2024年11月勒索軟件流行態勢分析

2024-12-05 11:13:30
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2024年11月，全球新增的雙重勒索軟件家族有Kairos、Safepay、Argonauts、Chort、Termite。11月新增的傳統勒索軟件家族有XmrData、Frag、Triplex、Nyxe、MrBeast等十余個家族，其中XmrData、Frag有監測到在國內的傳播行為。

以下是本月值得關注的部分熱點：

n? Veeam RCE嚴重漏洞現在被Frag勒索軟件利用實施攻擊

n? 施耐德電器確認黑客竊取數據后開發平臺遭到破壞

n? 俄羅斯逮捕了與勒索團伙有關的知名開發人員

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：TargetCompany(Mallox)家族占比22.38%居首位，第二的是Makop占比15.38%的，RNTC家族以11.89%位居第三。

圖1. 2024年11月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows7以及Windows Server 2012。

圖2. 2024年11月勒索軟件入侵操作系統占比

2024年11月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC高于服務器平臺。

圖3. 2024年11月勒索軟件入侵操作系統類型占比

勒索軟件熱點事件

Veeam RCE嚴重漏洞現在被Frag勒索軟件利用實施攻擊

在確認已被Akira和Fog勒索軟件利用發起攻擊后，Veeam備份和復制（VBR）的一個嚴重安全漏洞最近再度爆出被用來部署Frag勒索軟件。

安全研究員發現，該漏洞（CVE-2024-40711）是由不受信任的數據漏洞反序列化引起的，未經身份驗證的攻擊者可以利用這些數據漏洞在Veeam VBR服務器上獲得遠程代碼執行（RCE）權限。

曾有安全實驗室于2024年9月9日發布了有關CVE-2024-40711的技術分析，并將該漏洞的概念驗證代碼發布推遲到9月15日以便管理員有足夠的時間安裝Veeam于9月4日發布的安全更新。這一推遲也正是由于Veeam的VBR軟件成為尋求快速訪問公司備份數據的攻擊者的熱門攻擊目標，而許多企業目前都將該軟件視作災難恢復和數據保護解決方案，以備份、恢復和復制虛擬、物理和云機器。

但實際上，安全響應人員發現這對延遲Akira和Fog勒索軟件攻擊的作用很小。攻擊者依然利用了該RCE漏洞和被盜的VPN網關憑據，將流氓帳戶添加到未修補和互聯網暴露的服務器上的本地管理員和遠程桌面用戶組。

就在最近，研究人員還發現又有攻擊組織（疑似是“STAC 5881”）在攻擊中使用了CVE-2024-40711漏洞將Frag勒索軟件部署到了受感染的網絡設備上。

圖4. Frag勒索軟件的勒索信息

這些攻擊與Akira和Fog攻擊者所使用的方法類似——他們都會在攻擊期間針對備份和存儲解決方案中未修補的漏洞和錯誤配置。

根據Veeam方面的數據，全球有超過550000名客戶使用其產品，這其中甚至涵蓋了全球2000強榜單中約74%的公司，這一數據也說明了本次攻擊事件背后巨大的潛在威脅。

施耐德電器確認黑客竊取數據后開發平臺遭到破壞

施耐德電氣已確認，在攻擊者聲稱從該公司的JIRA服務器竊取了40GB的數據后，開發人員平臺遭到破壞。

10月底，一位名叫“Grep”的攻擊者在X上嘲諷該公司，表示他們已經入侵了其系統。在與媒體的對話中，Grep表示他們使用暴露的憑據入侵了Schneider Electric的Jira服務器。獲得訪問權限后，他們聲稱使用MiniOrange REST API抓取了400k行用戶數據。Grep表示，其中包括75000個唯一的電子郵件地址以及Schneider Electric員工和客戶的全名。

在暗網網站的帖子中，攻擊者開玩笑地要求125000美元的“Baguettes”來換取不泄露數據，并分享了有關被盜內容的更多詳細信息。

Grep進一步告訴媒體他們最近成立了一個新的黑客組織International Contract Agency（ICA），以《殺手：代號 47》游戲命名。攻擊者表示，該組織以前沒有勒索他們入侵的公司。然而，在得知“ICA”名稱與“伊斯蘭恐怖分子團體”有關后，攻擊者表示他們再次更名為Hellcat勒索軟件團伙，目前正在測試用于勒索攻擊的加密器。

圖5. 攻擊者放出有關對施耐德電器的攻擊信息

俄羅斯逮捕了與勒索團伙有關的知名開發人員

俄羅斯執法部門于2024年11月底逮捕并起訴了臭名昭著的勒索攻擊參與者Mikhail Pavlovich Matveev（又稱Wazawaka、Uhodiransomwar、m1x或Boriselcin等），罪名是其開發惡意軟件并參與多個黑客組織。

據俄羅斯國有新聞機構RIA Novosti所接到的匿名來源消息稱：雖然檢察官辦公室尚未公布有關此人身份（在法庭文件中被描述為“程序員”）的任何細節，但此人正是Matveev。俄羅斯內務部在一份聲明中說：“目前，調查人員已經收集到足夠的證據，檢察官簽署起訴書的刑事案件已送交加里寧格勒市中央地區法院進行審議。”

正如網絡政策專家Oleg Shakirov首次發現的那樣，Matveev被指控開發勒索軟件（檢察官辦公室將其描述為可以加密文件和數據的“專用惡意軟件”），并稱其計劃使用勒索軟件來加密“商業組織的數據，以便然后從他們那里獲得贖金進行解密”。

去年，即2023年5月，美國司法部還對Matveev提出指控，稱其參與開發了針對美國受害者的Hive和LockBit勒索軟件。此外，他還被認為是“Orange”黑客論壇的創建者和管理員，以及Babuk勒索軟件的最初運營者。而后者在組織成員無法抉擇是否發布從華盛頓特區首都警察部隊竊取的數據后分道揚鑣。

圖6. FBI對Mikhail Matveev的通緝信息

根據美國司法部的新聞稿和新澤西州及哥倫比亞特區的公開起訴書，可以整理出他在與三個勒索軟件團伙合作時活動的大致時間表：

l? 2020年6月，Matveev和LockBit勒索軟件合謀在新澤西州帕賽克縣的一個執法機構的網絡上部署了LockBit勒索軟件；

l? 2021年4月，Matveev與Babuk勒索軟件合謀在華盛頓特區大都會警察局的系統上部署了惡意載荷。

l? 2022年5月，Matveev同Hive勒索軟件團伙成員加密了總部位于新澤西州默瑟縣的一家非營利性行為醫療保健組織的系統。

l? Matveev還因對美國實體（包括美國執法部門和關鍵基礎設施組織）發起網絡攻擊而受到財政部外國資產控制辦公室（OFAC）的制裁。

Matveev在網上的知名度非常高。他經常與網絡安全研究人員和專業人士進行交流，并使用他的Twitter帳戶“RansomBoris”公開討論他的網絡犯罪活動。而在受到美國制裁后，Matveev還曾公開嘲諷美國執法部門，并在推特上發布了一張T恤上的通緝海報照片。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖7. 2024年11月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有649個組織/企業遭遇勒索攻擊，其中包含中國12個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有10個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖8 2024年11月受攻擊系統占比

對2024年11月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

圖9. 2024年11月國內受攻擊地區占比排名

通過觀察2024年11月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖10. 2024年11月監控到的RDP入侵量

圖11. 2024年11月監控到的MS SQL入侵量

圖12. 2024年11月監控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

l? rox：屬于Weaxor勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

l? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

l? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監控到該家族本曾通過匿影僵尸網絡進行傳播。

l? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l? rmallox：同hmallox。

l? src：同mkp。

l? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

l? bixi：同baxia。

l? mallox：同hmallox。

l? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

圖13 2024年11月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是Telsa其次是GandCrab。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備。

圖14. 2024年11月解密大師解密文件數及設備數排名

色婷婷激婷婷深爱五月小说-色婷婷精品-色婷婷精品大全在线视频-色婷婷精品视频-全免费午夜一级毛片真人-全免费一级毛片在线播放

2024年11月勒索軟件流行態勢分析

熱點排行

關注我們