勒索軟件傳播至今，360反勒索服務已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

2023年2月，全球新增的活躍勒索軟件家族有:Masons、DoDo、 Vendetta、Medusa等家族。其中Vendetta和Medusa是本月新增的雙重勒索軟件。Medusa勒索軟件本月在暗網(wǎng)公布的受害者數(shù)量已多達19個，主要針對能源，金融、醫(yī)療和交通運輸?shù)然A設施行業(yè)發(fā)起勒索攻擊。

以下是本月值的關注的部分熱點：

1.數(shù)十家企業(yè)中招！360發(fā)布Paradise勒索軟件預警。

2.ESXiArgs勒索軟件針對全球VMware ESXi服務器發(fā)動大規(guī)模攻擊。

3.Lockbit勒索軟件團伙聲稱對“皇家郵件”發(fā)動網(wǎng)絡攻擊。

4.HardBit要求受害者提供保單詳情以指定最佳勒索金額。

基于對360反勒索數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中病毒家族進行統(tǒng)計：phobos家族占比23.59%居首位，其次是占比17.25%的TargetCompany(Mallox)，BeijingCrypt家族以10.21%位居第三。前三大家族占比超50%，均為過往的流行家族。

在本月初，Paradise勒索軟件家族通過老版本向日葵軟件漏洞下發(fā)攻擊。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

2023年2月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件情況分析

數(shù)十家企業(yè)中招！360發(fā)布Paradise勒索軟件預警

360安全大腦監(jiān)測到，有黑客團伙正在利用向日葵遠程控制軟件漏洞CNVD-2022-10270發(fā)起攻擊，向目標機器投遞Paradise勒索病毒。

此次攻擊最早發(fā)生于2023年1月30日，目前仍在持續(xù)，根據(jù)360安全大腦的監(jiān)測數(shù)據(jù)，攻擊者對網(wǎng)絡中暴露的向日葵遠程控制軟件進行大范圍掃描，并對存在漏洞的向日葵遠程控制軟件發(fā)起攻擊，目前已經(jīng)有數(shù)十個目標被攻破并被投遞勒索病毒。

受害用戶的向日葵遠程控制軟件日志顯示，攻擊IP：45.77.29[.]56對目標發(fā)起攻擊，利用漏洞嘗試執(zhí)行多種惡意命令，這些惡意命令用于下載執(zhí)行Paradise勒索病毒并將其寫入啟動項。此外，攻擊者還會向機器投遞“永恒之藍”漏洞利用工具，嘗試使用該工具在內(nèi)網(wǎng)橫向移動。

此次攻擊所使用的勒索病毒和黑客工具均部署在域名upload.paradisenewgenshinimpact[.]top下。

ESXiArgs勒索軟件針對全球VMware ESXi服務器發(fā)動大規(guī)模攻擊

近期，大量攻擊者對VMware ESXi服務器發(fā)起攻擊，利用兩年前被公布的ESXi遠程代碼執(zhí)行漏洞來部署新的ESXiArgs勒索軟件，此外新型勒索軟件Royal也加入到了這一輪針對ESXi服務器的攻擊當中。本輪攻擊所利用的漏洞為CVE-221-21974，該漏洞因OpenSLP服務中的堆溢出現(xiàn)問題而引起，未經(jīng)驗證的攻擊者可以輕松利用該漏洞進入用戶的服務器系統(tǒng)。

受此漏洞影響的ESXi版本為：

ESXi versions 7.x prior to ESXi70U1c-17325551

ESXi versions 6.7.x prior to ESXi670-202102401-SG

ESXi versions 6.5.x prior to ESXi650-202102101-SG

因此，VMware公司向其客戶發(fā)出安全警告，提醒用戶安裝最新的安全更新，并禁用OpenSLP服務。此外，VMware公司還補充說明此次攻擊并沒有利用未知的0day漏洞，而2021之后發(fā)布的ESXi軟件版本則已經(jīng)默認禁用了OpenSLP服務。

另外，美國網(wǎng)絡安全和基礎設施安全局（CISA）也公布了針對此次攻擊的修復腳本，用于修復被破壞的ESXi虛擬機環(huán)境。

Lockbit勒索軟件團伙聲稱對“皇家郵件”發(fā)動網(wǎng)絡攻擊

LockBit勒索軟件組織近期聲稱對英國的郵件遞送服務公司Royal Mail受到的網(wǎng)絡攻擊負責。受害公司也表示因“嚴重服務中斷”而被迫停止其國際航運服務。

此前，該LockBit勒索軟件團伙曾聲稱其并沒有攻擊Royal Mail。相反，他們將攻擊行動歸咎于其他團伙使用了其2022年9月在Twitter上泄露的LockBit 3.0勒索軟件生成器所自行生成的勒索軟件。

但近期LockBitSupp卻又在一個俄語黑客論壇上發(fā)布帖子確認，LockBit確實是此次攻擊的幕后黑手——是他們的一個分支機構在Royal Mail的系統(tǒng)上部署了該團伙的勒索軟件。此外該團伙代表還補充說，他們只會提供一個解密器，并在支付贖金后刪除從Royal Mail網(wǎng)絡竊取的數(shù)據(jù)。

HardBit要求受害者提供保單詳情以指定最佳勒索金額

HardBit家族勒索軟件2.0版運營者將其勒索思路從直接勒索受害者轉(zhuǎn)換為從受害者的保險公司獲得勒索贖金。

具體方案是：攻擊者試圖說服受害者告知其為數(shù)據(jù)或設備所購買的保險詳情，并以此為依據(jù)來調(diào)整他們的贖金要求，以便讓保險公司來承擔所有贖金費用。

根據(jù)分析，HardBit勒索家族最早被捕獲于2022年10月，而其2.0版則于2022年11月推出，該版本目前仍處于活躍狀態(tài)。而與現(xiàn)下主流的勒索軟件家族不同的是，目前尚未發(fā)現(xiàn)HardBit的數(shù)據(jù)泄露站點——盡管其運營團隊曾聲稱竊取了受害者數(shù)據(jù)并威脅要將這些數(shù)據(jù)泄露。

而該家族的攻擊者則建議受害者不要與中間商合作以徒增支付成本。但對于購買了網(wǎng)絡攻擊相關保險的受害者，黑客則會有針對性地引導他們披露其所購買的保險金額。更重要的是，黑客還試圖將保險公司描繪成阻礙恢復數(shù)據(jù)的壞人，同時讓受害者認為分享保單內(nèi)容對自身更為有利。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。尚未發(fā)現(xiàn)存在數(shù)據(jù)泄露風險情況的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)被泄露的準備，以便及時采取補救措施。

本月總共有247個組織/企業(yè)遭遇勒索攻擊，其中包含來自中國的8個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。另有8個組織/企業(yè)未被標明，因此不在以下表格中。

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2016。

統(tǒng)計2023年2月被攻擊系統(tǒng)所屬地域發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2023年2月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播。此外360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡進行傳播。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。

l?Halo：同360。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?xollam:同mallox。

l?eking：同devos。

l?elbie：同devos。

l?locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l?zfx:同mkp。

https://www.#/n/12365.html