360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設產品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領航版
標準升級版
后視鏡版
車載電器2025年1月勒索軟件流行態勢分析
勒索軟件傳播至今,360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延,企業數據泄露風險不斷上升,勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣,危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御,為需要幫助的用戶提供360反勒索服務。
2025年1月,全球新增的雙重勒索軟件家族包有GD Lockersec,該家族目前以攻擊AWS托管站點并竊取數據進行勒索為主。新增的傳統勒索軟件家族有Contacto、Codefinger、D0glun,其中D0glun僅發現在國內少數論壇中進行傳播。
以下是本月值得關注的部分熱點:
n? Wolf Haldenstein律師事務所稱泄露了350 萬人的數據
n? 勒索軟件利用Amazon AWS功能加密S3存儲容器
n? 勒索軟件團伙冒充IT支持在Microsoft Teams網絡中進行釣魚攻擊
基于對360反勒索服務數據的分析研判,360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員)發布本報告。
感染數據分析
針對本月勒索軟件受害者設備所中病毒家族進行統計:Weaxor家族占比40%居首位,第二的是Makop占比14.29%的,RNTC家族以10%位居第三。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 
圖1. 2025年1月勒索軟件家族占比
對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10、Windows7以及Windows Server 2008。
圖2. 2025年1月勒索軟件入侵操作系統占比
2025年1月被感染的系統中桌面系統和服務器系統占比顯示,受攻擊的系統類型桌面PC大幅度高于服務器平臺,NAS平臺以內網SMB共享加密為主。
圖3. 2025年1月勒索軟件入侵操作系統類型占比
勒索軟件熱點事件
Wolf Haldenstein律師事務所稱泄露了350 萬人的數據
Wolf Haldenstein報告稱它遭遇了一次數據泄露,使近350萬人的個人信息暴露給了黑客。此次事件發生在2023年12月13日,但該公司表示數據分析和數字取證并發癥嚴重延遲了調查的完成。
2025年1月10日,Wolf Haldenstein在其網站上發布了一份數據泄露通知,而緬因州AG數據泄露門戶網站上的一個條目將受其影響的總人數鎖定為3445537人。雖然這個數字是在2024年12月3日確定的,但該公司一直無法找到許多受影響者的聯系信息,因此尚未發送通知。
盡管該律師事務所表示沒有證據表明暴露的數據被濫用,但它警告受影響的個人,黑客可能持有有關他們的以下信息:
l? 全名
l? 社會安全號碼 (SSN)
l? 員工
l? 身份證號碼
l? 醫療診斷
l? 醫療索賠信息
泄露這些數據會急劇增加網絡釣魚、詐騙、社會工程和其他針對受影響個人的針對性攻擊的風險。該公司在確定受影響的人方面進展緩慢,以及延遲公開,情況只會變得更糟。盡管無法直接聯系受影響的個人,但將向那些認為自己受到影響的人提供補充的信用監控保險。Wolf Haldenstein還建議個人對其賬戶上的未經請求的通信和可疑活動保持警惕,并考慮設置欺詐警報或安全凍結。該公司沒有明確說明暴露的數據是否屬于客戶、員工或將其信息存儲在其服務器上的其他個人。如果您與他們有業務往來,謹慎的做法是打電話給他們并詢問此事件對您有何影響。
勒索軟件利用Amazon AWS功能加密S3存儲容器
一款新的勒索軟件使用AWS的服務器端加密和只有攻擊者知道的客戶密鑰(SSE-C)來加密Amazon S3 buckets ,并索要贖金才能提供解密密鑰。
有分析人員發現,一個名為“Codefinger”的攻擊者已經加密了至少兩名受害者。不過本輪攻擊事件可能還會進一步擴大,或是出現更多攻擊者開始采用此類策略進行加密和勒索攻擊。
Amazon S3是AWS提供的可擴展、安全且高速的對象存儲服務,而S3 buckets是用于存儲文件、數據備份、媒體、日志等的云存儲容器。SSE-C則是其提供的一種加密選項,用于保護靜態S3數據,允許客戶使用自己的加密密鑰通過AES-256算法加密和解密其數據。AWS不存儲密鑰,客戶負責生成密鑰、管理和保護密鑰。
在Codefinger的攻擊中,攻擊者使用泄露的AWS憑證來獲取SSE-C密鑰生成權限。此后,攻擊者在本地生成加密密鑰以加密目標的數據。而由于AWS不存儲這些加密密鑰,因此即使受害者向Amazon求助,在沒有攻擊者密鑰的情況下也無法恢復數據。
勒索軟件團伙冒充IT支持在Microsoft Teams網絡中進行釣魚攻擊
勒索軟件團伙近期越來越多地采用電子郵件轟炸手段發動攻擊,并在Microsoft Teams通話中冒充技術支持人員,誘騙員工允許遠程控制并安裝提供公司網絡訪問權限的惡意軟件。攻擊者往往會在短時間內發送了數千封垃圾郵件,然后利用已控制的Office 365實例呼叫目標,假裝提供IT支持人員。
自2024年年底以來,在不少Black Basta勒索軟件的攻擊中出現了這種攻擊策略。但安全研究人員發現與FIN7組織有關的其他攻擊者可能也開始使用相同的方法。為了聯系公司員工,黑客利用目標組織的默認Microsoft Teams配置,該配置允許來自外部域的呼叫和聊天。
在發現的案例中,黑客首先通過電子郵件發送了大量消息。不久之后,目標員工收到了來自名為“Help Desk Manager”的賬戶的外部Teams電話。攻擊者說服受害者通過Microsoft Teams設置遠程屏幕控制會話。攻擊者則釋放了托管在外部SharePoint鏈接上的惡意載荷,該載荷會為攻擊者提供對受感染計算機的遠程訪問。攻擊者還會檢查系統詳細信息并部署第二階段的黑客工具與惡意指令。
由于在攻擊的最后階段之前就被阻止了,研究人員認為黑客的目標是竊取數據,然后部署勒索軟件。此外,研究人員還觀察到STAC5777試圖在網絡上部署Black Basta勒索軟件,因此攻擊者可能與臭名昭著的勒索軟件團伙有某種關系。
黑客信息披露
以下是本月收集到的黑客郵箱信息:
表1. 黑客郵箱
當前,通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多,勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比,該數據僅為未能第一時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中)。
圖4. 2025年1月通過數據泄露獲利的勒索軟件家族占比
以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露的準備,采取補救措施。
本月總共有522個組織/企業遭遇勒索攻擊,其中包含中國4個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有7個組織/企業未被標明,因此不在以下表格中。
表2. 受害組織/企業
系統安全防護數據分析
360系統安全產品,目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中,排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。
圖5 2025年1月受攻擊系統占比
對2025年1月被攻擊系統所屬地域統計發現,與之前幾個月采集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。
圖6. 2025年1月國內受攻擊地區占比排名
通過觀察2025年1月弱口令攻擊態勢發現,RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。
圖7. 2025年1月監控到的RDP入侵量
圖8. 2025年1月監控到的MS SQL入侵量
圖9. 2025年1月監控到的MYSQL入侵量
勒索軟件關鍵詞
以下是本月上榜活躍勒索軟件關鍵詞統計,數據來自360勒索軟件搜索引擎。
n? wexor:屬于Weaxor勒索軟件家族,該家族的之前的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,同時通過smb共享方式加密其他設備。自本月起則主要以漏洞利用方式進行投毒。
n? wxr:同wexor。
n? wstop: RNTC勒索軟件家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,同時通過smb共享方式加密其他設備。
n? baxia:屬于BeijngCrypt勒索軟件家族,由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。
n? mkp: 屬于Makop勒索軟件家族,由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。
n? bixi:同baxia。
n? src:同mkp。
n? 888:屬于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。devicdata:同hmallox。
n? sstop:同wstop。
n? devicdata:屬于TargetCompany(Mallox)勒索軟件家族,由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播,后來增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。
圖10 2025年1月反病毒搜索引擎關鍵詞搜索排名
解密大師
從解密大師本月解密數據看,解密量最大的是Xiaoba其次是GandCrab。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。
圖11. 2025年1月解密大師解密文件數及設備數排名
京公網安備 11000002000006號