360数字安全:2024年2月勒索软件流行态势分析

阅读量55635

发布时间 : 2024-03-06 10:54:55

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2024年2月,全球新增的活跃勒索软件家族有Mirror、LVTLocker、Bl00dy等。其中LVTLocker家族主要攻击Nas平台,Bl00dy家族则利用ScreenConnect 身份验证绕过漏洞(CVE-2024-1709)进行攻击。此漏洞已被广泛用于网络攻击,已知使用该漏洞的勒索软件家族还有ALPHV/Blackcat。

以下是本月值的关注的部分热点:

  1. LockBit勒索软件在被警方查封后恢复服务器并卷土重来
  2. Rhysida勒索软件索要360万美元赎买被盗的儿童数据
  3. 国内知名品牌NAS系统遭LvtLocker勒索软件攻击

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

 感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:phobos家族占比19.89%居首位,第二的是占比17.20%的Makop,TargetOwner家族以15.05%位居第三。

 对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。

 

2024年2月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC与服务器为主流平台,Nas平台受LvtLocker家族春节期间集中爆发影响首次出现较高占比。

 

勒索软件热点事件

LockBit勒索软件在被警方查封后恢复服务器并卷土重来

据在执法部门发动攻击拿下服务器不到一周后,LockBit团伙便已开始在新的服务器上重新启动其在线服务,并威胁将更多的攻击集中到政府部门上。

下图便是LockBit3.0重新上线后的主页。

2月24日,LockBit宣布将恢复勒索软件业务并对近期遭到执法部门打击的情况做了“复盘”。LockBit表示执法部门(他们将所有执法部门统称为FBI)入侵了其两个主要服务器——“原因是在过去的5年里我沉迷于金钱而变得非常懒惰”……“由于我的个人疏忽和不负责任,我松懈了,没有及时更新PHP”。团伙组织者表示:受害者的管理和聊天面板服务器以及博客服务器均运行在PHP 8.1.2环境中,而执法部门很可能是使用了CVE-2023-3824漏洞对其进行的攻击。据此,LockBit表示他们已经更新了服务器所使用的PHP版本,并宣布将奖励任何在最新版本中发现漏洞的人。

此外,该团伙猜测此次“FBI”的入侵行动是由于其在今年一月份对富尔顿县的以此勒索攻击所致。在那次攻击中,他们掌握了“许多可能影响即将到来的美国大选的有趣事情以及唐纳德·特朗普相关的案件信息”

目前,LockBit方面执法部门所查获的数据、代码及密钥等数据仅为一小部分,并称以后会更加频繁的攻击各类政府部门以迫使“FBI”展示其是否有能力对自己展开更进一步的攻击。

360安全大脑目前已监测到LockBit4.0的活动迹象。

 

Rhysida勒索软件索要360万美元赎买被盗的儿童数据

Rhysida勒索软件团伙声称对本月初芝加哥Lurie儿童医院遭到的网络攻击负责。此次网络攻击迫使医疗保健提供商关闭其IT系统,并在某些情况下推迟医疗服务。此外,电子邮件、电话、MyChart访问以及本地互联网都受到了影响,并且超声波和CT扫描结果也无法正常获取,而医生则被迫改用纸笔开具处方。

2月28日,Rhysida勒索软件团伙将Lurie儿童医院列入了其在暗网的勒索门户网站中,并声称从该医院窃取了600GB的数据。Rhysida现在以60比特币(当前约合370万美元)的价格向单一买家出售被盗数据。此次售卖的时限为七天,超过时限后这些数据要么以较低的价格出售给多个攻击者,要么则在Rhysida的平台上免费公布。

而Lurie儿童医院方面则于2月22日更新了最新状态,表示IT系统的恢复工作仍在进行中,目前系统服务中断仍会影响某些部门的运营。

 

国内知名品牌NAS系统遭LvtLocker勒索软件攻击

春节期间360安全智脑监测并收到了一大波勒索攻击的集中反馈。经分析这波勒索攻击大多为一款名为LvtLocker的勒索软件所为,而该勒索软件的攻击目标主要是国内某知名的NAS设备系统。

通过对360的大数据分析分析研判,发现此次勒索软件入侵事件主要是通过两种途径进入到受害用户的NAS设备中:

  1. 利用该NAS设备系统中存在的一些RCE漏洞,比如下面一些漏洞,允许未经身份验证的用户获取root权限:
  • CVE-2020-28188
  • CVE-2022-24989
  • CVE-2022-24990
  1. 直接通过弱口令暴力破解,之后登录投毒。

以下为该家族勒索软件在执行完加密流程后投放的勒索信息文件:

 黑客信息披露

以下是本月收集到的黑客邮箱信息:

ferafont22@cock.li

Waygrafwadeta@gmx.com

Luiza.li@tutanota.com

avaveetren@tutanota.com

Helpdec@aol.com

bill.gTeam@gmx.com

fastbackdata@skiff.com

helpdec10@gmail.com

MatheusCosta0194@gmx.com

errormirror@tutanota.com

Hackjoker2002@gmail.com

blair_lockyer@aol.com

mirrorrorrim@cock.li

Cryptblack@mailfence.com

mccreight.ellery@tutanota.com

tpyrcedrorrim@tuta.io

aquaman@rambler.ua

CarlJohnson1948@gmx.com

support@freshingmail.top

mantiticvi1976@protonmail.com

megaport@tuta.io

target@msg.ws

fahydremu1981@protonmail.com

cashonlycash@gmx.com

M3ytRkZEI@gmail.com

frosculandra1975@protonmail.com

miadowson@tuta.io

zohodzin@tuta.io

trafyralhi1988@protonmail.com

chocolate_muffin@tutanota.com

zohodzin@cock.li

sanctornopul1986@protonmail.com

MichaelWayne1973@tutanota.com

bitcoin_qq@tuta.io

ringpawslanin1984@protonmail.com

claredrinkall@aol.com

phobosdata@cock.li

liebupneoplan19@protonmail.com

normanbaker1929@gmx.com

phobosdata@msgsafe.io

stivobemun1979@protonmail.com

clausmeyer070@cock.li

duckjahana@onionmail.com

guifullcharti1970@protonmail.com

nud_satanakia@keemail.me

jerryjobransom@gmail.com

phrasitliter1981@protonmail.com

colexpro@keemail.me

zzart3xx@onionmail.org

elsleepamlen1988@protonmail.com

please@countermail.com

becsec@tutanota.com

southbvilolor1973@protonmail.com

cox.barthel@aol.com

panda2024@msgsafe.io

glocadboysun1978@protonmail.com

precorpman@onionmail.org

panda2024@tutanota.com

carbedispgret1983@protonmail.com

recovery2021@inboxhub.net

Helpolenu10@gmail.com

listun@protonmail.com

everymoment@tuta.io

HELBULENU@onionmail.com

mirtum@protonmail.com

recovery2021@onionmail.org

Dec24hepl@aol.com

maxgary777@protonmail.com

expertbox@tuta.io

Dec24hepl@cyberfear.com

ranosfinger@protonmail.com

SamuelWhite1821@tutanota.com

cyberrestore2024@onionmail.org

bootsdurslecne1976@protonmail.com

fastway@tuta.io

bobgreen12@tuta.io

rinmayturly1972@protonmail.com

SaraConor@gmx.com

bobgreen12@cock.li

niggchiphoter1974@protonmail.com

fquatela@techie.com

swift_1@tutamail.com

lebssickronne1982@protonmail.com

secdatltd@gmx.com

swift@onionmail.com

daybayriki1970@protonmail.com

fredmoneco@tutanota.com

recovery8files@onionmail.org

elanor35runte35@myrambler.ru

skymix@tuta.io

delacruz007@zohomail.eu

bl00dyadmin@dnmx.org

getdata@gmx.com

reserve.cruz@onionmail.com

filedecryptionsupport@msgsafe.io

sory@countermail.com

vinsulan@tutanota.com

jimyjoy139@proton.me

greenbookBTC@gmx.com

vinsulan@cock.li

freaqzer@proton.me

spacegroup@tuta.io

msmuae@yandex.ru

deblackbithelp@gmail.com

greenbookBTC@protonmail.com

cryptblack@mailfence.com

AlbetPattisson1981@protonmail.com

stafordpalin@protonmail.com

decrypthelp0@gmail.com

henryk@onionmail.org

helperfiles@gmx.com

backmydata@inbox.ru

atomicday@tuta.io

starcomp@keemail.me

helper@mailum.com

info@fobos.one

helpermail@onionmail.org

draggonblack@yahoo.com

axdus@tuta.io

xdone@tutamail.com

byaki_buki@aol.com

it.issues.solving@outlook.com

helpfiles@onionmail.org

protonhelper2023@proton.me

barenuckles@tutanota.com

xgen@tuta.io

malignant@tuta.io

JohnWilliams1887@gmx.com

helpfiles102030@inboxhub.net

server.ransomext@tutanota.de

Bernard.bunyan@aol.com

xspacegroup@protonmail.com

orderok@tuta.com

jonson_eight@gmx.us

helpforyou@gmx.com

equalitytrust@disroot.org

bill.g@gmx.com

zgen@tuta.io

hudsonL@cock.li

joshuabernandead@gmx.com

helpforyou@onionmail.org

tH3_CyberXY@proton.me

bill.g@msgsafe.io

zodiacx@tuta.io

intelrestore2022@onionmail.org

LettoIntago@onionmail.com

bill.g@onionmail.org

acekui@tuta.io

 

 

表格1. 黑客邮箱

 

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有391个组织/企业遭遇勒索攻击,其中有14个组织/企业未被标明,因此不再以下表格中。

Allan Berger & Associates

manchesterfertility.com

AbelSantosyAsociados

Artissimo Designs

Borah Goldstein Altschuler Nahins & Goidel

Tandem

scullionlaw.com

bandcllp.com

Southwark Council

alanritchey.com

Gilmore & Associates

stemcor.com

HSPG & Associates

Faison

dms-imaging

Dinamic Oil

Array Networks

hvd.host

easternshipbuilding.com

fcw.ch

Erwat

Bangladesh Police

Benthanh Group

goodinabernathy.com

DTN Management Company

gapsolutions.com.au

haas4.com

sundbirsta.com

HAL Allergy

sunharbormanor.com

Orange Public School District

J A Piper Roofing

Essential Labs

Acies Srl

Hypertension Nephrology Associates, P.C.

Hotel Avenida, Hostal Espoz y Mina, Hostal Arriazu, Pension Alemana

verbraucherzentrale hessen

Medall Healthcare Pvt Ltd.

etairoshealth.com

npgandour.com

abtexelgroup.com

Change Healthcare – Optum – UnitedHealth

moore-tibbits.co.uk

Saudia MRO

vertdure.com

WEL Partners

ROYAL INSIGNIA

Frencken

metal7.com

Ireland’s Department of Foreign Affairs

Bertani Trasporti Spa

Penn Cinema

EpicGames

RWF Frömelt

BAZAARVOICE.COM

Ann & Robert H. Lurie Children’s Hospital of Chicago

JS International

The Professional Liability Fund

Ironrock

Electro Marteix

S+C Partners

prattindustries.com

ch-armentieres.fr

Pot O’ Gold Coffee

GCA Nederland

PEDDIE.ORG

crbgroup.com

Southwest Industrial Sales

Headwater Companies LLC

magierp.com

Bjuvs kommun

Angeles Medical Centers

Spine West

silganholdings.com

Webber International University

kinematica.ch

AL SHEFA FARM

ernesthealth.com

Family Health center

nationaldentex.com

dunaway.com

gatesshields.com

Wangkanai Group

equilend.com

Pressco Technology

Roncelli Plastics

BRADSHAW-MEDICAL.COM

C and J Industries, Inc.

Welch’s

GRUPOCREATIVO

PEER Consultants

remkes.nl

IJM Corporation

nfllp.com

APEX – apexspedition.de

Rapid Granulator

birchallfoodservice.co.uk

mnorch.org

Acorn

Hardeman County Community Health Center

Innovex Downhole Solutions

ANDFLA SRL

Desarrollo De Tecnologia y Sistemas Ltda

mtmrobotics.com

Quik Pawn Shop

Austen Consultants

climatech.com

abcor.com.au

Helical Technology

dilweg.com

usmerchants.com

taloninternational.com

KHSS (You have 3 days)

zircodata.com

River Delta Unified School District

HRTec Inc

Lancaster

Raocala

dasteam.ch

Marchassociates

se.com

Axel Johnson

doneff.com

ki.se

Robert D. Clements Jr Law Group, LLLP

lexcaribbean.com

aeromechinc.com

Finlay Screening & Crushing Systems

INFINITIUSA.COM

bucher-strauss.ch

loransrl

advancedprosolutions.com

Greater Napanee

First Professional Services

soco.be

Aftrp

Compression Leasing Services

aivi.it

Wapiti Energy

carlfischer.com

Westward 360

Prudential Financial

VSP Dental

Bimbo Bakeries

The Chas. E. Phipps

Tiete Automobile

http://antunovich.com

davidsbridal.com

Chicago Zoological Society

Voice Technologies

tormetal.cl

PSI

BS&B Safety Systems L.L.C

spaldingssd.com

LoanDepot

CP Communications

Griffin Dewatering

delia.pl

www.cogans.ie

von Hagen

BRAM Auto Group

BRONSTEIN-CARMONA.COM

Mechanical Reps

Concello de Teo

etisalat.ae

DuBose Strapping

theclosingagent.com

pacifica.co.uk

Asam

Dobrowski Stafford & Pierce

Ribe-Groupe

ASP Basilicata – ASM Matera – IRCCS CROB

Norman, Fox

LD Davis

sitrack.com

Onclusive

HR Ewell & Hy-tec

centralepaysanne.lu

SilverLining

MeerServices

calcomp.co.th

Advantage Orthopedic & Sports Medicine Clinic

Schuster Trucking Company

BM Catalysts bmcatalysts.co.uk

champion.com.co

Hawbaker Engineering

vanwingerden.com

hatsinteriors.com

coreengg.com

kabat.pl

ASA Electronics [2.7 TB]

pradiergranulats.fr

UNIFER

studiogalbusera.com

bombaygrills.com

mmiculinary.com

America Movil

Nekoosa School District

rajawali.com

KALEEDS

FALCO Electronics

ffppkg.co.uk

wsnelson.com

conseguros

globalrescue.com

Institutional Casework, Inc

fultoncountyga.gov

ROOSENS BÉTONS

adioscancer.com

ATB SA Ingénieurs-conseils SIA

doprastav.sk

motilaloswal.com

giraud

Trans-Northern Pipelines

patriziapepe.com

barberemerson.com

auruminstitute.org

ssmnlaw.com

btl.info

garonproducts.com

universalservicesms.com

leonardssyrups.com

DHX–Dependable Hawaiian Express

The Source

Communication Federal Credit Union

etsolutions.com.mx

Procopio

ArcisGolf

Lower Valley Energy, Inc

Satse

New Indy Containerboard

germaintoiture.fr

tecasrl.it

Sanok Rubber CompanySpólka Akcyjna

Freedom Munitions

Forgepresion.com

Antunovich Associates

robs.org

Rush Energy Services Inc [You have 48 hours]

CNPC Peru S.A.

isspol.gov

Modern Kitchens

SERCIDE

envie.org

Disaronno International

vhprimary.com

fidcornelis.be

Arlington Perinatal Associates

Allmetal Inc.

textiles.org.tw

parkhomeassist.co.uk

jacksonvillebeach.org

camarotto.it

lyon.co.uk

grotonschools.org

Amoskeag Network Consulting Group LLC

sealco-leb.com

dienerprecisionpumps.com

YKP LTDA

plexustelerad.com

paltertonprimary.co.uk

Nastech

silverairways.com

cabc.com.ar

Impact Energy Services

Kadac Australia

Kreyenhop & Kluge

Carespring Health Care

lacolline-skincare.com

LILI’S BROWNIES

maddockhenson

Village of Skokie

Upper Merion Township

Pacific American Fish Company Inc.

Benchmark Management Group

Lancaster County Sheriff’s Office

J.P. Original

Groupe Goyette

SOPEM Tunisie

Capozzi Adler, P.C.

Avianor Aircraft

Dalmahoy Hotel & Country Club

ZGEO

aisg-online.com

mranet.org

soken-ce.co.jp

water.cc

verdimed.es

willislease.com

TechNet Kronoberg AB

CTSI

seymourct.org

Drost Kivlahan McMahon & O’Connor LLC

magi-erp.com

posen.com

alfiras.com

Grace Lutheran Foundation

solveindustrial.com

maximumresearch.com

grupomoraval.com

originalfootwear.com

cdtmedicus.pl

indoramaventures.com

Western Municipal Construction

bsaarchitects.com

northseayachtsupport.nl

transaxle.com

macqueeneq.com

moneyadvicetrust.org

Worthen Industries

Ducont

parksite.com

Anderco PTE LTD

Jewish Home Lifecare

perkinsmfg.com

Karl Rieker GmbH and Co. KG

Southwest Binding & Laminating

Distecna

vimarequipment.com

PWS – The Laundry Company

TeraGo

B&B Electric Inc

CERALP

PJ Green Inc

Hbl Cpas, P.C.

Tetrosyl Group Limited

Harinck

spbglobal.com

YRW Limited – Chartered Accountants

Therme Laa Hotel and Silent Spa

Ready Mixed Concrete

Shipleys LLP

axsbolivia.com

McMillan Pazdan Smith

AVer Information

deltron.com

Perry-McCall Construction

ArpuPlus

Celeste

Douglas County Libraries

Northeastern Sheet Metal

gocco.com

themisbourne.co.uk

Mason Construction

Greenwich Leisure

davis-french-associates.co.uk

Virgin Islands Lottery

Hannon Transport

noe.wifi.at

Leaders Staffing

Albert Bartlett

semesco.com

Vail-Summit Orthopaedics & Neurosurgery (VSON)

Premier Facility Management

philogen.com

Campaign for Tobacco-Free Kids

asecos.com

portline.pt

GRTC Transit System

hutchpaving.com

cxm.com

ultraflexx.com

VCS Observation

pbwtulsa.com

prima.com

ksa-architecture.com

manitou-group.com

DOD contractors you are welcome in our chat.

tgestiona.br

Law Office of Michael H Joseph

Commonwealth Sign

logtainer.com

DIROX LTDA (Vietnã)

Digitel Venezuela

Cole, Cole, Easley & Sciba

FEPCO Zona Franca SAS

Abelsantosyasoc.com.ar

 

表格2. 受害组织/企业

 

系统安全防护数据分析

360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows 10、Windows Server 2016以及Windows Server 2003。

对2024年2月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2024年2月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

  • mkp: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • wis:同mkp。
  • 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。
  • mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
  • lvt:属于LvtLocker勒索软件家族,由于被加密文件后缀会被修改为lvt而成为关键词。主要通过漏洞利用与弱口令暴破攻击Nas平台,在本月春节期间集中爆发。
  • faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • halo:同360。
  • target: 属于TargetOwner勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • elbie:同faust。
  • carver:同faust。

解密大师

从解密大师本月解密数据看,解密量最大的是Coffee其次是Stop。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备。

另外值得一提的是,FBI宣称放出了LockBit3.0的解密器。但经过我们验证,放出的所谓解密器并未集成解密功能,也就是说目前仍无法通过公开渠道获取到LockBit3.0的解密支持。

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/293645

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66