<rt id="qwi82"><optgroup id="qwi82"></optgroup></rt>
<rt id="qwi82"><center id="qwi82"></center></rt>
<rt id="qwi82"></rt>
<rt id="qwi82"><small id="qwi82"></small></rt>
<acronym id="qwi82"></acronym>
<rt id="qwi82"><small id="qwi82"></small></rt>
中文版 Global
首頁 > 安全資訊 > 正文

2022年11月勒索軟件態勢分析

  • 2022-12-16 11:12:51

勒索軟件傳播至今,360反勒索服務已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延,企業數據泄露風險不斷上升,勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣,危害性也越來越大。360安全大腦針對勒索軟件進行了全方位的監測與防御,為需要幫助的用戶提供360反勒索服務。

2022年11月,全球新增的活躍勒索軟件家族有:Royal、BlackBit、Play、PCOK、Somnia等家族。其中Royal勒索軟件不僅是本月新增,還是本月雙重勒索軟件中受害者數量最高的一個家族;PCOK為本月國內新增家族;Somnia勒索軟件被俄羅斯黑客用于攻擊烏克蘭。本月,360解密大師新增對Coffee最新變種的解密支持。

以下是本月值的關注的部分熱點:

一、?LockBit組織正利用Amadey Bot惡意軟件進行傳播,并對Continental汽車公司發起網絡攻擊。

二、?Coffee新變種重出江湖,襲擊國內高校與研究機構

三、?新型Azov數據擦除器試圖陷害安全研究人員

四、?Keralty遭受勒索攻擊導致哥倫比亞醫療系統受到影響

五、?加拿大食品零售巨頭Sobeys遭到Black Basta勒索軟件攻擊

基于對360反勒索數據的分析研判,360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員)發布本報告。


感染數據分析

針對本月勒索軟件受害者所中勒索軟件家族進行統計,phobos家族占比28.57%居首位,其次是占比15.53%的TargetCompany(Mallox),BeijingCrypt家族以8.70%位居第三。

本月phobos勒索家族重回首位,傳播方式并未改變,仍采用暴力破解遠程桌面,主要流行版本變為后綴為faust的變種。

PCOK勒索軟件是本月在國內新增的一款勒索軟件,和phobos家族一樣通過獲取遠程桌面密碼后手動投毒傳播。

Coffee勒索軟件在本月底再次活躍,與之前360安全大腦年初捕獲該病毒時的傳播渠道相同,通過QQ群文件與郵件針對高校師生進行傳播。

對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10、Windows Server 2012以及Windows 7。?

2022年11月被感染的系統中桌面系統和服務器系統占比顯示,受攻擊的系統類型仍以桌面系統為主。


勒索病毒疫情分析

LockBit組織正利用Amadey Bot惡意軟件進行傳播,并對Continental汽車公司發起網絡攻擊

目前,LockBit 3.0勒索軟件組織正在使用安裝Amadey Bot的釣魚電子郵件來入侵設備并在受害設備中投放勒索軟件并加密。

據分析,在當前版本的攻擊中,攻擊者會使用經混淆的PowerShell腳本或命令行來在線加載并執行LockBit 3.0攻擊載荷,使其在主機上運行以加密文件。

Amadey Bot惡意軟件是一種能夠執行系統偵察、數據過濾和執行載荷加載的舊病毒。據研究人員研究,2022年Amadey Bot的活動有所增加,并在其最新版本中增加了對抗病毒檢測和自動回避的功能,使其的入侵及載荷投放行為更加隱蔽。

本月LockBit勒索軟件組織還對德國跨國汽車集團Continental發起網絡攻擊。據稱,在此次攻擊中LockBit還竊取了Continental系統中的一些數據。攻擊者還威脅說,如果該公司在未來22小時內不服從他們的要求,他們就將在數據泄露網站上公布這些數據。目前,該團伙尚未公布其從Continental網絡中竊取的數據及其他細節。

由于LockBit表示將公布“所有可用”數據,這可能說明Continental尚未與勒索軟件團伙進行談判或已經拒絕了對方的勒索要求。



新型Azov數據擦除器試圖陷害安全研究人員

一款新型名為Azov的數據擦拭器正在通過盜版軟件、密鑰生成器和廣告軟件大量傳播,同時該軟件試圖通過虛假消息謊稱某安全研究員為其幕后黑手。

該軟件的了勒索信息文件名為“RESTORE_FILES.txt”。在信息中,該軟件宣稱之所以攻擊當前設備是為了抗議克里米亞被占領,也是因為西方國家在幫助烏克蘭對抗俄羅斯方面做得不夠。

此外,由于無法聯系攻擊者支付贖金,該勒索軟件被歸類為數據清除器,而不是通常的加密型勒索軟件。


Keralty遭受勒索攻擊導致哥倫比亞醫療系統受到影響

11月底,Keralty跨國醫療機構遭遇勒索軟件攻擊,擾亂了該公司及其子公司的網站和運營。

Keralty是一家哥倫比亞醫療保健提供商,在拉丁美洲、西班牙、美國和亞洲運營著12家醫院和371家醫療中心的國際網絡。該集團擁有24000名員工和10000名醫生,為600多萬名患者提供醫療服務。該公司通過其子公司Colsanitas、Sanitas USA和EPS Sanitas提供具體的醫療保健服務。

過去幾天,Keralty及其子公司EPS Sanitas和Colsanitas的IT運營、醫療預約及其網站都受到了此次勒索攻擊事件的影響。而信息系統的中斷直接影響了哥倫比亞的醫療保健系統。當地媒體報道稱,患者排隊等候治療超過12個小時,一些患者因缺乏醫療護理而暈倒。

11月28日,Keralty表示他們遇到了技術問題,但沒有透露原因。而根據Keralty在29日發布了另一份聲明證實,此次系統問題是由其網絡受到勒索攻擊造成的,導致其IT系統出現技術故障。

而根據一位名為亞歷克斯·蘭德(Alexánder)的推特用戶在推特上發布了一張VMware ESXi服務器的截圖,并附有一張顯示“目前已確認這份勒索信息來自于RansomHouse家族的勒索軟件。

?

加拿大食品零售巨頭Sobeys遭到Black Basta勒索軟件攻擊

加拿大食品零售巨頭Venus旗下的雜貨店和藥店自11月初以來一直存在IT系統問題。而在11月7日發布的新聞中稱,Venus的母公司Empire透露:盡管其雜貨店仍在營業,但一些服務受到了這些IT問題的影響。

該零售商透露:“公司的雜貨店仍在營業并為顧客提供服務,目前沒有出現嚴重的中斷。然而,一些店內服務出現了間斷或延遲……此外,公司的某些藥房在開具處方等方面遇到了技術問題。然而,公司仍致力于為所有患者提供醫護服務?!痹摴具€補充稱,正在努力解決影響其IT系統的問題,以減少門店收到的影響。

據Sobeys在其官網上發表的另一份單獨聲明中補充稱所有商店都保持營業,且“沒有受到嚴重干擾”。然而,根據其員工的說法:所有電腦都受到了Venus勒索軟件影響而被鎖定,只有POS機和支付系統由于工作在獨立網絡中而幸免遇難。

?

黑客信息披露

以下是本月收集到的黑客郵箱信息:

當前,通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多,勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比,該數據僅為未能第一時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中)。

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露準備,采取補救措施。

本月總共有229個組織/企業遭遇勒索攻擊,其中包含中國5個組織/企業在本月遭遇了雙重勒索/多重勒索。其中有3個組織/企業未被標明,因此不再以下表格中。


系統安全防護數據分析

360系統安全產品,針對服務器進行全量下發了系統安全防護功能,針對非服務器版本的系統僅在發現被攻擊時才下發防護。在本月被攻擊的系統版本中,排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2016。

對2022年11月被攻擊系統所屬地域統計發現,與之前幾個月采集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

通過觀察2022年11月弱口令攻擊態勢發現,RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。


勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計,數據來自360勒索軟件搜索引擎。

l?devos:該后綴有三種情況,均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索軟件家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

l?mallox:屬于Mallox勒索病毒家族,由于被加密文件后綴會被修改為mallox而成為關鍵詞。通過SQLGlobeImposter渠道進行傳播。此外360安全大腦監控到該家族本月還通過匿影僵尸網絡進行傳播。

l?360:屬于BeijngCrypt勒索軟件家族,由于被加密文件后綴會被修改為360而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒,本月新增通過數據庫弱口令攻擊進行傳播。

l?elbie:屬于phobos勒索軟件家族,由于被加密文件后綴會被修改為elbie而成為關鍵詞。該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

l?eking:同elbie。

l?milovski:同mallox。

l?faust:同elbie

l?mkp:屬于Makop勒索軟件家族,由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

l?locked:屬于TellYouThePass勒索軟件家族,由于被加密文件后綴會被修改為locked而成為關鍵詞。該家族主要通過各種軟件漏洞、系統漏洞進行傳播。

l?Pock:屬于POCK勒索軟件家族,由于被加密文件后綴會被修改為POCK而成為關鍵詞,該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。


解密大師

從解密大師本月解密數據看,解密量最大 的是GandCrab,其次是CryptoJoker。使用解密大師解密文件的用戶數量最高的是Crysis被家族加密的設備(解密文件數較小故未入榜),其次是被CryptoJoker家族加密的設備。本月新增對Coffee最新變種的解密支持。



360安全衛士

熱點排行

用戶
反饋 返回
頂部
99久久免费热在线精品8,东京热Av加勒一区二区,sm变态国产在线播放,9UU在线观看麻豆传媒和swag,中出国产日韩在线视频,国产女主播直播自慰,少女萝莉头像闺蜜,国产网红吉普车有哪些