2022年6月勒索病毒態勢分析

勒索病毒傳播至今，360反勒索服務已累計接收到數萬勒索病毒感染求助。隨著新型勒索病毒的快速蔓延，企業數據泄露風險不斷上升，勒索金額高達數百萬到近億美元的勒索案件也不斷出現。勒索病毒給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2022年6月，全球新增的活躍勒索病毒家族有:BlueSky、Crimson Walrus、SiegedSec、Agenda、Kawaii、DamaCrypt、RedTeam等家族，其中Crimson Walrus和SiegedSec均為雙重勒索，勒索病毒家族。

本月最值得關注的有三個熱點：

1.?LockBit3.0來襲，首個推出勒索病毒漏洞賞金計劃以及首個在數據泄露網站添加對受害組織/企業數據購買/銷毀/延期的支付通道。?

2.?多款“新型”勒索軟件在本月活躍。包括使用全中文勒索提示信息的Rook，通過SQLGlobeImposter渠道傳播的BlueSky新型勒索病毒以及通過僵尸網絡和遠程桌面協議進行傳播的Pipikaki勒索病毒。

3.?針對威聯通設備的勒索攻擊持續活躍，?eCh0Raix勒索病毒攻擊尚未停止，又新增DeadBolt勒索病毒攻擊。

基于對360反勒索數據的分析研判，360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索病毒受害者所感染勒索病毒家族進行統計，Magniber家族占比32.59%居首位，其次是占比11.38%的phobos，Rook家族以10.49%位居第三。

本月上旬消失數月的Rook勒索病毒家族，攜全新后綴名與勒索提示信息卷土重來，本月下旬利用匿影僵尸網絡以及RDP暴破進行傳播的Pipikaki在國內異?；钴S。

?

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows ?Server 2008、以及Windows?Server 2012。

?

2022年6月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型仍以桌面系統為主。與上個月相比，無較大波動。

?

勒索病毒疫情分析

LockBit?3.0來襲

本月,Lockbit勒索病毒團伙正式發布3.0版本，并在其數據泄露網站發布公告，邀請全球所有的安全研究員參與該團伙的漏洞賞金計劃——根據漏洞的嚴重程度可換取1000至100萬美元的獎金。

該勒索團伙還在其數據泄露網站發布一篇長文，詳細描述該團伙能為病毒運營及投放者提供的支持，其中包括：安全軟件的繞過、網絡資源檢測、域內自動分發、數據竊取等。同時詳細羅列哪些類型的企業不允許實施加密，但可竊取重要數據，例如：核電站、火力發電站、水力發電站等關鍵基礎設施；石油、天然氣等能源行業；可能會影響生命的醫療機構等。并鼓勵病毒運營及投放者對警察局和任何從事尋找逮捕黑客的執法機構發動攻擊。

?

在已被公布受害組織/企業的鏈接中，能直接看到該團伙索要的贖金金額。目前該團伙為針對被竊取到數據的受害組織/企業提供以下三個選項（黑客會根據受害組織/企業竊取到的數據進行估值，因此每個受害組織/企業被勒索的贖金并不相同，以下為一個受害企業示例）：

4.?提供1000美元對數據泄露倒計時進行24小時的延時。

5.?提供40000美元贖金對竊取到的數據進行銷毀。

6.?提供40000萬美元的數據對竊取到的數據進行購回。

??

多款“新型”勒索病毒在本月活躍

360安全大腦監測到本月有三款勒索病毒異?；钴S。其中第一款是在本月上旬消失數月的Rook勒索病毒再次回歸公眾視野。在消失之前，該家族曾短暫想要通過模仿LockBit和BlackCat兩款流行的雙重勒索病毒來混淆視聽，失敗后便銷聲匿跡。此次回歸使用的勒索提示信息采用全中文版，對每個受害者索要價值4000人民幣的比特幣。同時還提醒受害者可通過淘寶和勒索病毒貼吧去獲取解密協助。

?

第二款是在本月中旬出現的一款自稱為BlueSky的勒索病毒。根據360安全大腦監測到的數據分析，該家族通過SQLGlobeImposter渠道進行傳播（該渠道的傳播方式為：黑客通過暴力破解方式獲取到數據庫密碼后向被攻陷設備投放各類型病毒木馬）。受害者通常會被索要0.1比特幣作為贖金（截至報告撰寫時，約合人民幣13291元）。

?

第三款則是本月下旬開始活躍的Pipikaki勒索病毒家族。該家族雖然4月份已在國外被發現，但本月才開始在國內流行傳播。通過360安全大腦監控到的數據分析到，該家族不僅利用暴力破解遠程桌面弱口令后手動投毒，還通過匿影僵尸網絡進行傳播。被攻擊的設備通常是在收到攻擊前運行過AutoDesk注冊機、CAD注冊機、KMS注冊機等工具軟件。而這些程序通常帶有惡意代碼，會向受害者機器內寫入計劃任務，定時啟動達到長期駐留在受害者系統的目的，而后由僵尸網絡控制者決定向其下發什么類型的病毒木馬。也正因這種先感染后受控中毒的特性，導致受害者運行這類工具后文件并不會馬上被加密，也給事后分析病毒來源帶來了一定的難度。

?

NAS設備迎來新對手

本月初，有威聯通設備遭遇eCh0raix勒索病毒攻擊。eCh0raix（也稱為QNAPCrypt）從 2019 年夏天開始，便多次大規模對QNAP的NAS設備發動攻擊并成功入侵，直至2020年5月該家族依然有攻擊活動，并于2021年12月中旬開始針對NAS設備發動了新一輪的大量弱口令攻擊，而這一波攻勢在2022年2月初才逐步放緩。

此次eCh0raix的新一輪攻擊出現在6月8日前后，目前已經捕獲到數十個eCh0raix的變種樣本，預估實際成功攻擊量會更高。

?

此外，QNAP于6月17日再次警告其用戶要當心他們的設備遭到另一款勒索病毒——DeadBolt的新一輪攻擊。根據威聯通產品安全事件響應小組（QNAP PSIRT）的調查，這兩次的勒索病毒攻擊針對使用QTS 4.3.6和QTS 4.4.1的NAS設備，受影響的機型主要是TS-x51系列和TS-x53系列?！按舜尉媸窃谠摴咀?022年初以來發布的第四次相關警報信息，所有這些警報都建議用戶保持其設備最新狀態，且不要將設備其暴露在互聯網中?！?/span>

黑客信息披露

以下是本月收集到的黑客郵箱信息：

?

表格1. 黑客郵箱?

當前，通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多，勒索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

?

以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月總共有183個組織/企業遭遇勒索攻擊，其中包含中國7個組織/企業（含3個臺灣省組織/企業）在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業?

系統安全防護數據分析

在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

??

對2022年6月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

??

通過觀察2022年6月弱口令攻擊態勢發現，RDP弱口令攻擊和MYSQL弱口令攻擊整體無較大波動。MSSQL弱口令攻擊雖有波動，但無大的變動。

?

勒索病毒關鍵詞

以下是本月上榜活躍勒索病毒關鍵詞統計，數據來自360勒索病毒搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索病毒家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?360：屬于BeijngCrypt勒索病毒家族，由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數據庫弱口令攻擊進行傳播。

l?d3add：屬于Rook勒索病毒家族，由于被加密文件后綴會被修改為d3add而成為關鍵詞。該家族的主要通過匿隱僵尸網絡進行傳播

l?mkp：屬于Makop勒索病毒家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?Magniber:勒索病毒Magniber家族，主要通過偽裝成Win10/win11的補丁/升級包進行傳播。

l?eking:屬于phobos勒索病毒家族，由于被加密文件后綴會被修改為eking而成為關鍵詞。家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?locked:locked曾被多個家族使用，但在本月使用該后綴的家族是TellYouThePass勒索病毒家族。由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族本月主要的傳播方式為：通過Log4j2漏洞進行傳播。

l?consultraskey:屬于TargetCompany(Mallox)勒索病毒家族，由于被加密文件后綴會被修改為consultraskey-id而成為關鍵詞。該家族傳播渠道有多個，包括匿隱僵尸網絡、橫向滲透以及數據庫弱口令爆破。本月新增通過入侵Web應用進行傳播。

l?bozon3:同consultraskey。

l?pipikaki:屬于Pipikaki勒索病毒家族，由于被加密文件后綴會被修改為@pipikaki而成為關鍵詞，該家族主要通過匿影僵尸網絡以及暴力破解遠程桌面口令成功后手動投毒。

?

解密大師

從解密大師本月解密數據看，解密量最大的是Sodinokibi，其次是Coffee。使用解密大師解密文件的用戶數量最高的是被Crysis家族加密的設備，其次是被GandCrab家族加密的設備。

??

2022年上半年勒索病毒發展回顧

2022年上半年，勒索病毒攻擊勢頭不減，繼續引領全球網絡安全熱點，360政企安全集團高級威脅研究分析中心對國內外勒索病毒攻擊態勢進行了分析，總結了如下一些新的攻擊特點：

1.?勒索病毒成為網絡戰爭首選武器

現代國際沖中，突越來越多的出現“熱戰”之前網絡戰先行的趨勢。勒索病毒做為低成本、高效率的網絡破壞性武器，也越來越受到攻擊者的青睞，假借商業勒索病毒之名發起的“假旗”攻擊更是層出不窮。

在今年上半年俄烏沖突中，勒索病毒就成為多方使用的網絡武器之一。在過去幾年的攻擊中，也出現了以NotPetya為代表的網絡武器。使用勒索病毒發起破壞攻擊，可以掩蓋攻擊的真實意圖，讓受害者放松警惕，以為僅僅是常規的商業攻擊事件。而今年早些時候，HermeticWiper、WhisperGate等多種wiper類擦除器，對多個關鍵基礎設施造成了?泛破壞，也再次展示了此類攻擊的威力。

數字時代下網絡戰將成任何形式沖突中的首選攻擊方案。網絡戰攻擊不僅僅是為了竊取情報，還可以對交通、能源、金融等基礎設施造成破壞。而網絡中任何一個設備節點都可能成為攻擊跳板，牽一發而動全身引發嚴重后果，為此必須要意識到網絡戰的嚴峻形勢，正視網絡戰。

2.?國內傳播多元化、變種多樣傳播更趨本土化

以Log4j2漏洞為代表的一批高危安全漏洞，拉開了本年度網絡攻擊事件的序幕。年初TellYouThePass勒索家族先后使用Log4j2漏洞、Spring漏洞和向日葵漏洞等多個Nday漏洞大肆傳播。之后Magniber不甘示弱，開始偽裝系統升級，利用網頁掛馬傳播，并迅速占領國內第一的位置。隨后而來的，還有Rook利用攜帶惡意代碼的第三方軟件進行傳播；TargetCompany(Mallox)勒索病毒使用Web應用入侵渠道傳播等等。

可以看出，國內勒索病毒的傳播越來越多元化，競爭也愈加激烈。勒索病毒的趨勢不再由少數幾個頭部家族說掌控，而其傳播方式也越來越“接地氣”——不管是越來越多的漏洞攻擊，還是Magniber這類有本土特色的傳播方法。攻擊方法無孔不入，也加速了勒索病毒對普通用戶和中小企業的侵擾。

另一方面，針對NAS、Linux系統、MacOS的攻擊也顯著增加，過去大眾一般認為“安全”的設備，其實并不安全，也無法豁免于勒索病毒的攻擊中。

3.?病毒團伙內訌、被捕與地緣政治

年初Conti團伙的內訌，其內部數據的公開給安全研究人員一個很好的視角研究勒索病毒攻擊問題。泄露的內部數據可以看出：Conti是一個復雜的組織，成員分工明確且復雜和多個黑產組織如TrickBot和Emotet有密切往來。公開的內容還包括大量攻擊方法、教程、工具、勒索病毒源碼等，并且很快就出現了使用公開源碼編寫的變種勒索病毒。

同一時間，臭名昭著的勒索團伙REvil多為成員被捕。據官方報道：聯邦安全局（FSB）宣布已經逮捕了14名與網絡犯罪團伙REvil相關的人員，并沒收了超過4.26億盧布的財產。加上此前被逮捕的成員，至少有20多個隸屬于該團伙的成員被逮捕。

由于俄烏沖突，多個黑客團伙也選邊站隊，多個知名黑客組織聲稱要發起大規模網絡攻擊。上半年黑產團伙活躍而混亂。

4.?支付方式多樣化

自從去年DarkSide勒索美國燃油管道公司的比特幣被追繳以來，勒索攻擊者對比特幣的信任度在不斷降低，越來越多的攻擊者開始選擇門羅幣、零幣、達世幣等做為替代手段支付方案——這一趨勢在今年更加明顯。這也表明，脫離監管的支付工具是這類黑產的重要依賴手段。越來越多的匿名支付工具以及更好的匿名性也給勒索病毒犯罪的打擊，帶來了很大挑戰。