2023年7月勒索软件流行态势分析
2023-08-04 17:26

报告编号:CERT-R-2023-325

报告来源:360CERT

报告作者:360CERT

更新日期:2023-08-04

0x01   简述

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2023年7月,全球新增的活跃勒索软件家族有RA GROUP、Cactus、Rancoz等家族。其中RA GROUP是本月开始活跃的双重勒索软件,该勒索 软件团伙最初出现于2023年4月。当时他们在暗网上推出了一个数据泄露网站,发布受害者的详细信息和被盗数据,采用了流行的“双重 勒索”策略。勒索页面于 2023 年4月22日上线,4 月27 日发布了第一批受害组织,包括样本文件、被盗内容类型的描述以及被盗数据的链接。

以下是本月值的关注的部分热点:

1. 雅诗兰黛集团遭到两个勒索软件团伙的攻击

2. Clop团伙利用MOVEit漏洞发动的勒索攻击已赚取超过7500万美元

3. ALPHV勒索软件在其数据泄露网站中加入了获取泄露数据的API

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

0x02   感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比24.58%居首位,并列第二的是占比同为11.86%的TargetCompany(Mallox)与BeijingCrypt勒索病毒家族。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。

2023年7月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型占比基本相当。

0x03   勒索软件热点事件

雅诗兰黛集团遭到两个勒索软件团伙的攻击

两款勒索软件ALPHV/BlackCat和Clop均在其数据泄露网站上将美妆巨头雅诗兰黛列为攻击目标。而在发给公司的勒索信息中,BlackCat团伙嘲笑了雅诗兰黛的安全措施并称它们的勒索工具仍存在于公司内部的网络上。

雅诗兰黛公司在7月18日提交给美国证券交易委员会(SEC)的文件中证实了其中一次攻击,称攻击者获得了其部分系统的访问权限并可能窃取了数据。但雅诗兰黛并没有提供有关该事件的太多细节,称公司已采取了积极行动并关闭了一些系统以防止攻击者在网络上的进一步扩张。

而Clop勒索软件团伙则似乎是利用了MOVEit Transfer平台的漏洞,获取了对该公司的访问权限。在Clop的数据泄露网站上,勒索团伙列 出了雅诗兰黛并附上了简单的信息:“该公司不关心其客户,它忽视了他们的安全!!!”同时注明团伙目前已拥有超过131GB的该公司 数据。BlackCat方面暗示,目前获取到的信息可能会影响客户、公司员工和供应商。

雅诗兰黛对BlackCat的威胁没有做出回应,这可能表示该公司不愿与攻击者进行任何谈判。而在其向SEC提交的文件中也表示,重点是“ 补救措施,包括恢复受影响的系统和服务的努力”,并且“该事件已经导致并且预计将继续对公司的部分业务运营造成干扰”。

Clop团伙利用MOVEit漏洞发动的勒索攻击已赚取超过7500万美元

Clop勒索软件团伙正在效仿ALPHV勒索软件团伙的勒索策略——创建专门针对特定受害者的信息披露网站,从而更方便地泄露数据并进一 步迫使受害者支付赎金。当此类勒索软件团伙攻击企业目标时,他们首先会从受害者的网络中窃取数据,之后再加密文件。这些被盗的数据会被用作双重勒索攻击的筹码——威胁受害者如果不支付赎金便会泄露其重要的机密数据。

勒索软件用于发布数据的站点通常位于Tor网络上,因为这可以让网站更难被关闭或被执法部门查获。然而,这种托管网站的方法对于勒 索软件团伙来说也有其自身的问题。因为需要专门的Tor浏览器才能访问此类网站,搜索引擎也不会收录此类数据,而且下载速度通常非 常慢。为了克服这些问题,ALPHV勒索软件团伙在去年引入了一种新的勒索策略,即创建ClearWeb(透明网站)来泄露窃取到的数据。Clearweb网站直接托管在公开的普通互联网上,而非Tor等匿名网络中。

而在本月中旬,安全人员发现Clop勒索软件团伙也开始创建自己的ClearWeb用来公布他们本轮通过MOVEit Transfer漏洞攻击所盗窃到的 数据。攻击者创建的第一个网站是为商业咨询公司普华永道(PWC)创建的,并将该公司的被盗数据打包成了4个Zip压缩包发布在了该网 站上。而这之后不久,攻击者还为Aon、EY(安永)、Kirkland和TD Ameritrade等公司创建了网站。

ALPHV勒索软件在其数据泄露网站中加入了获取泄露数据的API

ALPHV勒索软件团伙(又名BlackCat)正尝试通过为其数据泄漏网站提供API来提高公众对其公布数据的访问便利性,从而向受害者施加更大压力来迫使其支付赎金。在此之前,该团伙对雅诗兰黛发起了攻击,但就目前的公开信息来看,这家美容公司完全无视了攻击者的赎金要求。

7月下旬,多名安全研究人员发现ALPHV/BlackCat的数据泄露网站添加了一个新页面——其中包含其最新公布的API及使用说明。API(应 用程序编程接口)通常用于根据商定的定义和协议实现两个软件组件之间的通信。而本次勒索软件团伙发布的API将有助于公众通过程序 自动其网站发布的关于最新受害者的各种信息。此外,该团伙还提供了一份用Python编写的爬虫代码以帮助检索数据泄露网站的最新信息。尽管该团伙没有解释为何要发布这些API,但据推测原因之一可能是由于愿意支付勒索赎金的受害者越来越少。

0x04   黑客信息披露

以下是本月收集到的黑客邮箱信息:

walterwhite@onionmail.orgkallit3rmux@gmail.comlixcalisto@onionmail.org
casual2@test.comdr.resetfile@gmail.comcalixcalisto@tutanota.com
777backup@tutanota.comunknownsupport@mailfence.comzitenmax@rambler.ua
ithelp10@securitymy.nameUnknownsup@tutanota.comcrypter1help@cyberfear.com
ithelp10@yousheltered.comxxback@keemail.meArdimontechnologies@gmail.com
ithelp01@yousheltered.comdarkusmbackup@protonmail.comrdphelp@tutanota.com
consert1777@tuta.ioderitim@proton.merdphelp@cock.li
myers@airmail.ccnury_espitia@tuta.iobrenda_matthews_1976@protonmail.com
andrez.vegaz@zohomail.comblack_pirates@zohomail.comjosh.carinoso83@protonmail.com
rsamanager@tuta.iox8154207@gmail.comsudorocky@tutanota.com
bkpsvr@email.tgdecdata@tutanota.comsudorocky@protonmail.com
vulcanteam@cock.lidecdata@msgsafe.iosirattacker@mailfence.com
vulcanteam@airmail.ccbob1997marley@onionmail.orgsirattacker@proton.me
steloj@mailfence.comhelper@cyberfear.comergsdhu@tutanota.com
steloj@rbx.runfranklin1328@gmx.comdodocryptomail@proton.me
quvn5llxkk@mailfence.comprotec5@tutanota.comtadora982928@mail.com
JnSeYvZw34@onionmail.orgcamry2020@aol.cominformant3345@protonmail.com
Q6uBdWWuu4@proton.meb_@mail2tor.comsecurity_ss123@tutanota.com
Hw2k0SZdxa@msgsafe.iob_@mail2tor.comsecurityss@cock.li
2020host2021@tutanota.comgeerban@email.tgcheese47@cock.li
master1restore@cock.lidoctor.encrypted@onionmail.orgcheese47@tutanota.com
candice.wood@post.cztools.encrypted@onionmail.orgBlack.Berserk@onionmail.org
candice.wood@swisscows.emailqweasd@toke.comBlack.Berserk@skiff.com
jerd@420blaze.itqweasdzxc@toke.comunidbenmykn@gmx.com
jred@keemail.mestopproblema@proton.metianihokeem66@gmx.com
ronrivest@airmail.ccstopproblema@tutamail.combackmydata@bk.ru
rajah@airmail.ccryuksupport@yahooweb.cobackmydata@outlookpro.net
DevicData@tutanota.comdectokyo@onionmail.orgpatchworkapt@msgden.net
dopingen@rambler.ruPatchWorkApt@tutanota.comdopingen@rambler.ua

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有471个组织/企业遭遇勒索攻击,其中包含中国2个组织/企业在本月遭遇了双重勒索/多重勒索。其中有3个组织/企业未被标明 ,因此不再以下表格中。

Great Opportunity to monetize your corporate accessnbcc.orgobrelli.it
paretophone.comAnnouncement: Batesville Tool & Die, Inc will be leaked in 3 Dayswww.garac.com
fushimitsu.comhydrex.co.uktxmplant.co.uk
westoaksschool.co.ukllombart.deTELNET Redes Inteligentes S.A.
Retail Information SystemsAce Micromatic GroupSt Landry Parish School Board
All States Ag Partstwv-staderland.deAlinabal
One Health SolutionsVillage Church of BarringtonModern Eyez
AT&SMuncy HomesAshley HomeStore
AxityESMODFrost & Sullivan
Chu De RennesCMC MarineDekko Window Systems
Regional Family MedicineRouzbeh Educational ComplexMcAlester Regional Health Center
INSULCANA CONTRACTING LTDHandi QuilterMorehead State University (MSU)
Offutt NordMACOM.COMKALEPW.COM
DATAENGINE.EUSAUL.ORG.UKCCED.COM.OM
VIRGINPULSE.COMACLARA.COMQUARK.COM
INFINIGATE.CH (INFINIGATE.CO.UK)INFORMATICA.COMALOHACARE.ORG
SOFTTECH.NLALOGENT.COMCONVERGEONE.COM
AMERISAVE.COMKELLYSERVICES.COMHUBBELL.COM
ALEKTUM.COMHOERMANN-GRUPPE.COMSALELYTICS.COM
FLUTTER.COMENTERPRISEBANKING.COMMECHANICSBANK.COM
TRICOPRODUCTS.COMJONESLANGLASALLE.COMARISTOCRAT.COM
ADARESEC.COMTTIGROUP.COMCHUCKECHEESE.COM
DELOITTE.COMSIU.EDUWSP.COM
SAFILOGROUP.COMSLEEPCOUNTRY.CAPLANETHOMELENDING.COM
TOYOTA-BOSHOKU.BEDDCOS.COMTHEVITALITYGROUP.COM
METROBANK.COM.PHGENESISENERGY.COMGNC.COM
INFORMA.COMEMSBILLING.COMAWAZE.COM
PAYBACK.GROUPscmh.org.twCF Assicurazioni
www.beijer.eswww.ville-chevilly-larue.frwww.addison-electronique.com
Globacom LimitedLumberton Independent School DistrictKovair Software
GARRETTMOTION.COMSMURFITKAPPA.COMMCW.EDU
GOALSOLUTIONS.COMGENSLER.COMHINDUJAGROUP.COM
FANUCAMERICA.COMCHEVRONFCU.ORGFERRING.COM
SBMOFFSHORE.COMCAP.ORGQBITS.CH
MESVISION.COMPBINFO.COMHALLMARKCHANNEL.COM
MAXIMUS.COMARROW.COMAJOOMAL.COM
DRYDOCKS.GOV.AEHILLROM.COMPRO2COL.COM
ENCOREANYWHERE.COMAMF.SEORAU.ORG
AGILYSYSAP.COMDecimal Point Analytics PvtSpectra Industrial
Miranda BrokerageInstitut Mensalus S.L.Kersey & Co
FANSIPAN CONSTRUCTION CONSULTANTS CO.,LTDDV8 Technology GroupCROWD
BoomDataEDVMSrampi.com
Becht EngineeringThe Sinbad Clubridgeviewindustries.com
NEBRASKALANDRepublic SteelIT Luggage
John Mulder Heating & Air ConditioningScharco ElektronikPrimoteq
Grupo MHFERRE BARNIEDOBionPharma
El MilagroSBMDYNAMITE
Charles & Colvard Ltd.IRIS Informatiqueebpsupply.com
ICT-CollegeEJM Engineered SystemsBluelinea
The Big Life groupStephen F. Austin State UniversityExbon Development, Inc
THE COLLINS LAW FIRMJackson Township AdministrationJackson Township Police Department
championgse.comPechexportCvlan
Sun Pain ManagementCafe BrittSamson Electric
Chan and AssociatesSiden & AssociatesHungarian Investment Promotion Agency
BartlettCaterham High SchoolAzimut.it
CORDELLHirsch Bedner AssociatesYamaha Canada Music Ltd
Alberto Couto AlvesAgoravitaAmerican Meteorological Society
Biocair InternationalConfartigianato Federimpresa FCScanSource
CWSHawa Sliding SolutionsImagination
ItalkraftMichigan Production MachiningNovobit
ArtemideReyes Automotive GroupRotomail Italia SpA
Phoenix TaxisWasserstromAmericold
Bright Future Electric, LLCwww.coriniumcarpets.co.ukCampbell Killin Brittan & Ray LLC
Entegracityserve-mech.co.ukHightway Care
Magnolia SteelNew Braunfels CardiologyKensington Publishing
Fernmoor HomesECS Technology GroupAnesco Ltd
Woodbine HospitalitySea Force IXCentennial Management
Braintree Public SchoolsBlount Fine FoodsCollins Aerospace (An RTX Business)
obeidpartners.comDMA.USVENTIVTECH.COM
BLUEFIN.COMESTEELAUDER.COMOFCOM.ORG.UK
ALLEGIANTAIR.COMITT.COMSMC3.COM
COMREG.IEJONASFITNESS.COMAA.COM
EA SMITHVOGThe Estée Lauder Companies
DTD ExpressKUITSTampa general hospital
www.acomen.frwww.girardini.itHealth Springs Medical Center
Nini Collection Ltd (Nini's Jewels)cotrelec.comberg-life.com
lfcaire.orgsuninsurance.com.fjope.com.na
dixiesfed.comflexity.comacademia21.com
CashCall, Inc.Lenders Choice EscrowSettleIt, Inc.
The Loan ExchangeOcean Breeze RanchServicing Solutions
RCI.COMSIERRAWIRELESS.COMCOMPUCOM.COM
CFINS.COMDESMI.COMFMGL.COM.AU
VALMET.COMVITESCO-TECHNOLOGIES.COMTJX.COM
Seasia InfotechNingbo Joyson Electronic Corp.Wasserstrom
Senior SistemasCavanaugh, Biggs & Lemon P.A., Attorneys at Lawhopetech.com
johnreilly.co.ukCitta NuovaVenture Drilling Supply
THENOTABLEFRONTIER.COMGRACE.COMPRGX.COM
HESS.COMMYCWT.COMSCHNABEL-ENG.COM
ARIETISHEALTH.COMPINNACLETPA.COMREPSOLSINOPECUK.COM
JTI.COMselmi.com.brBaumschlager Hutter Partners
confido.aeconfido.euequmedia.es
magnumphotos.comJasper Picture Companyco.langlade.wi.us
hgc.com.hkprovince.namur.beenergym.co.il
konrad-mr.degreatlakesmbpm.comHighland Health Systems
Superloop ISPChin Hin GroupMeteksan Defence Industry
www.jordanairmotive.comwww.bsdc.ac.ukCPA Advisors Group
Info SalonsKenya Bureau Of StandardsVOSS.NET
UFCU.ORGYAKULT.COM.PHROCHESTER.EDU
SHUTTERFLY.COMDISCOVERY.COMASPENTECH.COM
MOTHERSON.COMPAYCOM.COMGerber Childrenswear LLC
Blackjewel L.L.C.TelepizzaThe Traffic Tech
Quikcard Solutions Inc.Jadranka GroupDental One Craigieburn
ANL PackagingBTUGRIPA.ORG
SLB.COMAMCTHEATRES.COMAINT.COM
JACKENTERTAINMENT.COMNASCO.COMTGIDIRECT.COM
HONEYWELL.COMCLEARESULT.COMRADIUSGS.COM
Ministry of Energy and Mines of CubaMinisterio de Cultura de la República de CubaMinistry of Foreign Trade and Foreign Investment of Cuba
affinityhealthservices.netHenock Constructioninnodisgroup.com
Divgi-TTSEastin Hotel Makkasan BangkokSMS-SME
Algeiba.comAmber CourtMaruchan Inc
Schmidt Salzman & Moran, LtdWright Moore DeHart Dupuis & HutchinsonBetter System Co.,Ltd
www.protactics.com.coBM GROUP POLYTEC S.p.A.Hollywood Forever
Ayuntamiento de Arganda City CouncilPolangloKIRWIN FRYDAY MEDCALF Lawyers LLP
ROBERT L BAYLESS PRODUCER LLCCabra Consulting LtdPesquera Diamante S.A.
Weitkamp · Hirsch and Kollegen Steuerberatungsgesellschaft mbHKansas medical center LLCDanbury Public Schools
Advanced Fiberglass IndustriesCitelis MobilityMotor Components, LLC
CONSOLENERGY.COMKALEAERO.COMAGILYSYS.COM
SCCU.COMARVATO.COMRITEAID.COM
PIONEERELECTRONICS.COMBAM.COM.GTTOMTOM.COM
EMERSON.COMPropper InternationalNipun Consultancy
mamboafricaadventureA123 SystemsLivaNova
MicroPort Scientificpanoramaeyecare.comgis4.addison-il
RICOHACUMEN.COMSMA.DEVRM.DE
UMASSMED.EDUVISIONWARE.CAJHU.EDU
FMFCU.ORGJPRMP.COMWESTAT.COM
RADISSONHOTELSAMERICAS.COMCustomer ElationHamre Schumann Mueller & Larson HSML
Green DiamondBelize Electricity LimitedCROWE.COM
AUTOZONE.COMBCDTRAVEL.COMAMERICANNATIONAL.COM
USG.EDUCYTOMX.COMMARYKAY.COM
FISCDP.COMKERNAGENCY.COMUOFLHEALTH.ORG
L8SOLUTIONS.CO.UKTDAMERITRADE.COMleeindustries.com
roys.co.ukEvergreen Seamless Pipes & TubesMission Parks
Tracker de Colombia SASLane Valente IndustriesIndustrial Heat Transfer
DELARUE.COMENERGYTRANSFER.COMPAYCOR.COM
NETSCOUT.COMWOLTERSKLUWER.COMCADENCEBANK.COM
BANKWITHUNITED.COMNEWERATECH.COMLazer Tow
Star Island ResortIndiana DimensionLawer SpA
NST Attorneys at LawUniquifyGeneva Software
MUJI Europe Holdings LimitedBetty Lou'sCapacity LLC
Wesco EquipmentSafety NetworkCentex Personnel
Encore Pro StaffingCarvin SoftwareElla Insurance Brokerage
ATS Infrastructurechasc.orgcls-group.com
gacegypt.netsiegfried.com.mxbetalandservices.com
Pinnergyeyedoc.com.naBangladesh Krishi Bank
ASIC SolucionesTRANSPERFECT.COMQUORUMFCU.ORG
MERATIVE.COMNORGREN.COMCIENA.COM
KYBURZDRUCK.CHUNITEDREGIONAL.ORGTDECU.ORG
BRADYID.COMBARRICK.COMAvalign Technologies
Portugal Scotturbguestgroup.com.auMurphy
recamlaser.comeurosupport.commitr.com
DURR.COMHoosier Equipment companyYunus Emre Institute Turkey
Peroni PompeDVA - DVision ArchitectureJefferson County Health Center
Townsquare Media Inconeexchangecorp.comsnjb.net
Duncan Disability LawMutuelle LMPLuna Hotels & Resorts
Brett Martinblowtherm.itGuatemala Military Intelligence Directorate
ALTARGRUPAtherfield Medical ServiceUcamco Belgium

表格2. 受害组织/企业

0x05   系统安全防护数据分析

360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows Server 2012。

对2023年7月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。

通过观察2023年7月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

0x06   勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- malox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

- faust:同devos。

- mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- halo:同360。

- gaqq:属于Stop勒索软件家族,由于该家族频繁变更加密文件后缀导致很少出现在top查询量中。从开始传播至今其传播渠道一直是通 过在破解软件网站上传激活工具、破解软件来诱导用户下载运行,且大部分网站均为国外网站。

- lockbit:属于LockBit勒索软件家族,因被加密文件后缀会被修改为lockbit而成为关键词。该家族的运营模式可以分为两种不同的方 式。第一种是无差别攻击,该方式会对全网发起数据库弱口令攻击或远程桌面弱口令攻击,一旦攻击成功,勒索软件将被投毒到受害者计算机中。在这种情况下,攻击者并不会窃取受害者的数据。第二种是针对性攻击,该方式主要针对大型企业,攻击者不仅会部署勒索软件,还会窃取企业重要的数据。如果受害组织或企业无法在规定时间内缴纳赎金,该团伙将会把数据发布到其数据泄露站点上,任何可以访问该网站的人都可以下载受害者的数据。

- elbie:同devos。

0x07   解密大师

从解密大师本月解密数据看,解密量最大 的仍是Coffee,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加 密的设备。

0x08   时间线

2023年08月04日 360高级威胁研究分析中心发布通告