2024年7月勒索软件流行态势分析报告

2024年7月 勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2024年7月，全球新增的双重勒索软件家族有Lynx、Cicada3301、Fog、MADLIBERATOR、Pryx、VanirGroup。Fog最早出现在2024年5月，并在7月开始通过其数据泄露网站对外发布受害者名单。新增的传统勒索软件家族有ShadowRoot、Black4Over。 以下是本月值得注的部分热点： 1.新的Eldorado勒索软件攻击Windows及VmwareESXi虚拟机 2.来德爱承认6月份遭遇勒索攻击后发生数据泄露事件 3.洛杉矶高等法院因遭遇勒索软件攻击而关闭 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比36.02%居首位，第二的是Makop占比22.46%，Anony家族以12.29%位居第三。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2008以及WindowsServer2012。 2024年7月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器平台的攻击比例基本相当。 勒索软件热点事件 新的Eldorado勒索软件攻击Windows及VmwareESXi虚拟机 一种名为“Eldorado”的新型RaaS（勒索软件即服务）勒索软件于今年3月被首次发现，并带有针对性的攻击VMwareESXi和Windows平台。该勒索软件团伙据称已攻击了16个组织，其中大部分受害者在美国，涉及房地产、教育、医疗保健和制造业等领域。 网络安全研究人员监控到了“Eldorado”的活动，发现其幕后控制者在RAMP论坛上推广该勒索服务，并寻找有相关技术能力的合作伙伴加入项目。此外，Eldorado还运营着一个数据泄露网站用于列出了受害者名单，但目前该网站尚无法访问。 Eldorado是一款基于Go语言开发的勒索软件，可以通过两种具有相似功能的变种在Windows和Linux平台上进行文件加密操作。研究人员从提供RaaS的供应商手中取得了一个加密器以及其附带的用户手册，说明该加密器有适用于VMwareESXi虚拟机管理程序和Windows操作系统的32位及64位版本。根据分析发现，该勒索软件使用ChaCha20算法进行加密，并针对每台受害设备生成一个独有的32字节密钥和12字节初始向量。然后，使用RSA加密算法对密钥和初始向量进行加密，采用的是最优的非对称加密填充（OAEP）方案。加密完成后，文件会被添加“.00000001”的扩展名，并在系统的“文档”和“桌面”文件夹中放置名为“HOW_RETURN_YOUR_DATA.TXT”的勒索说明文件。另外，Eldorado还利用SMB通信协议对网络中的共享设备进行加密，以最大程度地发挥其作用，并在被入侵的Windows机器上删除卷影副本，以防止受害者通过副本对文件进行恢复。同时，该勒索软件会跳过DLL、LNK、SYS和EXE文件，以及与系统启动和基本功能相关的文件和目录，以防止使系统无法启动或无法使用。最终，勒索软件会删除自身文件以避免被安全响应人员发现和分析。 安全研究人员表示：“虽然目前来看，Eldorado是一个新出现的勒索软件组织而非此前的勒索软件组织的重生团队，但其在短时间内已展现出了对受害者数据、声誉和业务可用性的重大破坏能力。” 来德爱承认6月份遭遇勒索攻击后发生数据泄露事件 大型连锁药店来德爱在6月份遭受了一次网络攻击，随后确认发生了数据泄露事件，该事件被RansomHub勒索软件组织所宣称。 大型连锁药店来德爱在7月12日表示其正在调查今年6月份发现的一起网络攻击，并正在努力向受数据泄露影响的客户发送数据泄露通知。该公司还表示，在聘请外部专家解决此次攻击影响的过程中，已恢复了所有受影响的系统。尽管来德爱没有透露在数据泄露事件中被访问的客户数据内容以及受影响的个人数量，但该公司表示，此次数据泄露事件并未涉及健康或财务信息。 尽管来德爱尚未透露6月份袭击事件的幕后黑手是谁，但这份声明是在RansomHub勒索软件团伙已声明表示入侵了这家药品巨头的系统并窃取了客户数据之后发布的。 在RansomHub的声明中，明确表示在获取了Riteaid网络的访问权限后，已获取了超过10GB的客户信息，相当于约4500万人的个人信息。这些信息包括姓名、地址、dl_id号码、出生日期和Riteaid推广号码。在将来德爱添加到其泄露网站后，据传由于该公司已停止了赎金谈判，勒索软件组织分享了一些据称是被盗数据的截图作为证据，并表示两周内将公布所有数据。 根据来德爱方面的最新统计，此次数据泄露事件已经影响到其约220万名客户的隐私信息。 洛杉矶高等法院因遭遇勒索软件攻击而关闭 美国最大的地方法院——洛杉矶县高等法院于22日关闭了其36个法院的所有地点，以恢复在19日遭受勒索软件攻击的系统。这起尚未被勒索软件组织公布的攻击影响了洛杉矶高等法院的整个网络。此次攻击也波及了包括“MyJuryDutyPortal”门户网站在内的外部系统，以及一些如案件管理系统在内的内部系统。 此次攻击在当地时间20日时被首次披露，当时该法院透露袭击开始于7月19日星期五清晨。洛杉矶高等法院还(LASC)表示，此次事件与全球范围内影响Windows系统的CrowdStrike更新故障无关。在发现遭到攻击后，LASC被迫立即关闭了所有网络系统以遏制漏洞，这些设备很可能至少要到下周二才能恢复并重新上线。法院补充说，他们没有发现任何证据表明被入侵系统的数据被泄露，目前正与加州紧急服务办公室（CALOES）以及地方、州和联邦执法机构合作，调查此次事件并评估其影响。 虽然法院仍在迅速推进恢复和恢复阶段，但截至21日晚间，许多关键系统仍处于离线状态。 黑客信息披露 以下是本月收集到的黑客邮箱信息： 当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。 以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。 本月总共有406个组织/企业遭遇勒索攻击，其中包含中国6个组织/企业在本月遭遇了双重勒索/多重勒索。其中有9个组织/企业未被标明，因此不在下表格中。 系统安全防护数据分析 360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为WindowsServer2008、Windows7以及Windows10。 对2024年7月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。 通过观察2024年7月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。 勒索软件关键词 以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。 hmallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。 svh:属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 src：同svh。 rmallox：同hmallox。 baxia：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。 jaff:属于Anony勒索软件家族，由于被加密文件后缀会被修改为anony而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 mallox：同hmallox。 mkp：同svh。 faust：phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 bixi：同baxia。 解密大师 从解密大师本月解密数据看，解密量最大的是Loki其次是Telsa。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。