2024年5月勒索軟件流行態勢分析

2024-06-04 19:26:41
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年5月，全球新增的雙重勒索軟件家族有FSOCIETY（flocker）、Arcus Media、Zero Tolerance。新增的傳統勒索軟件家族有Phalcon、ShrinkLocker 、Moneyistime。其中ShrinkLocker利用操作系統的Bitlocker進行文件加密，Moneyistime在國內廣泛傳播并開始出現變種。

以下是本月值得關注的部分熱點：

1. 波音公司證實有勒索軟件試圖向其勒索2億美元

2. 新版BiBi擦除器加入破壞硬盤分區表功能

3. 新型勒索軟件ShrinkLocker會使用BitLocker加密文件

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。?

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：Makop家族占比21.39%居首位，第二的是TargetCompany(Mallox)占比20.32%，phobos家族以15.51%位居第三。

圖1.勒索軟件5月各家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 勒索軟件5月感染操作系統占比

2024年5月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC相比服務器平臺的攻擊比例略高。

圖3. 勒索軟件5月感染系統類型占比

勒索軟件熱點事件

波音公司證實有勒索軟件試圖向其勒索2億美元

波音公司5月8日表示，該公司于2023年10月已向LockBit勒索軟件平臺的網絡犯罪分子繳納了其向該公司索要的2億美元勒索贖金。波音公司證實，該公司就是美國司法部于5月7日公布的一份起訴書中所提到的一家未具名的跨國航空和國防公司。這份起訴書指控俄羅斯公民德米特里·尤里耶維奇·霍羅舍夫是LockBit勒索軟件的主要管理員和開發者。

但除此以外，波音公司拒絕進一步置評，并表示已將問題轉交給FBI。而FBI方面則并未立即回應此次事件。

去年11月初，LockBit網站上曾公布了約4.3GB的波音公司數據，波音公司在當時曾表示并未向LockBit支付任何贖金。而在起訴書中提到的未具名公司是科羅謝夫及其同伙“索要巨額贖金”的一個例子，自2019年底或2020年初以來，他們已從受害者手中勒索了逾5億美元贖金。

新版BiBi擦除器加入破壞硬盤分區表功能

一款名為BiBi Wiper的擦除器型勒索軟件在其新版本中加入了刪除硬盤分區表的功能，這一功能使數據恢復變得更加困難，從而延長了受害者的宕機時間。這款名為“BiBi Wiper”的擦除器型勒索軟件主要在以色列及阿爾巴尼亞地區傳播，據稱該勒索軟件是來自于一個名為“Void Manticore”的黑客組織，而部分研究機構認為該組織可能與伊朗有關，但目前尚無明確的關聯證據。

BiBi Wiper最早在2023年10月被安全研究員“Security Joes”發現，并因其攻擊行為引發了以色列CERT在2023年11月的告警。該告警稱有人利用BiBi Wiper對該國關鍵組織發動大規模的網絡攻擊。

根據安全研究機構的一份最新報告顯示，BiBi Wiper發布了其最新版本擦除器，同時發現與其同屬一個黑客組織還使用了另外兩種擦除器——Cl Wiper和Partition Wiper。該報告還表示，該擦除器背后的Void Manticore與另一個名為Scarred Manticore的組織可能存在運營上的重疊，這表明兩者之間存在合作關系。并稱Void Manticore可能隱藏在一個名為Karma的黑客組織背后。

目前，安全研究機構觀察到較新版本的BiBi Wiper會用隨機數據破壞非系統文件，并在文件后附加一個包含“BiBi”字符串的隨機擴展名。與過去的版本相比，這些較新的變種僅針對地區標記在以色列操作系統，并且不再刪除系統快照或禁用系統的錯誤恢復功能。但它們現在會從硬盤中刪除分區表信息，這種專門針對系統分區表展開的攻擊，因其會導致安全人員無法恢復硬盤布局而將數據恢復工作復雜化，并最大程度地破壞數據。CI Wiper則主要針對地區標記為阿爾巴尼亞的系統，它使用“ElRawDisk”驅動程序執行擦除操作并將預定義的緩沖區覆蓋到物理驅動器的對應位置中。

新型勒索軟件ShrinkLocker會使用BitLocker加密文件

一款名為ShrinkLocker的新勒索軟件會在使用Windows BitLocker加密企業系統時創建一個新的啟動分區。這款名為“ShrinkLocker”的勒索軟件因其通過縮小可用的非引導分區來創建引導分區而得名，其目前已知曾對政府機構和疫苗及制造業公司發動過攻擊。

ShrinkLocker利用微軟的VBScript腳本語言編寫（該語言在即將推出的Windows 11系統的24H2更新中將變為可選組件而被逐步啟用）。它的一個功能是通過使用Windows管理規范(WMI)和Win32_OperatingSystem類來檢測目標機器上運行的特定Windows版本。如果滿足特定的參數條件，攻擊才會繼續進行：例如當前域與目標域匹配，并且操作系統版本高于Vista。否則，ShrinkLocker會放棄攻擊并刪除自身。

而如果發現目標符合攻擊要求，ShrinkLocker便會使用Windows中的diskpart程序將每個非系統分區縮小100MB，并將未分配的空間分割成同樣大小的新主分區。研究人員表示在Windows 2008和2012系統中，該勒索軟件首先會將啟動文件與其他卷的索引一起保存下來。此外，ShrinkLocker還會修改注冊表項以禁用遠程桌面連接或在沒有可信平臺模塊（TPM）的主機上啟用BitLocker加密。

通過分析，研究人員能夠確認該勒索軟件進行了以下注冊表更改：

l? fDenyTSConnections = 1:禁用RDP連接

l? scforceoption = 1:強制智能卡身份驗證

l? UseAdvancedStartup = 1:需要在預啟動時使用BitLocker PIN進行身份驗證

l? EnableBDEWithNoTPM = 1:允許在不兼容TPM芯片的情況下使用BitLocker。

l? UseTPM = 2:如果可用則允許使用TPM

l? UseTPMPIN = 2:如果存在TPM，則允許使用啟動PIN

l? UseTPMKey = 2:如果存在TPM，則允許使用啟動密鑰

l? UseTPMKeyPIN = 2:如果存在TPM，則允許使用啟動密鑰和PIN

l? EnableNonTPM = 1:允許在不兼容TPM芯片的情況下使用BitLocker，需要在USB閃存驅動器上輸入密碼或啟動密鑰。

l? UsePartialEncryptionKey = 2:需要使用TPM啟動密鑰

l? UsePIN = 2:需要在TPM上使用啟動PIN

ShrinkLocker背后的攻擊者不會給受害者留下贖金文件，而是將一個新的啟動分區的標簽設置為一個電子郵件地址。在加密驅動器之后，攻擊者會刪除BitLocker保護程序（例如TPM、PIN、啟動密鑰、密碼、恢復密碼和恢復密鑰）以阻止受害者恢復BitLocker的加密密鑰，并將修改后的密鑰其發送給攻擊者。

用于加密文件的密鑰是一個由隨機乘法和替換變量為0-9數字、特殊字符以及“The quick brown fox jumps over the lazy dog.”（快速棕色狐貍跳過懶狗）的拉丁文組成的64位組合。在攻擊的最后階段，ShrinkLocker還會強制系統關閉以使所有更改生效，并使受害者無法解鎖驅動器且無法使用BitLocker恢復選項。

目前，研究人員發現ShrinkLocker有多個變種，并已被用于攻擊墨西哥、印度尼西亞和約旦的政府機構以及鋼鐵和疫苗制造行業的組織。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖4. 雙/多重勒索軟件5月各家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有558個組織/企業遭遇勒索攻擊，其中包含中國4個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有5個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows 7、Windows 10以及Windows Server 2016。

圖5. 黑客入侵防護5月各系統占比

對2024年5月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖6. 黑客入侵防護5月各地區占比Top

通過觀察2024年5月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. RDP攻擊在5月的入侵量

圖8. MS SQL攻擊在5月的入侵量

圖9. MY SQL攻擊在5月的入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

l? rmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

l? svh: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? hmallox：同rmallox。

l? faust： phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? mkp：同svh。

l? blackbit 基于Loki勒索軟件家族的修改版本，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? halo：同360。

l? mallox：同rmallox。

l? wormhole：屬于Wormhole勒索軟件家族，由于被加密文件后綴會被修改為wormhole而成為關鍵詞。該家族主要的傳播方式為通過Web應用漏洞利用進行傳播。

圖10. 勒索軟件搜索引擎5月搜索關鍵詞Top10

解密大師

從解密大師本月解密數據看，解密量最大的是GandCrab其次是Telsa。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。

圖11. 解密大師5月解密受各家族感染的設備及文件數量Top10

色婷婷激婷婷深爱五月小说-色婷婷精品-色婷婷精品大全在线视频-色婷婷精品视频-全免费午夜一级毛片真人-全免费一级毛片在线播放