<rt id="qwi82"><optgroup id="qwi82"></optgroup></rt>
<rt id="qwi82"><center id="qwi82"></center></rt>
<rt id="qwi82"></rt>
<rt id="qwi82"><small id="qwi82"></small></rt>
<acronym id="qwi82"></acronym>
<rt id="qwi82"><small id="qwi82"></small></rt>
中文版 Global
首頁 > 安全資訊 > 正文

2022年5月勒索病毒態勢分析

  • 2022-06-13 15:55:17

勒索病毒傳播至今,360反勒索服務已累計接收到上萬勒索病毒感染求助。隨著新型勒索病毒的快速蔓延,企業數據泄露風險不斷上升,勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索病毒給企業和個人帶來的影響范圍越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監測與防御,為大量需要幫助的用戶提供360反勒索服務。

2022年5月,全球新增的活躍勒索病毒家族有:7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族,其中Cheers、RansomHouse、Mindware均為具有雙重勒索功能的家族。

本月最值得關注的有三個熱點:

1.? 5月初開始,Magniber將Windows 11加入到其攻擊目標中,本月被該家族感染的受害者數量達到歷史數據最高峰。

2.? TargetCompany(Mallox)勒索病毒新增Web應用入侵渠道,迎來一波快速傳播。

3.? 本月新增通過OA系統漏洞進行傳播的7Locker勒索病毒。

4.? 哥斯達黎加因多個政府部門遭Conti攻擊宣布國家進入緊急狀態。

基于對360反勒索數據的分析研判,360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員)發布本報告。

感染數據分析

根據本月勒索病毒受害者排查反饋統計,Magniber家族占比46.17%居首位,其次是占比15.52%的TargetCompany(Mallox),phobos家族以10.15%位居第三。

本月因大量用戶瀏覽網站時有意或無意下載偽裝成Win10/win11的補丁/升級包的Magniber勒索病毒而中招,首次出現單個家族感染量占比近50%的“霸榜”現象。

對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。

2022年5月被感染的系統中桌面系統和服務器系統占比顯示,因Magniber勒索病毒攻擊這針對Windows 10和Windows 11,導致桌面PC占比上漲。

勒索病毒疫情分析

Magniber勒索病毒再升級,劍指win11

今年4月底,Magniber勒索病毒偽裝成Wndows10升級補丁包進行大肆傳播,360安全大腦對其進行了預警。

而5月初,360安全大腦再次監測到該家族新增對Windows 11系統的攻擊,其主要傳播的包名也有所更新,比如:

win10-11_system_upgrade_software.msi

covid.warning.readme.xxxxxxxx.msi

其傳播方式仍然是各類論壇、破解軟件網站、虛假色情站等。用戶在訪問這些站點時,會被誘導至第三方網盤下載偽裝成補丁或更新的勒索病毒。此外也有部分網站存在自動下載情況。

以下是該病毒近期傳播針對Windows 11的攻擊態勢圖:

遭到該勒索病毒加密后,文件后綴會被修改為隨機后綴,且每個受害者會有一個獨立的支付頁面——若不能在規定時間內支付贖金,該鏈接將失效。若受害者能在5天內支付贖金,則只需支付0.09個比特幣(截止該報告撰寫時,約合人民幣17908元),而超過5天贖金將會翻倍。

新增Web應用入侵渠道,Mallox勒索病毒迎來一波快速傳播

本月360安全大腦監測發現多起Mallox勒索病毒攻擊事件。該病毒主要針對企業的Web應用發起攻擊,包括Spring Boot、Weblogic、通達OA等。在其拿下目標設備權限后還會嘗試在內網中橫向移動,獲取更多設備的權限,危害性極大。360提醒用戶加強防護,并建議使用360終端安全產品提供的安全補丁,防御查殺該病毒。

360安全大腦監測歷史顯示,Mallox(又被稱作Target Company)于2021年10月進入中國,早期主要通過SQLGlobeImposter渠道進行傳播(通過獲取到數據庫口令后,遠程下發勒索病毒。該渠道曾長期被GlobeImposter勒索病毒使用)。而今年GlobeImposter勒索病毒的傳播量逐漸下降,Mallox就逐漸占據了這一渠道。

除了傳播渠道之外,360通過分析近期攻擊案例發現攻擊者會向Web應用中植入大量的WebShell,而這些文件的文件名中會包含“kk”的特征字符。一旦成功入侵目標設備,攻擊者會嘗試釋放PowerCat、lCX、AnyDesk等黑客工具控制目標機器、創建賬戶,并嘗試遠程登錄目標機器。此外,攻擊者還會使用fscan工具掃描設備所在內網,并嘗試攻擊內網中的其它機器。在獲取到最多設備權限后開始部署勒索病毒。

新增通過OA系統漏洞進行傳播的7Locker勒索病毒

近日360安全大腦監控到一款新型勒索病毒7Locker,該病毒使用java語言編寫,并通過OA系統漏洞進行傳播。其本質上是利用7z壓縮工具將文件添加密碼后進行壓縮,被加密壓縮后的文件被新增擴展名.7z。每個受害者通過唯一的Client Key查看具體贖金要求以及指定的贖金支付地址。

另外,根據目前已掌握的信息推測:該家族的傳播事件有很大概率是中國臺灣黑客針對中國內陸發起的勒索攻擊。

哥斯達黎加因多個政府部門遭Conti攻擊宣布國家進入緊急狀態

5月8日星期日,新當選的哥斯達黎加總統查韋斯宣布國家進入緊急狀態,理由是多個政府機構正遭到Conti勒索病毒攻擊。

Conti勒索病毒最初聲稱上個月對哥斯達黎加政府進行了攻擊。該國的公共衛生機構哥斯達黎加社會保障基金(CCSS)早些時候曾表示,“正在對Conti勒索病毒進行外圍安全審查,以驗證和防止其可能再次發動攻擊?!?/span>

目前,Conti已發布了大約672 GB的數據,其中似乎包含屬于哥斯達黎加政府機構的數據。

黑客信息披露

以下是本月收集到的黑客郵箱信息:


當前,通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族占比,該數據僅為未能第一時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中)。

以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露準備,采取補救措施。

本月總共有220個組織/企業遭遇勒索攻擊,其中包含中國10個組織/企業(含中國臺灣省5個組織/企業)在本月遭遇了雙重勒索/多重勒索。


表格2. 受害組織/企業

系統安全防護數據分析

在本月被攻擊的系統版本中,排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2022年5月被攻擊系統所屬地域統計發現,與之前幾個月采集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

通過觀察2022年5月弱口令攻擊態勢,發現RDP弱口令攻擊和MYSQL弱口令攻擊整體無較大波動。MSSQL弱口令攻擊雖有波動,但依然處于常規范圍內且整體呈上升態勢。

勒索病毒關鍵詞

以下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜索引擎。

  • devos:該后綴有三種情況,均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索病毒家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

  • 360:屬于BeijngCrypt勒索病毒家族,由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,本月新增通過數據庫弱口令攻擊進行傳播。

  • locked:locked曾被多個家族使用,但在本月使用該后綴的家族是TellYouThePass勒索病毒家族。由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族本月主要的傳播方式為:通過Log4j2漏洞進行傳播。

  • Magniber:

  • mkp:屬于Makop勒索病毒家族,由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

  • bozon3:屬于TargetCompany(Mallox)勒索病毒家族,由于被加密文件后綴會被修改為bozon3。該家族傳播渠道有多個,包括匿隱僵尸網絡、橫向滲透以及數據庫弱口令爆破。本月新增通過入侵Web應用進行傳播。

  • bozon:同bozon3。

  • avast: 同bozon3。

  • eking:屬于phobos勒索病毒家族,由于被加密文件后綴會被修改為eking而成為關鍵詞。家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

  • rook:屬于Rook勒索病毒家族,由于被加密文件后綴會被修改為rook而成為關鍵詞。該家族的主要傳播方式為:通過匿隱僵尸網絡進行傳播。本月(2022年2月)受害者大部分是因為到下載網站下載注冊機感染的匿隱僵尸網絡。

解密大師

從解密大師本月解密數據看,解密量最大的是GandCrab,其次是Coffee。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備,其次是被CryptoJoker家族加密的設備。

360安全衛士

熱點排行

用戶
反饋 返回
頂部
99久久免费热在线精品8,东京热Av加勒一区二区,sm变态国产在线播放,9UU在线观看麻豆传媒和swag,中出国产日韩在线视频,国产女主播直播自慰,少女萝莉头像闺蜜,国产网红吉普车有哪些