏洞和被盜的VPN網(wǎng)關(guān)憑據(jù)，將流氓帳戶添加到未修補和互聯(lián)網(wǎng)暴露的服務(wù)器上的本地管理員和遠程桌面用戶組。

就在最近，研究人員還發(fā)現(xiàn)又有攻擊組織（疑似是“STAC 5881”）在攻擊中使用了CVE-2024-40711漏洞將Frag勒索軟件部署到了受感染的網(wǎng)絡(luò)設(shè)備上。

圖4. Frag勒索軟件的勒索信息

這些攻擊與Akira和Fog攻擊者所使用的方法類似——他們都會在攻擊期間針對備份和存儲解決方案中未修補的漏洞和錯誤配置。

根據(jù)Veeam方面的數(shù)據(jù)，全球有超過550000名客戶使用其產(chǎn)品，這其中甚至涵蓋了全球2000強榜單中約74%的公司，這一數(shù)據(jù)也說明了本次攻擊事件背后巨大的潛在威脅。

施耐德電器確認黑客竊取數(shù)據(jù)后開發(fā)平臺遭到破壞

施耐德電氣已確認，在攻擊者聲稱從該公司的JIRA服務(wù)器竊取了40GB的數(shù)據(jù)后，開發(fā)人員平臺遭到破壞。

10月底，一位名叫“Grep”的攻擊者在X上嘲諷該公司，表示他們已經(jīng)入侵了其系統(tǒng)。在與媒體的對話中，Grep表示他們使用暴露的憑據(jù)入侵了Schneider Electric的Jira服務(wù)器。獲得訪問權(quán)限后，他們聲稱使用MiniOrange REST API抓取了400k行用戶數(shù)據(jù)。Grep表示，其中包括75000個唯一的電子郵件地址以及Schneider Electric員工和客戶的全名。

在暗網(wǎng)網(wǎng)站的帖子中，攻擊者開玩笑地要求125000美元的“Baguettes”來換取不泄露數(shù)據(jù)，并分享了有關(guān)被盜內(nèi)容的更多詳細信息。

Grep進一步告訴媒體他們最近成立了一個新的黑客組織International Contract Agency（ICA），以《殺手：代號 47》游戲命名。攻擊者表示，該組織以前沒有勒索他們?nèi)肭值墓尽Ｈ欢诘弥癐CA”名稱與“伊斯蘭恐怖分子團體”有關(guān)后，攻擊者表示他們再次更名為Hellcat勒索軟件團伙，目前正在測試用于勒索攻擊的加密器。

圖5. 攻擊者放出有關(guān)對施耐德電器的攻擊信息

俄羅斯逮捕了與勒索團伙有關(guān)的知名開發(fā)人員

俄羅斯執(zhí)法部門于2024年11月底逮捕并起訴了臭名昭著的勒索攻擊參與者Mikhail Pavlovich Matveev（又稱Wazawaka、Uhodiransomwar、m1x或Boriselcin等），罪名是其開發(fā)惡意軟件并參與多個黑客組織。

據(jù)俄羅斯國有新聞機構(gòu)RIA Novosti所接到的匿名來源消息稱：雖然檢察官辦公室尚未公布有關(guān)此人身份（在法庭文件中被描述為“程序員”）的任何細節(jié)，但此人正是Matveev。俄羅斯內(nèi)務(wù)部在一份聲明中說：“目前，調(diào)查人員已經(jīng)收集到足夠的證據(jù)，檢察官簽署起訴書的刑事案件已送交加里寧格勒市中央地區(qū)法院進行審議。”

正如網(wǎng)絡(luò)政策專家Oleg Shakirov首次發(fā)現(xiàn)的那樣，Matveev被指控開發(fā)勒索軟件（檢察官辦公室將其描述為可以加密文件和數(shù)據(jù)的“專用惡意軟件”），并稱其計劃使用勒索軟件來加密“商業(yè)組織的數(shù)據(jù)，以便然后從他們那里獲得贖金進行解密”。

去年，即2023年5月，美國司法部還對Matveev提出指控，稱其參與開發(fā)了針對美國受害者的Hive和LockBit勒索軟件。此外，他還被認為是“Orange”黑客論壇的創(chuàng)建者和管理員，以及Babuk勒索軟件的最初運營者。而后者在組織成員無法抉擇是否發(fā)布從華盛頓特區(qū)首都警察部隊竊取的數(shù)據(jù)后分道揚鑣。

圖6. FBI對Mikhail Matveev的通緝信息

根據(jù)美國司法部的新聞稿和新澤西州及哥倫比亞特區(qū)的公開起訴書，可以整理出他在與三個勒索軟件團伙合作時活動的大致時間表：

l? 2020年6月，Matveev和LockBit勒索軟件合謀在新澤西州帕賽克縣的一個執(zhí)法機構(gòu)的網(wǎng)絡(luò)上部署了LockBit勒索軟件；

l? 2021年4月，Matveev與Babuk勒索軟件合謀在華盛頓特區(qū)大都會警察局的系統(tǒng)上部署了惡意載荷。

l? 2022年5月，Matveev同Hive勒索軟件團伙成員加密了總部位于新澤西州默瑟縣的一家非營利性行為醫(yī)療保健組織的系統(tǒng)。

l? Matveev還因?qū)γ绹鴮嶓w（包括美國執(zhí)法部門和關(guān)鍵基礎(chǔ)設(shè)施組織）發(fā)起網(wǎng)絡(luò)攻擊而受到財政部外國資產(chǎn)控制辦公室（OFAC）的制裁。

Matveev在網(wǎng)上的知名度非常高。他經(jīng)常與網(wǎng)絡(luò)安全研究人員和專業(yè)人士進行交流，并使用他的Twitter帳戶“RansomBoris”公開討論他的網(wǎng)絡(luò)犯罪活動。而在受到美國制裁后，Matveev還曾公開嘲諷美國執(zhí)法部門，并在推特上發(fā)布了一張T恤上的通緝海報照片。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖7. 2024年11月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有649個組織/企業(yè)遭遇勒索攻擊，其中包含中國12個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有10個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖8 2024年11月受攻擊系統(tǒng)占比

對2024年11月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

圖9. 2024年11月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2024年11月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖10. 2024年11月監(jiān)控到的RDP入侵量

圖11. 2024年11月監(jiān)控到的MS SQL入侵量

圖12. 2024年11月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l? rox：屬于Weaxor勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設(shè)備。

l? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設(shè)備。

l? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進行傳播。

l? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? rmallox：同hmallox。

l? src：同mkp。

l? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

l? bixi：同baxia。

l? mallox：同hmallox。

l? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

圖13 2024年11月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Telsa其次是GandCrab。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖14. 2024年11月解密大師解密文件數(shù)及設(shè)備數(shù)排名