勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年12月,全球新增的活跃勒索病毒家族有: CarckVirus、Miner、Razer、Youneedtopay、Bl@ckt0r、Karakurt等家族,其中Bl@ckt0r、Karakurt为本月新增的双重勒索病毒家族。在本月消失很长一段时间的TellYouThePass勒索病毒家族,利用Log4j2漏洞卷土重来。
感染数据分析
针对本月勒索病毒受害者,所中勒索病毒家族进行统计,Magniber家族占比43.64%居首位,其次是占比11.01%的TellYouThePass,phobos家族以9.87%位居第三。
根据360安全大脑监控到的数据显示,12月初,攻击者开始利用最新的Log4j2 RCE漏洞(CVE-2021-44228)传播TellYouThePass勒索病毒家族,使用某OA用户受灾严重。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 7、Windows 10、以及Windows Server 2008。
2021年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。
勒索病毒疫情分析
Log4j2漏洞被勒索病毒广泛利用
本月Apache的Log4j2组件被发现重大漏洞(CVE-2021-44228,远程代码执行漏洞),该漏洞在12月9日被披露,在12月11日便出现大量针对Log4j2进行的恶意攻击行为。360安全大脑监控到,曾消失了很长一段时间的TellYouThePass勒索病毒,在12月17日携Log4j2漏洞利用卷土重来,对某OA系统发起针对性攻击(该系统使用到了Log4j2组件)。该家族在传播时并没有像传统的勒索病毒一样选择持续性攻击,而是间断性的攻击。其在12月27日出现最大攻击量,单日被攻击设备超600台。
由于Log4j2漏洞利用方式简单、危害严重,在本月还曾被多个勒索病毒家族使用。本月勒索病毒相关案件还有:
- 本月中旬,研究人员发现新型勒索病毒Khonsari尝试利用Log4Shell进行传播。攻击者利用Log4Shell远程执行代码漏洞从远程服务器*载下**.NET二进制文件,该二进制文件对目标机器上的文件进行加密,并将扩展名.khonsari添加到每个文件中。该病毒还会发出勒索信息,要求以*币特比**支付赎金。
- 本月下旬,著名勒索病毒家族Conti勒索病毒开始使用Log4J的相关漏洞来快速攻击 VMware vCenter Server实例并加密虚拟机中的数据。
- 微软提醒自托管的Minecraft服务器管理员升级到最新版本,以抵御利用Log4J2漏洞进入系统的Khonsari勒索攻击。
- 越南最大的加密交易平台之一ONUS因其支付系统使用了带有漏洞Log4j导致遭到网络攻击。随后便找到攻击者威胁说已窃取其将近200万用户的数据,并索要500万美元的赎金。
洛杉矶计划生育协会遭遇勒索病毒攻击
数据泄露带来的危害越来越明显,不仅影响企业/组织的正常运营,还将其负面影响逐步渗透到大众的生活。在本月,根据洛杉矶计划生育协会(PPLA)发送给患者的通知中透露的消息:该协会在2021年10月9日至17日之间遭受勒索病毒攻击(攻击者在其内网中潜伏了长达一周,通过这段时间在内网中寻找并窃取高价值信息数据),导致40万名患者数据被黑客窃取,其中包含患者的地址、保险信息、出生日期、临床信息等。黑客在后续的勒索中,不仅向洛杉矶计划生育协会索要赎金,同时也将魔爪伸向了个人信息泄露的40万名患者。参考此前类似案例,黑客可能会利用这些会影响患者的名誉或工作的特点私密信息,以泄露给患者朋友或雇主为名,对患者本人勒索赎金。
Hive勒索病毒组件大联盟,四个月内攻击数百个目标
通过安全研究员直接从Hive的管理小组收集到的信息发现,Hive勒索病毒团伙可能比其泄密站点显示的更加活跃,自该行动于6月下旬曝光以来,其下属组织平均每天攻击 3 家公司,其下属组织在四个月的事件入侵了超过350个企业或组织。
该团伙的数据泄露站点目前仅列出了71家未支付赎金的公司,表明有大量Hive勒索病毒受害者支付了赎金。保守估计,仅在10月到11月之间,Hive勒索病毒团伙的利润就高达数百万美元。
Rook勒索病毒是Babuk泄露代码的新一代衍生品
Babuk勒索病毒家族在2021年4月攻击华盛顿警方后,因对从警方窃取到的250GB数据处理意见始终无法达成一致,最终内部分裂。在6月份其生成器被恶意泄露,在9月其完整的源代码被公开发布在暗网。
近期的网络攻击中出现的一款名为Rook的新型勒索病毒,其技术细节、传播链条以及方式,都与Babuk勒索病毒非常相似。该团伙自称急需通过破坏公司网络和加密设备来赚取“大量资金”。截止2021年12月31日,该家族已在其数据泄露网站公开发布过6名受害企业/组织信息。同时,从该家族的数据泄露网站发布的信息看,该家族陈,如果发现其网站不能被正常访问,将会立即发布受害者信息,企图通过威胁的手段阻止第三方(网络安全公司、执法部门等)攻击其基础设备。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
|
albertpattisson1981@protonmail.com |
decryptionx@inboxhub.net |
rook@securityrook.com |
|
steven1973parker@libertymail.net |
recover520@mailfence.com |
sorryneedbtc@gmx.com |
|
yourlovelysupport@mailfence.com |
johnwilliams1887@gmx.com |
malloxx@tutanota.com |
|
helprestoremanager@airmail.cc |
karenkhonsari@gmail.com |
ecrypt24@nerdmail.co |
|
securityrook@securityrook.com |
bothelper@mailfence.com |
cr0prop@firemail.cc |
|
decryptyourfiles@firemail.cc |
GoodDay@privatemail.com |
filemanager@cock.li |
|
Victorcrou@privatemail.com |
Helper@privatemail.com |
kingbo@tutanota.com |
|
grejkugulik@onionmail.org |
makopsupp@tutanota.com |
code1024@keemail.me |
|
decryptionx@onionmail.org |
arnoldgladys88@gmx.com |
2021@onionmail.org |
|
yourlovelysupport@xmpp.jp |
dr.helper@tutamail.com |
encrypt11@cock.li |
|
tSupport@privatemail.com |
Dekrypt24@tutanota.com |
fileback@tuta.io |
|
edljackson@onionmail.org |
webweb321@firemail.cc |
fileback@cock.li |
|
JimThompson@ctemplar.com |
file-manager@email.tg |
rpd@keemail.me |
|
willettamoffat@yahoo.com |
rapid@aaathats3as.com |
表格1.黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为没有第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。本月总共有258个组织/企业遭遇勒索攻击,其中中国仅有1个组织/企业在本月遭遇了双重勒索/多重勒索。
|
DFL |
THONI ALUTEC |
jpbdselangor.gov.my |
|
LAVI |
wagstaff.com |
benlineagencies.com |
|
Finq |
ytlcement.com |
Strataworldwide.com |
|
RCMS |
CHR Solutions |
urbandevelop.com.au |
|
RKPT |
Unexca.edu.ve |
lipinskilogging.com |
|
LAVA |
g1group.co.uk |
Economos properties |
|
HOULE |
robroelaw.com |
Bernd Siegmund GmbH |
|
Ruwac |
rbauction.com |
Decorator Industries |
|
Saand |
tt-network.dk |
hp.icon-institute.de |
|
MEETH |
Valley Realty |
proximitysystems.com |
|
Leuze |
Pursell Farms |
Nordic Choice Hotels |
|
DENSO |
PROFIL ALSACE |
DuraTech Industries® |
|
Seldin |
maibroker.com |
Meritus Associations |
|
se.com |
InTown Suites |
Michael David Winery |
|
Zepter |
riverhead.net |
ALPHA TRADING S.P.A. |
|
Yanmar |
ENVASES GROUP |
sintesiautomotive.it |
|
Raveco |
Amigo-Kids.com |
DEUTSCHE SEE Holding |
|
WOLSEY |
RLD Associates |
Unified Technologies |
|
Prenax |
Altrux Medical |
fr.shop-orchestra.com |
|
Sodiba |
Interiorscapes |
Unique Home Solutions |
|
Uriach |
hsisensing.com |
Powell Transportation |
|
TUI UK |
DOMICIM Agence |
Contech TopSystems AG |
|
Saksoft |
Flanders Color |
Data Access Worldwide |
|
cgm.com |
PACE Worldwide |
Charles River Apparel |
|
atlas.in |
Kenall/Legrand |
MIND Technology, Inc. |
|
Jeffmoss |
reliancenj.com |
OPENROADAUTOGROUP.COM |
|
Atlasdie |
DUTTONFIRM.COM |
cunninghamgolfcar.com |
|
Lahebert |
atskorea.co.kr |
Haselden Construction |
|
Biotique |
smiimaging.com |
prairiesedgecasino.com |
|
Metro.Us |
iGuzzini Group |
Rosendahl Design Group |
|
comark.ca |
American Dream |
The Execu|Search Group |
|
nowiny.pl |
CareFirst CHPDC |
Dental Health Products |
|
CS ENERGY |
Versatrim, Inc. |
The Kessler Collection |
|
serta.com |
caudillseed.com |
Bohlin Cywinski Jackson |
|
mswood.ba |
clubpilates.com |
SAS SUD TRADING COMPANY |
|
ducab.com |
P&R ENTERPRISES |
Trigyn Technologies Ltd |
|
UMW Group |
Chantelle Group |
Social Enterprise (SEC) |
|
EBZ GROUP |
Fiberstar, Inc. |
The Preston Partnership |
|
FC Dallas |
Rossell Techsys |
Skyxe Saskatoon Airport |
|
Sonomatic |
Eisai Co., Ltd. |
Divestco Geoscience Inc |
|
GryphTech |
The Briad Group |
SICAME AUSTRALIA PTY LTD |
|
baa.legal |
burgsimpson.com |
NewWave Technologies Inc |
|
Madix Inc |
cbjblawfirm.com |
PRIDE Community Services |
|
MediaMarkt |
Hako Technology |
Five Star Products, Inc. |
|
Clementoni |
Charles Kendall |
Kangean Energy Indonesia |
|
vestas.com |
Metamorph Group |
Turner Enterprises, Inc. |
|
Fittingbox |
Texsource, Inc. |
Fastline Media Group, LLC |
|
Quanticate |
Hahn Engineering |
Mount Franklin Foods, LLC |
|
Comtec USA |
psmportraits.com |
Douglas Shaw & Associates |
|
Gym Source |
Bemis Associates |
Oroian Guest and Little PC |
|
Wet Design |
northstarice.com |
Industrial Network Systems |
|
KBKB, Ltd. |
COMUNE DI TORINO |
Component Assembly Systems |
|
hajery.com |
pacifichills.com |
www.hillsdalefurniture.com |
|
McMenamins |
tamerholding.com |
Bay and Bay Transportation |
|
SVP Groupe |
Petro Serve USA. |
Arbor Contract Carpet Inc. |
|
SNOP GROUP |
skinnertrans.com |
summit-christian-academy.org |
|
Groupe LDLC |
LIGHT CONVERSION |
Bohlke International Airways |
|
ORNATOP SRL |
Holiday Builders |
Hellmann Worldwide Logistics |
|
MST LAWYERS |
murrayscheese.com |
MAX International Converters |
|
bsm.upf.edu |
Spencer Gifts LLC |
CANAR OFFICE SYSTEMS COMPANY |
|
Ktmtriallaw |
apexbrasil.com.br |
Faber Industrial Technologies |
|
KOBE BUSSAN |
Shoring Engineers |
Kohinoor International School |
|
TALIS GROUP |
Jones Studio Inc. |
The Technord industrial group |
|
Amoria Bond |
Katz & Associates |
The Adelaïde Group (Verlingue) |
|
agrofair.nl |
CASINO WINNAVEGAS |
Hawthorn The Community Pub Co. |
|
Tegravendas |
travel-general.com |
RI Analytical Laboratories Inc |
|
Sit'N Sleep |
mainstreamdata.com |
Newman, Newman & Kaufman, LLP. |
|
JCWHITE.COM |
roemer-lueftung.de |
Family Christian Health Center |
|
SPERONI SPA |
kerrylogistics.com |
Chattanooga Chamber of Commerce |
|
Maad McCann |
Unita Locale Socio |
Drake & Scull International PJSC |
|
lozzaspa.it |
Mechanical Degrees |
Pontificia Universidad Javeriana |
|
Evalueserve |
MTMRECOGNITION.COM |
MIM TECH ALFA SL (EXTEN EBER SL.) |
|
Lootah Group |
KMG Prestige, Inc. |
Western Heating & Air Conditioning |
|
promhotel.fr |
kssenterprises.com |
Institute For Systems And Robotics |
|
Kellersupply |
continuumenergy.in |
Remedial Construction Services L.P. |
|
inperium.org |
tlpterminal.com.my |
Premier Crane & Transportation, Inc. |
|
volkswind.de |
Medical Pharmacies |
Heritage Palms Professional Building |
|
ENPRECIS.COM |
Comerio Ercole spa |
TRI-COUNTY ELECTRIC COOPERATIVE, INC. |
|
masselin.com |
Implant Concierge™ |
Wine & Spirits Retail Marketing, Inc. |
|
Ncmutuallife |
Better World Books |
Digital Workplace Services & Solutions |
|
vipsmotel.it |
van Eupen Logistik |
New City Commercial Corporation (NCCC) |
|
ABC Seamless |
Lincoln Industries |
AL-SOOR FUEL MARKETING COMPANY K.S.C.P |
|
WEBER_OTT AG |
ConForm Automotive |
SparJames Hall & CompanyHeron and Brearley |
|
piolax.co.th |
pestbusters.com.sg |
The Jewelry Exchange is the Nations #1 Diamond Store. |
|
dcashpro.com |
Polysciences, Inc. |
OFFICE OF THE NATIONAL BROADCASTING AND TELECOMMUNICATIONS COMMISSION |
|
ABE Courtage |
Sadbhav Engineering |
表格2.受害组织/企业
系统安全防护数据分析
通过将2021年11月与12月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年12月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年12月弱口令攻击态势发现,RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但无大的变动,整体呈下降态势。
勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
- Locked:属于TellYouThePass勒索病毒家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族本月主要的传播方式为:通过Log4j2漏洞进行传播。
- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过*力暴**破解远程桌面口令成功后手动投毒。
- 520:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为520而成为关键词。该家族主要的传播方式为:通过*力暴**破解远程桌面口令成功后手动投毒。
- Mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox而成为关键词。通过SQLGlobeImposter渠道进行传播。
- eking:同devos。
- mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过*力暴**破解远程桌面口令成功后手动投毒。
- Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
- 属于Makop勒索病毒家族,该家族主要的传播方式为:通过*力暴**破解远程桌面口令成功后手动投毒。
- 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
- eight:同devos。
- Magniber: 被该家族加密的文件,后缀均被修改为随机字符串,其主要传播方式为:通过挂马网站进行传播。
- hauhitec:属于YourData,由于被加密文件后缀会被修改为hauhitec而成为关键词。通过“匿隐” 僵尸网络进行传播。
- LockBit:LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过*力暴**破解远程桌面口令成功后手动投毒。
解密大师
从解密大师本月解密数据看,解密量最大的是Sodinokibi,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被CryptoJoker家族加密的设备。
