报告编号:B6-2021-080902ios
报告来源:360高级威胁分析中心web
报告做者:360高级威胁分析中心算法
更新日期:2021-08-09swift
勒索病毒威胁还是当前最热门的网络安全风险,360反勒索服务已累计接收处置数万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和我的带来的影响范围愈来愈广,危害性也愈来愈大。360安全大脑针对勒索病毒进行了全方位的监控与防护,为须要帮助的用户提供360反勒索服务。api
2021年7月,全球新增的活跃勒索病毒家族有:BlackMatter、Grief、AvosLocker、nohope、GoodMorning、MiniWorld、FancyLeaks、LegionLocker、LockBit2.0等勒索软件。本月还发现Linux版本的HelloKitty正对安装VMWare ESXI的服务器发起攻击。安全
此外,本月发现DarkSide家族重命名为BlackMatter,而DoppelPaymer重命名为Grief。AvosLocker可能和Avaddon是同一批人运营,而目前双重勒索病毒中最为活跃的一个家族是LockBit2.0。服务器
针对本月勒索病毒受害者所中勒索病毒家族进行统计,Stop家族占比24.11%居首位,其次是占比14.23%的phobos,Makop家族以10.28%位居第三。微信
本月GlobeImposter家族比较罕见的掉出前三,同时本月经过匿隐僵尸网络进行传播的YourData以及针对网络存储设备进行攻击的ech0Raix勒索软件有较大的上涨。网络
对本月受害者所使用的操做系统进行统计,位居前三的是:Windows 十、Windows 7以及Windows Server 2008。less
2021年7月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面平台为主,与上月相比无较大波动。本月针对NAS设备的攻击事件依然较多,致使其占比有所上涨,建议受害者当即提升设备登陆口令的复杂度。若使用的NAS设备品牌为威联通,则还应及时对HBS多媒体软件进行升级。
Kaseya遭REvil供应链攻击,100万个系统被加密,购恢复文件需支付7000万美圆的赎金
REvil勒索团伙在暗网数据泄露网站发布了一则声明:“ 周五(2021.07.02)咱们对MSP提供商发起了攻击,超过100万个系统被感染。若是任何人想要协商通用解密器——咱们的价格是7000万美圆的BTC,那咱们将公开发布解密器解密全部受害者的文件,而后每一个系统都能在一小时内获得恢复。若是您对此类交易感兴趣——请使用受害者系统中留下的‘readme’文档与咱们联系。”
除通用解密器的报价,REvil还对不一样类型的受害者报出了不一样赎金:针对MSP(管理服务提供商) REvil索要500万美圆,而向其客户则索要4万到4.5万美圆做为赎金。这次攻击事件影响了多个托管服务商及其一千多名客户。其中瑞典最大连锁超市Coop所以次事件致使收银系统被感染,被迫关闭了500家商店。
针对这次事件调查事,REvil利用Kaseya VSA服务器中的漏洞来访问安装在客户系统中的VSA设备,而后经过被感染设备转向全部链接的工做站和公司网络,并安装有效载荷并加密客户文件。该漏洞并不是未知漏洞,Kaseya正在替其用户发布补丁,但不幸的是仍是被REvil先一步利用了。此次攻击事件不只是近两年来感染设备量最大的一次,同时也创造了索要赎金金额最大的记录。
大部分受害者均拒绝向黑客支付赎金——在7月中旬仅有两名受害者向黑客妥协,而7月底,Kaseya从受信任的第三方手中获取到了通用解密工具,能够协助这次受攻击影响的设备免费解密文件。
宣称速度最快的LockBit 2.0本月极度活跃
7月中旬,已消失6个月的LockBit在其数据泄露网站发布一条新闻宣布更新版本为2.0。其中最引人注意的是该家族宣称是加密文件最快的勒索软件,并提供了2.0 版本和其余34个勒索软件的加密速度对照表格。同时还会为其攻击者支提供名为"DESITET"的数据软件,攻击者可经过该软件压缩、上传文件用户文件,做者宣称可在20分钟内上传100GB数据。在以前发现的版本中,该家族窃取数据利用到了第三方软件MegaSync。而在今年6月份时,RagnarLocker勒索家族还曾利用MegaSync来公开发布受害者数据,不过当时MegaSync很快作出反应,删除了该攻击者帐户并取消了连接的访问权限。因此猜想也正是因为这个缘由,Lockbit 2.0选择了一个新的数据软件来窃取数据。
同时该勒索软件还在新闻中提到,这次的最新版本具备自传播能力。该勒索软件经过使用Active Directory组策略自动加密Windows域。
本月该勒索软件家族已成为活跃度最高的勒索病毒家族之一。截止目前为止已有62个企业/组织的数据遭到该家族的窃取,该家族最高一天曾连续公布12个受害企业/组织名单。目前该数据泄露网上仅保留40名受害者信息,由此可推测已有22名受害者向该勒索软件团伙支付了赎金。
匿影僵尸网络协YourData勒索软件再度来袭
近日360安全大脑监控到YourData勒索病毒开始采用匿影僵尸网络进行传播(该僵尸网络还曾传播过WannaRen以及CryptoJoker勒索病毒家族), 该家族又被称做Hakbit、Thanos家族,最先出现于2019年11月。但在2021年1月中旬以前,国内极少出现被该家族或变种攻击案例。2021年1月开始在国内出现该家族的变种,因为早期其后缀虽一直更新,但在国内传播时使用到的邮箱均为yourdata@RecoveryGroup.at,被命名为YourData。
该病毒演变过程以下:
- 2021年1月份开始,该变种开始在国内开始采用暴力破解远程桌面口令进行传播,并不具有任何针对性的投放勒索病毒。
- 2021年4月份开始,发现该家族开始针对性的进行投放勒索软件,使用带有受害者公司名特征的字符串做为后缀,重命名被加密文件。一样采用暴力破解远程桌面口令进行传播。
- 2021年7月份开始,发现该家族开始经过匿隐僵尸网络进行传播,不具体针对性,可是传播量有大幅度提高。
进行针对性攻击时,该家族在生成的勒索提示信息中不只给出了邮箱联系方式,还给为受害者提供了一个网址,可和黑客进行即时通讯。黑客给受害者24小时的时间,若不能在24小时内支付0.7BTC的赎金,解密文件所需费用将提高20%.
这次利用匿影僵尸网络投放的勒索病毒生成的勒索提示信息,仅提供邮件地址供受害者联系。
DoppelPaymer勒索软件重命名为Grief卷土重来
在DarkSide袭击美国最大的燃料管道运营商之一的Colonial Pipeline后,DoppelPaymer的活动开始降低。5月开始其数据泄露网站不曾更新过受害者消息,近日发现DoppelPaymer进行品牌重塑后,重命名为Grief(又叫Pay)。二者有较多类似之处:
1. 二者共享相同的加密方式。
1. 相同的分发渠道(Dridex僵尸网络)。
1. 高度类似的代码,采用相同的加密算法(RSA2048和AES-256)。
1. 均使用欧盟通用数据保护条例(GDPR)做为警告,未付款的受害者仍将因违规而面临法律处罚。
1. 数据泄露站点上的防止爬虫的验证码等。
该家族最先的信息是从2021年6月开始的,但被捕获到的样本的编译时间为5月17日。同时该家族接受赎金时仅支持XMR虚拟货币,采用此虚拟货币很大程度是为了不被追溯。目前已出现受害者,其中Clover Park学区被索要价值35万美圆的XMR。
DarkSide改名为BlackMatter再度活跃,目标瞄准资产超1亿美圆企业
在DarkSide袭击美国最大的燃料管道运营商之一的Colonial Pipeline后不久,便关停了全部的基础设施,并销声匿迹。7月发现一新型勒索软件BlackMatter(由DarkSide重命名而来)开始在网络犯罪论坛开始发布各类广告招募合做伙伴,并声称同时拥有REvil和DarkSide的最佳功能。
该团伙在攻击受害者的同时,还积极的从其余攻击者那里购买网络访问权限以发起新的勒索攻击。该家族曾在网络犯罪论坛发布消息称,其主要目标是那些盈利超过1亿美圆,网络中存在500-15000台设备的公司。
该勒索病毒不只支持在Windows上运行,还支持在Linux和EXSi服务器上运行。目前已出现受害者被攻击,而且已有受害者向BlackMatter支付400万美圆的赎金。从其数据泄露网站发布的消息看,该家族声称不会攻击如下行业,并承诺若如下行业不幸中招,会提供免费的解密工具:
- 医疗行业
- 关键基础设施(核电站、发电厂、水处理设施)
- 石油和自然气工业(管道、炼油厂)
- 非盈利公司
- 政府部门
如下是本月收集到的黑客邮箱信息:
| k3n3dy@xmpp.cz | GoodMorning9@cock.li | ustedesfil@safeswiss.com |
|---|---|---|
| raincry@dr.com | johnlo@techmail.info | willettamoffat@yahoo.com |
| keepcry@mail.con | recupes@tutanota.com | GooodMorning@tutanota.com |
| recofile@mail.ee | tedydecrypt@elude.in | JessMalibu@protonmail.com |
| Zeus1@msgsafe.io | helpguarantee@aol.com | yourdata@RecoveryGroup.at |
| 3292987166@qq.com | mrreturn@ctemplar.com | cryptodancer@onionmail.org |
| dragon520@mail.me | slamhelp123@gmail.com | devos_support@pressmail.ch |
| Handi@firemail.cc | AsupQue@protonmail.com | fushenkingdee@tutanota.com |
| kingkong2@tuta.io | diniaminius@winrof.com | GooodMorning1@tutanota.com |
| Naver@firemail.cc | recofile@mailfence.com | Forexexchane@protonmail.com |
| norahghnq@gmx.com | chickenfried@keemail.me | Goood.Morning@mailfence.com |
| chaziz@firemail.cc | decryptionwhy@india.com | protoshak140@protonmail.com |
| ecoding141@tuta.io | irrelevantly@aliyun.com | Goood.Morning1@mailfence.com |
| greenoffer@aol.com | justiceinfo@disroot.org | martingarrix@nonpartisan.com |
| datos@onionmail.org | soterissylla@wyseil.com | nohopeproject@protonmail.com |
| desmcmorran@aol.com | yourdataok@tutanota.com | troublemaker113@tutanota.com |
| greenoffer1@aol.com | greenoffer1@tutanota.com | troublemaker113@mailfence.com |
| nomanscrypt@tuta.io | kabayaboo@protonmail.com | bob_marley1991@libertymail.net |
| AsupQue@tutanota.com | managerhelper@airmail.cc | slamransomwareasistance@gmail.com |
当前,经过双重勒索模式获利的勒索病毒家族愈来愈多,勒索病毒所带来的数据泄露的风险也愈来愈大。如下是本月经过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(由于第一时间联系并支付赎金的企业或我的不会在暗网中公布,所以无这部分数据)。
如下是本月被双重勒索病毒家族攻击的企业或我的。若未发现被数据存在泄露风险的企业或我的也请第一时间自查,作好数据已被泄露准备,采起补救措施。
| dimeo | Geneva, Ohio | Arabian Cargo Group |
|---|---|---|
| imasa | Stevens & Lee | Breydons Solicitors |
| cegos | Talbert House | Pesquera Exalmar SAA |
| KASEYA | Paxton Access | ensingerplastics.com |
| Walsin | Paxton Access | Dragon Capital Group |
| Alcedo | aris-services | cecengenharia.com.br |
| Bamford | cometgroup.be | Commune De Villepinte |
| ALBIOMA | kennen.com.ar | Heller Injury Lawyers |
| CHADDAD | betonlucko.hr | swiftlogistics.com.my |
| Beckley | anderscpa.com | Virginia Defense Force |
| habasit | Techni+Contact | Belperio Clark Lawyers |
| matchmg | siro-group.com | europeanaccounting.net |
| Gulf Oil | The Wild Rabbit | creditoycaucion.com.ar |
| Hx5, LLC | Mambrino S.A.C. | sahintoptangida.com.tr |
| DiaSorin | Gateway College | classicalmusicindy.org |
| keltbray | INSERM-TRANSFER | Sierra Air Conditioning |
| friedrich | grupodismar.com | kuk.de / KREBS + KIEFER |
| PCM Group | f** | Florida Sugar Cane League |
| BHoldings | vincents.com.au | Walter's Automotive Group |
| Cinépolis | SAC Wireless Inc | Elm3 Financial Group, LLC |
| Actiontec | Sandhills Center | Nottingham City Transport |
| infovista | Home in Brussels | Haftpflichtkasse Darmstadt |
| Jhillburn | Grupo DINA S.A. | GATEWAY Property Management |
| HUF GROUP | Phoenix Services | Artas Holding / Artas Insaat |
| Daylesford | riostarfoods.com | South Carolina Legal Services |
| inocean.no | modernbakery.com | Century 21 Gold Key Realty, Inc |
| IBC24 News | Agrokasa Holdings | Walter's Mercedes-Benz of Riverside |
| apg-neuros | Aquazzura Firenze | Trifecta Networks & CloudFirst Labs |
| ccz.com.au | Revision Skincare | On logistics Services Algeciras, S.L |
| Mega Vision | spiralfoods.com.au | Corporación Nacional de Telecomunicación |
| supplyforce | cspmould-stampi.it | SALZBURGER EISENBAHN TRANSPORT LOGISTIK GmbH |
| Colligan Law | WT Microelectronics | Orange County Chrysler Jeep Dodge Ram Dealership |
经过将2021年6月与7月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统还是Windows 七、Windows 8和Windows 10。
如下是对2021年7月被攻击系统所属地域采样制做的分部图,与以前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区还是攻击的主要对象。
经过观察2021年7月弱口令攻击态势发现,RDP和MYSQL弱口令攻击在整体量级层面无较大变化。而利用MSSQL进行传播勒索的家族本月的感染量也有大幅度的降低——例如上个月的GlobeImposter家族。
如下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
- devos:该后缀有三种状况,均因被加密文件后缀会被修改成devos而成为关键词。但月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:经过暴力破解远程桌面口令成功后手动投毒。
- eking:属于phobos勒索病毒家族,因为被加密文件后缀会被修改成eking而成为关键词。该家族主要的传播方式为:经过暴力破解远程桌面口令成功后手动投毒。
- Makop:该后缀有两种状况, 均因被加密文件后缀会被修改成makop而成为关键词:
- 属于Makop勒索病毒家族,该家族主要的传播方式为:经过暴力破解远程桌面口令成功后手动投毒。
- 属于Cryptojoker勒索病毒家,经过“匿隐” 进行传播。
- gujd:属于Stop勒索病毒家族,因为被加密文件后缀会被修改成gujd而成为关键词。该家族主要的传播方式为:假装成破解软件或者激活工具进行传播。
- zzla:同gujd。
- Lockbit:Lckbit勒索病毒家族,因为被加密文件后缀会被修改成lockbit而成为关键词。该家族主要的传播方式为:经过暴力破解远程桌面口令成功后手动投毒。
- neer:同gujd。
- hauhitec:属于CryptoJoker,因为被加密文件后缀会被修改成hauhitec而成为关键词。经过“匿隐” 僵尸网络进行传播。
- moqs: 同gujd。
- encrypt:该后缀被不少家族均使用过,但在本月活跃的是ech0Raix勒索软件,因为被加密文件后缀会被修改成encrypt而成为关键词。该家族针对网络存储设备NAS进行攻击,主要经过弱口令攻击以及漏洞攻击进行传播。
解密大师 从解密大师本月解密数据看,解密量最大的是CryptoJoker,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。!
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360AISA全流量威胁分析系统
针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系techsupport@360.cn获取更新,尽快升级检测引擎和规则,作好安全防御工做。
360安全卫士
Windows用户可经过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其余平台的用户能够根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士按期对设备进行安全检测,以作好资产自查以及防御工做。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,作好防御。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
2021-08-09 360高级威胁分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户作资料留存、传阅研究与查询验证。用户可直接经过如下连接进行特制报告的下载。
2021年7月勒索病毒流行态势分析
http://certdl.qihucdn.com/cert-public-file/forward_ramsomeware_status_analyze_report/【360CERT】2021年7月勒索病毒流行态势分析.pdf
如有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
https://cert.360.cn/
进入官网查看更多资讯
本文分享自微信公众号 - 三六零CERT(CERT-360)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。