2023年3月勒索软件流行态势分析
更新日期:2023-04-07
1
简述
勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。2023年3月,全球新增的活跃勒索软件家族有:Merlin、726、 DarkPower等家族。其中DarkPower是本月新增的双重勒索软件,该家族最早出现于2022年,于本月开始采用双重勒索模式运营,其编程语言采用了在勒索软件中罕见的Nim语言。以下是本月值的关注的部分热点:
1. CL0P勒索软件再度活跃,超百家机构成受害者。
2. 水果巨头都乐遭受勒索软件攻击影响运营
3. 法拉利在收到勒索赎金要求后遭数据泄露。
基于对360反勒索数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
2
感染数据分析
针对本月勒索软件受害者所中病毒家族进行统计:phobos家族占比23.97%居首位,其次是占比19.85%的BeijingCrypt,TargetCompany(Mallox)家族以14.61%位居第三。
通过暴力破解远程桌面成功后手动投毒的Standby勒索软件家族感染量持续在上升。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 2012。
2023年3月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。
3
勒索软件流行态势分析
CL0P勒索软件再度活跃,超百家机构成受害者
停更近2年的CL0P勒索软件再度活跃,此次主要利用Fortra GoAnywhere MFT安全文件共享解决方案中存在的0day漏洞,对部署了该解决方案的公司展开数据窃取及勒索行动。
今年2月,GoAnywhere MFT文件传输解决方案的开发人员曾警告其客户:该解决方案的管理控制台代码中存在0day远程代码执行漏洞CVE-2023-0669。虽然该开发人员并没有公开分享该漏洞的利用细节,但很快就发布了概念验证漏洞,随后又发布了该漏洞的补丁。
而就在GoAnywhere补丁发布后的第二天,Clop勒索软件团伙便表示他们对这些攻击负责。该组织声称他们利用该漏洞在十天内窃取了130 家公司的数据。此后,社区卫生系统(CHS)和哈奇银行两家公司披露称存储在GoAnywhere MFT中的数据遭到窃取。本月,CL0P勒索团伙 在其“数据泄露网站”上传了包括日立能源、多伦多市等104个组织/企业的数据。
水果巨头都乐遭受勒索软件攻击影响运营
全球最大的果蔬生产及分销商都乐食品公司发声明表示受到勒索软件攻击,并正对攻击展开应对。关于此次攻击事件公布的细节很少,都乐仅表示目前正在调查“事件的范围”且“影响有限”。
尽管都乐将影响描述为“有限”,但美国德州一家杂货店在Facebook上泄露的一份备忘录表明,这家食品巨头被迫关闭了其在北美的生产工厂并已停止向杂货店发货。
一周以来,北美地区消费者一直在抱怨商店货架上预包装的都乐沙拉短缺。虽然该公司没有透露攻击发生的具体时间,但这很可能是这次勒索软件攻击造成的短缺。
法拉利在收到勒索赎金要求后遭数据泄露。
意大利豪华跑车制造商法拉利确认遭到到了勒索攻击。据法拉利公司称,在攻击者获得对公司部分IT系统的访问权限后,收到了赎金要求,同时数据也已遭到泄露。
据公司表示,事件中遭泄露的客户信息包括姓名、地址、电子邮件地址和电话号码。而到目前为止,法拉利尚未发现付款细节、银行帐 号或其他敏感付款信息被访问或窃取的证据。
4
黑客信息披露
以下是本月收集到的黑客邮箱信息:
filecracker@onionmail.orgfilecracker@msgsafe.iomedusa.serviceteam@protonmail.com
xiopjioht@onionmail.orgxiopjioht@mail.eencuedorockla20173@gmail.com
joel.carsel@gmx.comHelpadmiin@tutanota.comhotwheels@onionmail.com
doktortalker@cock.liHelpadmin@mail.eejohntorrington1843@gmx.com
Lollooki@protonmail.comdepartment@bingzone.netHairysquid@onionmail.org
indianguy@onionmail.orgdatahelp321@nigge.rsjaamesgonzaleswork1972@protonmail.com
laraholmort@protonmail.comgeenakormann@protonmail.comchiaraKolkmann@tutanota.com
DineshSchwartz1965@protonmail.comRupertMariner1958@protonmail.comStephanForenzzo1985@protonmail.com
pretty_hardjob2881@mail.comdprworkjessiaeye1955@tutanota.comharrynarson@protonmail.com
Jeremyhilton@mail.comjamesbrockner@tutanota.comflydragon@mailfence.com
Seven_Legion2@aol.comivanivanov34@aol.commserbinov@aol.com
load180@aol.comtrojanencoder@aol.comvpupkin3@aol.com
base1c1c1c@gmail.comdeskripshen1c@gmail.comvernutfiles@gmail.com
helpfiledeskript111@gmail.comwatnik91@aol.comwatnik91@gmail.com
systemsinfo32@gmail.comsishelp100@gmail.comdeskr1000@gmail.com
marvianna1953@gmail.commoshiax@aol.comd_madre@aol.com
ninja.gaiver@aol.comscasiva@aol.comigor_svetlov2@aol.com
cryptolocker@aol.comiizomer@aol.comgcaesar2@aol.com
help163btc@163.comhontekilla@aol.commonica.moka@aol.com
eric.decoder10.@gmail.commadeled@mail.rudatarestorehelp@airmail.com
dark4wave@yandex.commosnar2023@gmail.commosnar@msgden.net
doctorhelperss@gmail.comhelpersdoctor@outlook.comMerlin@outlookpro.net
Merlin@cyberfear.comMerlin@onionmail.orgabuse@telegram.org
dmca@telegram.orgrecover@telegram.orgsecurity@telegram.org
sms@telegram.orgsticker@telegram.orgstopCA@telegram.org
support@telegram.org@exilenceTG534411644559@ngs.ru
534411644559@ngs.ruDavidTIzzo@dnmx.orgch360@tutanota.com
ch360@mailfence.comvodaigaz@outlook.comgoodmorningfriends@onionmail.org
emcrypts@msgsafe.iobimbom123@tuta.iovenolockdate1@rape.lol
decoding24@onionmail.comdecoding141@tuta.io@decoding24
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有445个组织/企业遭遇勒索攻击,其中中国有5个组织/企业在本月遭遇了双重勒索/多重勒索。此外,有15个组织/企业未被标明,因此不再以下表格中。
ativy.cometkinllc.comtecnova.com
OptionMetrics1.comArmstrong Watson
Lewis & Clark Collegegroupe-seche.comMeloc
MULTIPLAN.COMiesecomatrixtelecoms
GOV.PLtheus-industries.frtharworx.com
WESSEXHospital Clinic de BarcelonaHit Promotional Products
Temporary Leak Page #0013995NTaCANTALKhammondlumber.com
psenergy.comFINANCE INSTITUTION AUCTIONnts.go.kr
Savanna Technical CollegeThe Ultra-metMERS Missouri Goodwill Industries
BMW FranceOscar SoftwareJablite
AV IndustriesPCCARX_2hico-ics.com
grupcovesa.comswiftatlanta.compiramal.com
City of Modesto, CAtecnosysitalia.euAll4Labels
IRCOTanbridge House SchoolHelmholtz Zentrum Munchen
Wymondham CollegeOKSGROUPARROWAL
Ingersoll RandLinxFuruno
lqtbg.com.cnislandinsurance.caCounty Materials Corporation
DUKANEulmacarretillas.comita-moulding-process.com
Ville de LillePicou Builders SupplyKk Mehta Cpa Associates
LightcastOpticaPizza 73
James, McElroy and DiehlLysander AssociatesTAC
Guyana GoldfieldsTurvatehnikaRob Levine & Associates Lawyers
SocomecKonicaPolytech
NgocyenvietberjayaClubsgiga.com.vc
jubileeinsurance.comDGCXLa Providence
slipstreaminc.orgdemechindia.comprecisionit.co.in
CesceCospec SrlBISSELL.COM
EMERALDX.COMCAJASANRAFAEL.COM.MXTAS.GOV.AU
ENERJISAURETIM.COMINTELLICARE.COM.PHCRESCENTHOTELS.COM
COLMAC.COMINVESTORCOM.COMConfido
Sun Globallclattorneys.comwbactc
Accolade Group Inc LevelwearZellerTip Top Poultry
CCAAIMAGINE360.COMTeklas
Sun Pharmaceutical Industries Ltd.securens.inTHECYPRINUS.COM
SPI.CO.ZADETECH.COM.TRGRUPOFLORAPLANT.COM
ALTO.USDAVINCIBerjaya
Novelisbianchiindustry.comGOA.GOV.IN
INTERTERMINALS.COMGLOBALFARM.COM.ARATOS.NET
TGW.COMDERK.CLREDBOXVOICE.COM
PROGRESSION.COMUNIMELB.EDU.AUGujarat Mineral
CROWNRESORT.COM.AUBRIDGEWAY.COM.PHTLG.COM
HainPureProtein Plainville FarmsComune TaggiaVLS
Autoridad de Acueductos Y AlcantarilladosbluebirdnetworkPHOENIX.TECH
SODALESSOLUTIONS.COMNATIONSBENEFITS.COMSHOLASTIC.COM
VUMACAM.CO.ZATORONTO.CACLOUDMED.COM
DPWORLD.COMSOLPAC.CO.JPVIRGIN.COM
LEGACY-TECHNOLOGIES.DEOSHCO.COMGRAY.TV
ORCAAUDIT.COMCHEMILAB.COM.COPAYBOXAPP.COM
VERRAMOBILITY.COMBUNZL.COMFIRST-CENTRAL.COM
ALIVIAHELTH.COMHORMELFOODS.COMTHECROSBYGROUP.COM
MUNICHRE.COMGRUPOVANTI.COMVOLARIS.COM
ACCUZIP.COMSEPIRE.COMWVI.ORG
TTBH.ORGHUMANGOOD.COMKANNACT.COM
CINEPLEX.COMAMERIJET.COMGDI.COM
ZOSKINHEALTH.COMHRTRANSIT.ORGPLURALSIGHT.COM
PPF.CO.UKGraceworks Lutheran ServicesLASOLTEL.FR
rockinsurancebrokersPG.COMCROSSVILLEINC.COM
LESLIESPOOL.COMUS District CourtTroutman Pepper
Advance AmericaDayton SuperiorDesign CATAPULT
Kresscabinet-paillet.frYaskawa Motoman
mangiainc.comSUPPLYCOREZeus Energy S.A.C
jenparking.comtransports-douaud.combakermech.com
the3rivers.netstolt-nielsen.comcityofallenpark.org
ksrsac.karnataka.gov.inroslevauto.dkgproulxinc.com
Atlas Securityco.ottawa.oh.usoaklandca.gov
ALKF+alyasrafoods.comSunward Pharmaceutical (Sunward)
Indonesia Poweremotorsdirect.caSAKSFIFTHAVENUE.COM
telepizza.comNational Board of Osteopathic Medical ExaminersAces Electronic Co Ltd
Desman Design ManagementAvila Real EstateWOODHAVEN
Potandon FoundationEnnis, Inc.Sandals Resorts International
Michael & SonSound PublishingATCDT
PFC BrakesBayou TitleNOVATI
Echelon FitnessclairAlessi
The Norfolk Capital GroupMacomb GroupMettis Aerospace
KWSNewly Weds FoodsXLTRAILERS
VORNADOCEC ELECTRICALMARSHALLAMPS
ACEA EnergiaRudman WinchellHall Booth Smith
Nor-Cal BeverageMAKLERSOFTWAREMondial and Framec
fflawofficeTri Counties BankKittle’s
Norman S. Wright Climatecjaureguy.com.arstavinvest.cz
hitzler-ingenieure.deid-logistics.combbsautomation.com
spoormaker.co.zaFABREGA MOLINO (fmm.com.pa)Law Firm Vazquez Nava Consultores y Abogados, S.C
Sutton and JacobsCollins ElectricalJames Group
boothtransport.comStanley SteemerA&T group of companies
Berga RecyclingPine Tree Commercial RealtyNorman Shutters
TaxAssist AccountantsdraftProsDGM Industrie
AAA Energy Servicer-pac.comDancenter
OptiengGuardian CapitalRing: Security Systems
WALSHALBERTnpauctions.comMuzzo Group
copart.comJAYMART.CO.THSERVICESTREAM.COM.AU
WORLDMARKET.COMWILDFIRE-DEFENSE.COMSWEEPINGCORP.COM
TUEBORA.COMRATELINX.COMFERGUSON.COM
ACENURSING.ORGWELLBE.COMHELLOBRIGHTLINE.COM
HITACHIENERGY.COMSAE.ORGAVIDXCHANGE.COM
GALDERMA.COMNEWEUROPEANOFFSHORE.COMMEDEXHCO.COM
INVESTQUEBEC.COMRIOTINTO.COMITXCOMPANIES.COM
HOMEWOODHEALTH.COMGUINNESSPARTNERSHIP.COMALLIEDBENEFIT.COM
USWELLNESS.COMktcs.com.myNational Institute of Ocean Technology
Audio Videobuehnen.demeatel.com
perfectplacement.co.ukwaldogeneral.commandirisekuritas.co.id
Ecolog Internationalregaltax.usFICHTNER
Liberty LinesNRG Innovationsessendant.com
kaycan.comFaraday Technologyfiege.com
dmos.comSt. Kitts & NevisRUBRIK.COM
ONEX.COMManning Building SuppliesTarolli
LLPGroupsabena-engineering.commaximumind.com
plasticproductsco.comRoyal DirkzwagerE&S Heating & Ventilation Ltd
Entigrity SolutionsBishop Luffa Schoolgrupohospitalarvidas.com.br
schradercamargo.comgreggardnergm.comwyckoffcomfort.com
bonta-viva.itmeinet.comlubrimetal.com
cqservice.skbrandywine-homes.comcktc.edu
omegaservicos.com.brinphenix.comfavoritefoods.com
Berkeley County SchoolsReal ProLeemock
The M. K. MorseSecure WrapRussell Finex
Delaware Life Insurance Companyeprinsa.estechhard.ae
micos.comdrilmaco.comschauenburg.com
heidelbergbread.comsouthamericantours.comwunan.org.au
alpes-sante-travail.orgkisp.comKMVP
PEOPLECORPORATION.COMMEDMINDER.COMAXISBANK.COM
HOUSELOAN.COMALIVIAHEALTH.COMHighway Equipment
Ferretería EPALittle Mountain Residential Care and Housing SocietyHard Manufacturing
MaterialogicJackson Dean ConstructionRichard Sanders
Gottschol Alcuiluxsagardoy.comMethodist Family Health
pmsoffice.deGarbarino SAICeINational Business Furniture
onyx-pharma.dzimtenan.comagados.cz
evant.com.trarineta.comrcc.gob.pe
goliplik.com.trmdclone.combetastree.fr
northgatesd.netWellington Power CorporationWalker SCM
Brauerei SchimpfThomaston Millsaudio-technica.com
The WorkPlaceGROUPAMANA.COMMinneapolis Public Schools
Law Foundation of Silicon ValleyWilhelmPROTEKTOR
Krinos FoodsLehigh Valley Health NetworkLos Altos Foods
steico.comThe Institute of Space TechnologyCirca Jewels
HATCHBANK.COMKventa KftHAW Hamburg
AddWeb Solution PvtKimko RealtyRimex
Victoria Parktjel.netVesuvius
Traffic Ticket Officeegas.noSkyFiber Networks
CMMG IncWelty Building Companyblackswanhealth
AICHELIN UNITHERMHUNOSAAASP
ACCSCZerbe Retirement CommunityPLP Architecture
Kenya Airports AuthorityParques ReunidosOpen MRI Bala
Title Cash Now6connexFIMM
OaklandBettuzzi And Partnersascentengrs.com
The Metropolitan Opera
表格2. 受害组织/企业
5
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 7 、Windows 2016以及Windows Server 2003。
对2023年3月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。
通过观察2023年3月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
6
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌 面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
- halo:同360。
- faust:属于phobos勒索软件家族,因被加密文件后缀会被修改为faust而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌 面口令成功后手动投毒。
- elbie:同faust。
- lockbit:属于LockBit勒索软件家族,因被加密文件后缀会被修改为lockbit而成为关键词。该家族的运营模式可以分为两种不同的方 式。第一种是无差别攻击,该方式会对全网发起数据库弱口令攻击或远程桌面弱口令攻击,一旦攻击成功,勒索软件将被投毒到受害者计算机中。在这种情况下,攻击者并不会窃取受害者的数据。第二种是针对性攻击,该方式主要针对大型企业,攻击者不仅会部署勒索软件,还会窃取企业重要的数据。如果受害组织或企业无法在规定时间内缴纳赎金,该团伙将会把数据发布到其数据泄露站点上,任何可以访问该网站的人都可以下载受害者的数据。
- _locked:属于CryLock(Trigona)勒索软件家族,由于被加密文件后缀会被修改为_locked而成为关键词。该家族主要的传播方式:暴力 破解远程桌面口令成功后手动投毒以及暴力破解数据库密码后远程投毒。
- mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。
- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
7
时间线
2023年04月07日 360高级威胁研究分析中心发布通告
页:
[1]