勒索软件传播至今,360反勒索服务已累计接收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年1月,全球新增的活跃勒索软件家族有0mega、USDLocker、TOLKONEPERDITE等。其中0mega家族采用多重勒索方式运营。
以下是本月值得关注的部分热点:
1. 能源巨头施耐德电气遭Cactus勒索软件攻击
2. Tietoevry勒索软件攻击导致瑞典企业和城市停电
3. 中国凉茶品牌加多宝遭遇LockBit勒索软件攻击
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:phobos家族占比20.77%居首位,第二的是占比14.75%的Makop,TargetCompany(Mallox)家族以13.11%位居第三。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
2024年1月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC比服务器系统略高一些。
勒索软件热点事件
能源巨头施耐德电气遭Cactus勒索软件攻击
据知情人士透露,法国能源业巨头施耐德电气遭到了Cactus勒索软件攻击,导致公司数据被盗。据悉勒索软件攻击开始于1月17日,而遭到攻击的是该公司的可持续发展业务部门。本次攻击扰乱了施耐德电气的部分资源顾问云平台,这些平台至今仍处于中断状态。
据报道,勒索软件团伙在网络攻击期间窃取了以TB计的公司数据,并以此威胁该公司。虽然尚不清楚被盗数据的类型,但可持续发展业务部门为企业组织提供咨询服务就可再生能源解决方案提供建议并帮助他们满足全球公司复杂的气候监管要求,所以被盗数据可能包含有关客户用电、工业控制和自动化系统以及环境和能源法规合规性的敏感信息。
目前尚不清楚施耐德电气是否会支付赎金,但该公司在声明中证实其可持续发展业务部门确实遭受了网络攻击,并且确认攻击者获取到了内部数据。不过该公司同时也表示此次攻击仅限于该部门,并未影响公司其他部门。
Tietoevry勒索软件攻击导致瑞典企业和城市停电
芬兰IT服务和企业云托管提供商Tietoevry在1月21日证实,其在19日晚上到20日早上受到Akira勒索软件攻击,此次攻击影响了他们位于瑞典的一个数据中心。Tietoevry立即隔离了受影响的平台,勒索软件攻击并未影响公司基础设施的其他部分。而该数据中心用于该公司的企业管理云托管服务,此次事件导致瑞典多个客户出现服务中断。
该公司表示他们正在恢复基础设施和服务,但客户在服务器恢复上线时仍然受到影响。而据报道,此次攻击对该公司的虚拟化和管理服务器进行了加密,这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院Filmstaden已确认他们受到了此次攻击的影响,因此无法通过网站或移动应用程序在线购买电影票。此外,折扣零售连锁店Rusta、原材料供应商Moelven和农业供应商Grangnården也受到了影响。这次中断还影响了Tietoevry的薪资和人力资源管理系统Primula,该系统被瑞典政府、大学和学院广泛使用。该国受影响的大学和学院包括卡罗林斯卡学院、SLU、西大学、斯德哥尔摩大学、隆德大学和马尔默大学。
Primula所受到的攻击还影响了瑞典的众多政府机构和市政当局,包括Statens服务中心、Vellinge市和乌普萨拉县。对于乌普萨拉来说,系统的终端还影响了该地区的医疗保健记录系统。
中国凉茶品牌加多宝遭遇LockBit勒索软件攻击
Lockbit勒索组织在2024年1月12日发布了加多宝集团的勒索信息,并于2024年1月26日公开了发布了他们窃取到的460GB数据。
从勒索组织发布的数据示例截图看,相关数据涉及各类财务信息、供应商信息、员工劳动合同等。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
datenklause0@gmail.com |
support1@puzins.com |
QbXcTRSds@gmail.com |
getbyback@protonmail.com |
support2@tagorix.com |
tolkoneperdite@onionmail.org |
albabat.help@protonmail.com |
new_pings@tutanota.com |
data.ru@tutanota.com |
blacksupport@onionmail.org |
datasrv@tutanota.com |
gotmydatafast@skiff.com |
decryption@msgsafe.io |
targetowner@tutanota.com |
decdata@tutanota.com |
decryptor@waifu.club |
onionmail@onionmail.org |
decdata@onionmail.org |
max.winkler@onionmail.org |
foryou1@tuta.io |
medusa.serviceteam@protonmail.com |
tutu@onionmail.org |
aerossh@nerdmail.co |
zero.cool0@onionmail.org |
HowToDecryptReserve@proton.me |
aerossh@cock.li |
zero.cool0@msgsafe.io |
cookieshelper@tutanota.com |
aerossh@proton.me |
ContactMesSec@protonmail.com |
karsovrop@tutanota.com |
covina1@skiff.com |
chinahelp2023@nigge.rs |
admencrypt@gmail.com |
decryption@mallox.homes |
datahelp2023@cyberfear.com |
admdecrypt@gmail.com |
thedecryptor@decoymail.com |
amike1096@gmail.com |
a.wyper@worldtravelnotebook.com |
omegatechit@protonmail.com |
onion746@onionmail.com |
khanhthuan145@gmail.com |
omegatechit@tuta.io |
pings@mailum.com |
Apriliasanjani18@gmail.com |
keyseller@mailfence.com |
onionransom@decoymail.com |
DonCryptor@aol.com |
keyseller@skiff.com |
onionransom@tutanota.com |
blacksup@tutanota.com |
keyseller@zohomail.eu |
montanarecover@cock.li |
bernell@zohomail.eu |
key.medusa.serviceteam@protonmail.com |
montanarecover@aol.com |
recoveryallfiles@onionmail.org |
GavinGonzalez@protonmail.com |
status.inbox1@gmail.com |
recoveryallfiles@bingzone.net |
angelomartin-1980@protonmail.com |
status.inbox2@gmail.com |
someordinarygamers@nanozebra.com |
rpd@keemail.me |
datarestorehelpyou@airmail.cc |
dr.help780@gmail.com |
rapid@aaathats3as.com |
support@freshmail.top |
dr.locker780@gmail.com |
nicolasmarvinlor@outlook.com |
Rdpstresstest@proton.me |
helpbit911@cocaine.ninja |
ithelpconcilium@tutanota.com |
rdpstresstest@keemail.me |
helpbit911@cock.li |
helper2@biehes.com |
datadownloader@proton.me |
suppblackbit@gmail.com |
helper2@aveuva.com |
datadownloader@tutanota.com |
suppblackbit@tutanota.com |
dirhelp@keemail.me |
MleK1x7uY@gmail.com |
spotify.exe@proton.me |
cmd@jitjat.org |
kGQ6wNCwB@gmail.com |
Write here belingmor@cock.li |
felleskatalogen@protonmail.com |
zenhao007@gmail.com |
reserve admin@cuba-supp.com |
offer@tuta.com |
decryptprof@onionmail.org |
jabber cuba_support@exploit.im |
ac7d33419d00c1d9@tutanota.com |
decryptfile@onionmail.org |
staer@cock.li |
HarpyRage@cyberfear.com |
doctorhelperss@gmail.com |
crazyfrog1233@tutanota.com |
avanziahelp@cock.li |
helpersdoctor@outlook.com |
crazyfrog1233@rape.lol |
avanzirest@tuta.io |
ithelp02@securitymy.name |
Teikobest@gmail.com |
ojmFoDUoA@gmail.com |
ithelp15@securitymy.name |
Loxoclash@gmail.com |
GDqyiQMfP@gmail.com |
Cyblade@zohomail.eu |
deltatechit@protonmail.com |
BgQPTvPKl@gmail.com |
Cyblade@skiff.com |
deltatech@tuta.io |
JkpmAeVAW@gmail.com |
dx31@mail.com |
getmydata@list.ru |
ffreefix@outlook.com |
dx31@usa.com |
datatradetower@gmail.com |
DNQZyVfiQ@gmail.com |
|
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。