欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

首頁 > 安全資訊 > 正文

2024年12月勒索軟件流行態勢分析

2025-01-06 16:58:18
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年12月，全球新增的雙重勒索軟件家族有Bluebox，目前僅有3個受害組織。12月新增的傳統勒索軟件家族有RdpLocker，目前尚未監測到在國內的傳播行為。

以下是本月值得關注的部分熱點：

n? 美國指控俄羅斯-以色列人可能是LockBit勒索軟件開發者

n? Clop勒索軟件聲稱對Cleo數據盜竊攻擊負責

n? 勒索軟件攻擊心臟手術設備頭部制造商

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：TargetCompany(Mallox)家族占比25.52%居首位，第二的是RNTC占比23.45%的，BeijingCrypt家族以11.03%位居第三。

圖1. 2024年12月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows7以及Windows Server 2012。

圖2. 2024年12月勒索軟件入侵操作系統占比

2024年12月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC占比大幅度高于服務器平臺。

圖3. 2024年12月勒索軟件入侵操作系統類型占比?

勒索軟件熱點事件

美國指控俄羅斯-以色列人可能是LockBit開發者

美國司法部已指控一名俄羅斯-以色列雙重國籍人士涉嫌在開發惡意軟件和管理臭名昭著的LockBit勒索軟件組織的基礎設施方面發揮作用。根據12月20日，新澤西州地區解封的一份刑事起訴書，51歲的俄羅斯-以色列雙重國籍的Rostislav Panev據稱幫助開發了LockBit勒索軟件加密程序和攻擊中常用的定制“StealBit”數據盜竊工具。

Panev于8月在以色列被捕，彼時他正在等待美國未決的引渡請求。刑事起訴書稱，以色列執法部門在他的計算機上發現了一個在線存儲庫的憑據，其中包含LockBit加密程序和StealBit工具的源代碼。這些存儲庫還包含Conti勒索軟件加密程序的源代碼，該源代碼是在Conti在入侵烏克蘭問題上站在俄羅斯一邊后被一名烏克蘭研究人員泄露的。據信，此源代碼已用于幫助創建基于Conti加密器的“LockBit Green”加密器。

起訴書還稱，Panev使用黑客論壇的私人消息功能與LockBit的主要運營商LockBitSupp（現在被確認為Dmitry Yuryevich Khoroshev）進行交流。這些消息是為了討論需要在LockBit構建器和操作控制面板上編碼的工作。據稱，由于他與LockBit勒索軟件團伙合作，Panev在18個月內賺取了大約23萬美元。

據稱，在被捕后接受以色列警方審訊時，Panev承認為LockBit勒索軟件做編程工作并獲得了報酬。如果Panev被引渡到美國，他將在新澤西州特區受審。

Clop勒索軟件聲稱對Cleo數據盜竊攻擊負責

2020年12月，Clop利用了Accellion FTA安全文件傳輸平臺的0day漏洞，影響了近百家組織。在之后的2021年，勒索軟件團伙利用SolarWinds Serv-U FTP軟件中的0day漏洞竊取數據并破壞網絡。2023年，Clop利用GoAnywhere MFT平臺的0day漏洞，使勒索軟件團伙再次從100多家公司竊取數據。然而，根據安全公司給出的一份報告稱，該團伙最嚴重的此類攻擊是在MOVEit Transfer平臺上使用0day，這使他們能夠從2773個組織中竊取數據。

目前，尚不清楚有多少公司受到了Cleo數據盜竊攻擊的影響，也不清楚有任何公司證實通過該平臺被入侵。美國國務院的正義獎勵計劃目前懸賞1000萬美元，以獲取將Clop勒索軟件攻擊與外國政府聯系起來的信息。

勒索軟件攻擊心臟手術設備頭部制造商

心臟外科醫療設備制造商Artivion近期披露了其在11月21日遭到了勒索軟件攻擊，該攻擊中斷了其運營并迫使其部分系統下線。

Artivion的應對措施包括使某些系統下線、啟動調查以及聘請外部顧問，包括法律、網絡安全和法醫專業人士來評估、遏制和補救事件。雖然Artivion在公告中沒有直接提到勒索軟件，但它透露攻擊者加密了其一些系統并從受感染的系統中竊取了數據。該公司還補充說，其公司運營、訂單處理和運輸的中斷已基本得到解決，保險范圍將涵蓋與事件響應相關的費用。

目前，暫時沒有勒索軟件聲稱對攻擊負責。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖4. 2024年12月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有528個組織/企業遭遇勒索攻擊，其中包含中國1個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有76個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業?

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2024年12月受攻擊系統占比?

對2024年12月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖6. 2024年12月國內受攻擊地區占比排名

通過觀察2024年12月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2024年12月監控到的RDP入侵量

關于MS SQL的入侵，12月30日的數據由于一些設備被大量暴破導致數據大幅增高，隨后即恢復正常水平。

圖8. 2024年12月監控到的MS SQL入侵量

圖9. 2024年12月監控到的MYSQL入侵量?

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

n? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

n? Weaxor：屬于Weaxor勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

n? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

n? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

n? bixi：同baxia。

n? rmallox：同hmallox。

n? src：同mkp。

n? devicdata：同hmallox。

n? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。