空间测绘
威胁情报
报告事件
RSS
报告编号:B6-2022-011402
报告来源:360CERT
报告作者:360CERT
更新日期:2022-01-15
0x01 概述
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑 针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年12月,全球新增的活跃勒索病毒家族有: CarckVirus、Miner、Razer、Youneedtopay、Bl@ckt0r、Karakurt等家族,其中Bl@ckt0r、Karakurt为本月新增的双重勒索病毒家族。在本月消失很长一段时间的TellYouThePass勒索病毒家族,利用Log4j2漏洞卷土重来。
0x02 感染数据分析
针对本月勒索病毒受害者,所中勒索病毒家族进行统计,Magniber家族占比43.64%居首位,其次是占比11.01%的TellYouThePass,phobos 家族以9.87%位居第三。
根据360安全大脑监控到的数据显示,12月初,攻击者开始利用最新的Log4j2 RCE漏洞(CVE-2021-44228)传播TellYouThePass勒索病毒 家族,使用某OA用户受灾严重。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 7、Windows 10、以及Windows Server 2008。
2021年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。
0x03 勒索病毒疫情分析
Log4j2漏洞被勒索病毒广泛利用
本月Apache的Log4j2组件被发现重大漏洞(CVE-2021-44228,远程代码执行漏洞),该漏洞在12月9日被披露,在12月11日便出现大量针对Log4j2进行的恶意攻击行为。360安全大脑监控到,曾消失了很长一段时间的TellYouThePass勒索病毒,在12月17日携Log4j2漏洞利用卷土 重来,对某OA系统发起针对性攻击(该系统使用到了Log4j2组件)。该家族在传播时并没有像传统的勒索病毒一样选择持续性攻击,而是间断性的攻击。其在12月27日出现最大攻击量,单日被攻击设备超600台。
由于Log4j2漏洞利用方式简单、危害严重,在本月还曾被多个勒索病毒家族使用。本月勒索病毒相关案件还有:
- 本月中旬,研究人员发现新型勒索病毒Khonsari尝试利用Log4Shell进行传播。攻击者利用Log4Shell远程执行代码漏洞从远程服务器下载.NET二进制文件,该二进制文件对目标机器上的文件进行加密,并将扩展名.khonsari添加到每个文件中。该病毒还会发出勒索信息, 要求以比特币支付赎金。
- 本月下旬,著名勒索病毒家族Conti勒索病毒开始使用Log4J的相关漏洞来快速攻击 VMware vCenter Server实例并加密虚拟机中的数据。
- 微软提醒自托管的Minecraft服务器管理员升级到最新版本,以抵御利用Log4J2漏洞进入系统的Khonsari勒索攻击。
- 越南最大的加密交易平台之一ONUS因其支付系统使用了带有漏洞Log4j导致遭到网络攻击。随后便找到攻击者威胁说已窃取其将近200万用户的数据,并索要500万美元的赎金。
洛杉矶计划生育协会遭遇勒索病毒攻击
数据泄露带来的危害越来越明显,不仅影响企业/组织的正常运营,还将其负面影响逐步渗透到大众的生活。在本月,根据洛杉矶计划生 育协会(PPLA)发送给患者的通知中透露的消息:该协会在2021年10月9日至17日之间遭受勒索病毒攻击(攻击者在其内网中潜伏了长达一周,通过这段时间在内网中寻找并窃取高价值信息数据),导致40万名患者数据被黑客窃取,其中包含患者的地址、保险信息、出生日期、 临床信息等。黑客在后续的勒索中,不仅向洛杉矶计划生育协会索要赎金,同时也将魔爪伸向了个人信息泄露的40万名患者。参考此前类似案例,黑客可能会利用这些会影响患者的名誉或工作的特点私密信息,以泄露给患者朋友或雇主为名,对患者本人勒索赎金。
Hive勒索病毒组件大联盟,四个月内攻击数百个目标
通过安全研究员直接从Hive的管理小组收集到的信息发现,Hive勒索病毒团伙可能比其泄密站点显示的更加活跃,自该行动于6月下旬曝 光以来,其下属组织平均每天攻击 3 家公司,其下属组织在四个月的事件入侵了超过350个企业或组织。
该团伙的数据泄露站点目前仅列出了71家未支付赎金的公司,表明有大量Hive勒索病毒受害者支付了赎金。保守估计,仅在10月到11月之间,Hive勒索病毒团伙的利润就高达数百万美元。
Rook勒索病毒是Babuk泄露代码的新一代衍生品
Babuk勒索病毒家族在2021年4月攻击华盛顿警方后,因对从警方窃取到的250GB数据处理意见始终无法达成一致,最终内部分裂。在6月份其生成器被恶意泄露,在9月其完整的源代码被公开发布在暗网。
近期的网络攻击中出现的一款名为Rook的新型勒索病毒,其技术细节、传播链条以及方式,都与Babuk勒索病毒非常相似。该团伙自称急 需通过破坏公司网络和加密设备来赚取“大量资金”。截止2021年12月31日,该家族已在其数据泄露网站公开发布过6名受害企业/组织信息。同时,从该家族的数据泄露网站发布的信息看,该家族陈,如果发现其网站不能被正常访问,将会立即发布受害者信息,企图通过威胁的手段阻止第三方(网络安全公司、执法部门等)攻击其基础设备。
0x04 黑客信息披露
以下是本月收集到的黑客邮箱信息:
| albertpattisson1981@protonmail.com | decryptionx@inboxhub.net | rook@securityrook.com |
|---|---|---|
| steven1973parker@libertymail.net | recover520@mailfence.com | sorryneedbtc@gmx.com |
| yourlovelysupport@mailfence.com | johnwilliams1887@gmx.com | malloxx@tutanota.com |
| helprestoremanager@airmail.cc | karenkhonsari@gmail.com | ecrypt24@nerdmail.co |
| securityrook@securityrook.com | bothelper@mailfence.com | cr0prop@firemail.cc |
| decryptyourfiles@firemail.cc | GoodDay@privatemail.com | filemanager@cock.li |
| Victorcrou@privatemail.com | Helper@privatemail.com | kingbo@tutanota.com |
| grejkugulik@onionmail.org | makopsupp@tutanota.com | code1024@keemail.me |
| decryptionx@onionmail.org | arnoldgladys88@gmx.com | 2021@onionmail.org |
| yourlovelysupport@xmpp.jp | dr.helper@tutamail.com | encrypt11@cock.li |
| tSupport@privatemail.com | Dekrypt24@tutanota.com | fileback@tuta.io |
| edljackson@onionmail.org | webweb321@firemail.cc | fileback@cock.li |
| JimThompson@ctemplar.com | file-manager@email.tg | rpd@keemail.me |
| willettamoffat@yahoo.com | rapid@aaathats3as.com |
表格1.黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为没有第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。本月总共有258个组织/企业遭遇勒索攻击,其中中国仅有1个组织/企业在本月遭遇了双重勒索/多重勒索。
| DFL | THONI ALUTEC | jpbdselangor.gov.my | |
|---|---|---|---|
| LAVI | wagstaff.com | benlineagencies.com | |
| Finq | ytlcement.com | Strataworldwide.com | |
| RCMS | CHR Solutions | urbandevelop.com.au | |
| RKPT | Unexca.edu.ve | lipinskilogging.com | |
| LAVA | g1group.co.uk | Economos properties | |
| HOULE | robroelaw.com | Bernd Siegmund GmbH | |
| Ruwac | rbauction.com | Decorator Industries | |
| Saand | tt-network.dk | hp.icon-institute.de | |
| MEETH | Valley Realty | proximitysystems.com | |
| Leuze | Pursell Farms | Nordic Choice Hotels | |
| DENSO | PROFIL ALSACE | DuraTech Industries® | |
| Seldin | maibroker.com | Meritus Associations | |
| se.com | InTown Suites | Michael David Winery | |
| Zepter | riverhead.net | ALPHA TRADING S.P.A. | |
| Yanmar | ENVASES GROUP | sintesiautomotive.it | |
| Raveco | Amigo-Kids.com | DEUTSCHE SEE Holding | |
| WOLSEY | RLD Associates | Unified Technologies | |
| Prenax | Altrux Medical | fr.shop-orchestra.com | |
| Sodiba | Interiorscapes | Unique Home Solutions | |
| Uriach | hsisensing.com | Powell Transportation | |
| TUI UK | DOMICIM Agence | Contech TopSystems AG | |
| Saksoft | Flanders Color | Data Access Worldwide | |
| cgm.com | PACE Worldwide | Charles River Apparel | |
| atlas.in | Kenall/Legrand | MIND Technology, Inc. | |
| Jeffmoss | reliancenj.com | OPENROADAUTOGROUP.COM | |
| Atlasdie | DUTTONFIRM.COM | cunninghamgolfcar.com | |
| Lahebert | atskorea.co.kr | Haselden Construction | |
| Biotique | smiimaging.com | prairiesedgecasino.com | |
| Metro.Us | iGuzzini Group | Rosendahl Design Group | |
| comark.ca | American Dream | The Execu | Search Group |
| nowiny.pl | CareFirst CHPDC | Dental Health Products | |
| CS ENERGY | Versatrim, Inc. | The Kessler Collection | |
| serta.com | caudillseed.com | Bohlin Cywinski Jackson | |
| mswood.ba | clubpilates.com | SAS SUD TRADING COMPANY | |
| ducab.com | P&R ENTERPRISES | Trigyn Technologies Ltd | |
| UMW Group | Chantelle Group | Social Enterprise (SEC) | |
| EBZ GROUP | Fiberstar, Inc. | The Preston Partnership | |
| FC Dallas | Rossell Techsys | Skyxe Saskatoon Airport | |
| Sonomatic | Eisai Co., Ltd. | Divestco Geoscience Inc | |
| GryphTech | The Briad Group | SICAME AUSTRALIA PTY LTD | |
| baa.legal | burgsimpson.com | NewWave Technologies Inc | |
| Madix Inc | cbjblawfirm.com | PRIDE Community Services | |
| MediaMarkt | Hako Technology | Five Star Products, Inc. | |
| Clementoni | Charles Kendall | Kangean Energy Indonesia | |
| vestas.com | Metamorph Group | Turner Enterprises, Inc. | |
| Fittingbox | Texsource, Inc. | Fastline Media Group, LLC | |
| Quanticate | Hahn Engineering | Mount Franklin Foods, LLC | |
| Comtec USA | psmportraits.com | Douglas Shaw & Associates | |
| Gym Source | Bemis Associates | Oroian Guest and Little PC | |
| Wet Design | northstarice.com | Industrial Network Systems | |
| KBKB, Ltd. | COMUNE DI TORINO | Component Assembly Systems | |
| hajery.com | pacifichills.com | www.hillsdalefurniture.com | |
| McMenamins | tamerholding.com | Bay and Bay Transportation | |
| SVP Groupe | Petro Serve USA. | Arbor Contract Carpet Inc. | |
| SNOP GROUP | skinnertrans.com | summit-christian-academy.org | |
| Groupe LDLC | LIGHT CONVERSION | Bohlke International Airways | |
| ORNATOP SRL | Holiday Builders | Hellmann Worldwide Logistics | |
| MST LAWYERS | murrayscheese.com | MAX International Converters | |
| bsm.upf.edu | Spencer Gifts LLC | CANAR OFFICE SYSTEMS COMPANY | |
| Ktmtriallaw | apexbrasil.com.br | Faber Industrial Technologies | |
| KOBE BUSSAN | Shoring Engineers | Kohinoor International School | |
| TALIS GROUP | Jones Studio Inc. | The Technord industrial group | |
| Amoria Bond | Katz & Associates | The Adelaïde Group (Verlingue) | |
| agrofair.nl | CASINO WINNAVEGAS | Hawthorn The Community Pub Co. | |
| Tegravendas | travel-general.com | RI Analytical Laboratories Inc | |
| Sit'N Sleep | mainstreamdata.com | Newman, Newman & Kaufman, LLP. | |
| JCWHITE.COM | roemer-lueftung.de | Family Christian Health Center | |
| SPERONI SPA | kerrylogistics.com | Chattanooga Chamber of Commerce | |
| Maad McCann | Unita Locale Socio | Drake & Scull International PJSC | |
| lozzaspa.it | Mechanical Degrees | Pontificia Universidad Javeriana | |
| Evalueserve | MTMRECOGNITION.COM | MIM TECH ALFA SL (EXTEN EBER SL.) | |
| Lootah Group | KMG Prestige, Inc. | Western Heating & Air Conditioning | |
| promhotel.fr | kssenterprises.com | Institute For Systems And Robotics | |
| Kellersupply | continuumenergy.in | Remedial Construction Services L.P. | |
| inperium.org | tlpterminal.com.my | Premier Crane & Transportation, Inc. | |
| volkswind.de | Medical Pharmacies | Heritage Palms Professional Building | |
| ENPRECIS.COM | Comerio Ercole spa | TRI-COUNTY ELECTRIC COOPERATIVE, INC. | |
| masselin.com | Implant Concierge™ | Wine & Spirits Retail Marketing, Inc. | |
| Ncmutuallife | Better World Books | Digital Workplace Services & Solutions | |
| vipsmotel.it | van Eupen Logistik | New City Commercial Corporation (NCCC) | |
| ABC Seamless | Lincoln Industries | AL-SOOR FUEL MARKETING COMPANY K.S.C.P | |
| WEBER\_OTT AG | ConForm Automotive | SparJames Hall & CompanyHeron and Brearley | |
| piolax.co.th | pestbusters.com.sg | The Jewelry Exchange is the Nations #1 Diamond Store. | |
| dcashpro.com | Polysciences, Inc. | OFFICE OF THE NATIONAL BROADCASTING AND TELECOMMUNICATIONS COMMISSION | |
| ABE Courtage | Sadbhav Engineering |
表格2.受害组织/企业
0x05 系统安全防护数据分析
通过将2021年11月与12月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年12月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年12月弱口令攻击态势发现,RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但无大的变 动,整体呈下降态势。
0x06 勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
- Locked:属于TellYouThePass勒索病毒家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族本月主要的传播方式为:通 过Log4j2漏洞进行传播。
- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- 520:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为520而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒。
- Mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox而成为关键词。通过SQLGlobeImposter渠道进行传播。
- eking:同devos。
- mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。
- Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
- 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
- eight:同devos。
- Magniber: 被该家族加密的文件,后缀均被修改为随机字符串,其主要传播方式为:通过挂马网站进行传播。
- hauhitec:属于YourData,由于被加密文件后缀会被修改为hauhitec而成为关键词。通过“匿隐” 僵尸网络进行传播。
- LockBit:LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒。
## 解密大师
从解密大师本月解密数据看,解密量最大的是Sodinokibi,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被CryptoJoker家族加密的设备。
0x07 时间线
2022-01-14 360高级威胁研究分析中心发布通告
京公网安备 11000002002063号