2023年11月勒索软件流行态势分析
2023-12-07 18:23

报告编号:CERT-R-2023-572

报告来源:360高级威胁研究分析中心

报告作者:360高级威胁研究分析中心

更新日期:2023-12-07

0x01   简述

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全 大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。 2023年11月,全球新增的活跃勒索软件家族有MEOW LEAKS和Lambda,其中MEOW LEAKS家族采用多重勒索方式运营,而Lambda则采用较为传统的加密勒索方式运营。以下是本月值的关注的部分热点:

1. LockBit勒索软件肆虐网络,多家知名企业中招

2. Cerber新变种L0CK3D勒索软件借助漏洞多平台传播

3. TellYouThePass借助Web服务漏洞卷土重来

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

0x02   感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Phobos家族占比20%居首位,第二是占比18%的TellYouThePass,TargetCompany(Mallox)家族以12%位居第三。

其中位居第二的TellYouThePass本月再度利用web应用类漏洞进行大范围传播。

需要特别指出的是:虽然并未跻身Top10榜单,但一款名为Lambda的新兴勒索软件于本月首次被检测到在国内活跃。该家族主要针对组织/企业进行攻击,受害者可使用勒索提示信息中的暗网地址和ID,与黑客进行赎金谈判。该家族向受害组织/企业索要价值$2250的比特币(超过72小时将上涨至$8750),且仅支持比特币交易。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows Server 2012、Linux以及Windows 10。

Linux平台受害者激增且受多个活跃家族影响,需Linux管理员加强漏洞修复与安全管理。

2023年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型服务器系统占比远高于桌面系统,偶有NAS平台感染。服 务器系统占比超过桌面系统,主要是受到TellYouThePass活跃家族影响,该家族目前主要通过服务器部署的web应用漏洞传播。

0x03   勒索软件热点事件

LockBit勒索软件肆虐网络,多家知名企业中招

进入11月,当下主要活跃勒索软件家族之一的LockBit再度肆虐网络,并导致多家国内外知名企业中招。航空航天巨头波音公司也成为了 本轮攻击的受害者。波音自称正在调查一场影响其零部件和分销业务的网络攻击,之前LockBit勒索软件团伙便声称他们攻入了该公司的 网络系统并窃取到了数据。

波音公司表示此次事件并未影响其飞行安全,并称已经与执法和监管机构合作展开调查。目前,波音的服务网站已关闭,并在页面上展示消息称页面关停是由“技术问题”引起的。

虽然波音公司方面并未证实LockBit的说法,但该团伙在暗网搭建的数据泄露页面已删除了波音的相关数据。而LockBit团伙则在删除数据前表示:“如果波音公司不在最后期限内与团伙联系,便会泄露和发布大量敏感数据。”……“目前为了保护该公司数据,我们不会公布详细列表或样例,但在截止日期之后,我们便不会再有所保留。”

此外,国内某大型跨国公司在美的金融分支机构也受到了本轮LockBit攻击的影响。据英国《金融时报》报道:有市场参与者于11月9日透露中国某公司的金融服务部门遭到勒索软件攻击,这次攻击导致其金融服务公司代理的美国国债结算业务被阻断,一些股票交易也受到影响。另据交易消息人士称:包括对冲基金和资产管理公司在内的市场参与者,因为此次系统中断而被迫改变了交易途径。此次攻击对美国国债市场的流动性产生了一些影响,但并未损害市场的整体运作。以上消息也得到了证券业和金融市场协会的印证。 安全研究组织表示“该公司目前无法连接到DTCC/NSCC系统。该问题正影响其所有清算客户。”由于此次攻击,该公司无法代理其他市场 参与者进行美国国债结算交易。 有安全专家表示,这家中国公司的Citrix服务器在周一最后一次上线,并且未针对已被披露的NetScaler安全漏洞(又称“Citrix Bleed ”漏洞)进行修补,而该服务器现在已离线。 目前,该公司在国内的母公司回应称,遭受攻击的是其金融服务业务,该业务独立于集团主体业务之外。同时强调总公司及其他境内外关联机构的系统没有受到此次事件的影响,其纽约分部也没有受到影响。

Cerber新变种L0CK3D勒索软件借助漏洞多平台传播

近期,接到大量Linux系统用户反馈,电脑中的文件被勒索软件加密,被加密后的文件后缀均为.L0CK3D。经分析,这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence 数据中心和服务器中的不当授权漏洞进行传播(漏洞编号为CVE-2023-22518)。受该漏洞影响而遭到攻击的平台,覆盖了Linux与Windows等主流服务器操作系统。

根据360安全大脑捕获的攻击信息显示,攻击者会通过该Confluence漏洞调起cmd进程并创建powershell进程来加载攻击载荷。最终,从193.176.179.41服务器上下载Cerber勒索软件的主体功能文件,并将其保存到临时文件夹中,进而命名为svcPrvinit.exe。完成后,附加参数“-b 9”以达到静默执行该进程而不显示窗口的目的。

根据相关数据扫描,目前暴露于互联网中并运行有带漏洞的Confluence服务的设备约有20万台,但受到攻击的数量目前不详。根据以往经验推算被入侵的设备量级目前应该在数千台左右。而国内受影响情况总体来说目前并不严重。

TellYouThePass借助Web服务漏洞卷土重来

一直以来TellYouThePass勒索软件都是借助各类网络服务的漏洞入侵系统后实施勒索攻击。本月TellYouThePass再次借助Apache ActiveMQ服务的关键远程代码执行漏洞发动攻击入侵网络。被利用的漏洞编号为CVE-2023-46604,是由ActiveMQ可扩展开源消息代理中的一个严 重错误导致,该漏洞允许未经身份验证的攻击者在存在漏洞的服务器上执行任意Shell命令。

虽然Apache于10月27日便发布了安全更新来修复该漏洞,但依然有网络安全公司发现至少从10月10日起便有攻击者已经开始利用其作为0day漏洞部署远控类恶意软件。而在Apache发布了针对该漏洞的更新补丁后,又有安全机构发现攻击者利用该漏洞部署HelloKitty和TellYouThePass两款勒索软件来加密受害者设备,本轮漏洞攻击也带来了“自Log4Shell 漏洞被曝出后,TellYouThePass活跃量的再度激增”。

此外,TellYouThePass的这一波猛攻同时还利用了国内某安防管理平台的漏洞。其所涉及的漏洞基本可以锁定为该公司部分安防管理平台产品所带有的安全漏洞。这些漏洞均为任意文件上传漏洞。由于这些综合安防管理平台对上传文件接口校验不足,导致攻击者可以利用漏洞将恶意文件上传到平台,并最终获取服务权限或引发服务异常。不过这些漏洞已被该公司于2023年6月进行修复,并发布相关公告对其 用户进行安全提示。

0x04   黑客信息披露

以下是本月收集到的黑客邮箱信息:

datarestore@cock.lunyrgios@airmail.ccbackup20email@tutanota.com
7Rnn7AvDNk@onionmail.orgnyrgios@onionmail.orgxavax@tutanota.com
yourlovelysupp@mail2tor.comnergal@xmpp.jplealir@tutanota.com
yourlovelysupp@xmpp.jpshanova@mailfence.comkeishagrey994@outlook.com
drebtips@gmx.combanuda@skiff.comsn.tchnews.top@protonmail.me
findithere@disroot.orgbanuda@tuta.iofunny385@swisscows.email
Deep_in_Deep@tutanota.comdecryptprof@proton.mefunny385@proton.me
fileopen@onionmail.orgservice@helloworldtom.onlinerussellrspeck@seznam.cz
openfile@firemail.atjrpvwqnnud@onionmail.orgrussellrspeck@protonmail.com
Detpyrcne@Cyberfear.comTwoHearts911@protonmail.comMailz13MoraleS@proton.me
decryptors@cocaine.ninjarecoverymanager@cock.lidatasto100@tutanota.com
antidata@tuta.iopcabcd@countermail.comsnatch.vip@protonmail.com
teligent@onionmail.orgabcd-help@countermail.comunlock@rsv-box.com
ithelp07@yousheltered.comsupportpc@cock.liunlock@support-mult.com
ithelp07@securitymy.namegoodmen@cock.lirey14000707@gmail.com
rec_rans@aol.comgosupp@email.czgagnondani225@gmail.com
AbeKerluke@onionmail.orgauguste.royal@aol.comswikipedia@onionmail.org
ContessaWuckert@onionmail.orgemanuelscratcherd@aol.comxxx@mail2tor.com
v-society.official@onionmail.orgmesaezzoris@gmail.comkarasikharry25@gmail.com
readdecoding@outlook.combowen.bord@aol.comservicedigilogos@protonmail.com
retunbac@onionmail.orgstuart.wittie@aol.commanagersmaers@tutanota.com
adventures@onionmail.orgphobos_helper@xmpp.jppcsupport@skiff.com
adventures@airmail.ccstaff@vx-underground.orgpctalk01@tutanota.com
terofatsrv@proton.meveracrypt@foxmail.comspicy01@tuta.io
terofatsrv@tutanota.comWhitehelper@skiff.comrecoverydatas@bk.ru
Mesacorp_@outlook.comobamka@tuta.ioserverrecoveryhelp@gmail.com
3442516480@qq.comnikminch@bk.ruthenewskings@protonmail.com
1169309366@qq.comblackout@cumallover.medatasecurity1@tutanota.com
elvisp@techmail.inforhysidaeverywhere@onionmail.orgdatasecurity1@tutanota.com
elvisp@cyberfear.comrhysidaofficial@onionmail.orgcoca2024cola@zohomail.eu
liam_bernell@zohomail.eurahmud1954@cock.emailcoca2023cola@libertymail.net
liam.bernell@onionmail.orgbackups@airmail.cc

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有470个组织/企业遭遇勒索攻击,其中3个中国组织/企业在本月遭遇了双重勒索/多重勒索。另有12个组织/企业未被标明,因此不再以下表格中。

Rudolf GmbH & Rudolf Venture Chemicals IncKwik Industries, Inc.Ackerman-Estvold
Bauwerk Boen GroupHAESUNG DS CO LtdMeindl
Covenant CareATC SAConditioned Air
DePauw UniversityWellLife Network Inc.Citron WorkSpaces
andersonandjones.comedc.dkInclinator
Science History InstituteSelect Education GroupCrown Supply Co
Verdecoravillanuevadelaserena.esfawry.com
ChetuConsilium staffing llcamberhillgroup.com
AQIPAhsksgreenhalgh.co.ukcalifanocarrelli.it
New River Community Technical Collegekrblaw.comMichael Garron Hospital
jacobsfarmdelcabo.comChung Hwa Chemical Industrial WorksOrion Township Public Library
skalar.comSUMMIT VETERINARY PHARMACEUTICALS LIMITEDsheehyware.com
Lydall, Inc.Informist Mediafoley.k12.mn.us
Bergeron LLCplanethomelending.comAvianor Group
REV Engineeringcommunitydentalme.orgOE Federal Credit Union
ALPS Ltduchlogistics.co.ukgitiusa.com
Alpuracitycontainer.dkallenovery.com
TelefloraFEAM MaintenanceNeoDomos
Great Valley School DistrictthewalkerschoolBakrie Group & Bakrie Sumatera Plantations
masterk.comgoodhopeholdings.comIndah Water Konsortium
Servicio MóvilEpstein LawTruck Bodies & Equipment International
King Edward VII's HospitalAdmilla ELAPwww.advimg.com
tcw.comToyota Financialwww.adventhealth.com
Incisive Mediaadyne.comwww.srmcfl.com
GOLDMUNDowensgroup.ukBioPower Sustainable Energy Corporation
Wild Republicchicagotrading.comcozwolle.nl
Groupe Apex-IsastDecatur Independent School DistrictCertified Mortgage Planners
Leezer AgencyGuardian Alarmh-tube.com
Cimbali National AccountsSCOLARI Srlnicecloud.nl
Fortiss LLCYamaha Motor Philippines,Inc.torrescpa.com
hi-schoolpharmacy.comCardinal MetalWorkstt-engineering.nl
nal.res.inADH Health Products IncBITZER
dawsongroup.ukEOStriflex.nl
New River Community & Technical CollegeTHK Co., Ltd.Park Ohio
ByfodSWISHSMILES.COMApollo Aerospace Components
Retailer Web Serviceskwhfreeze.fiSupply Technology
China Petrochemical DevelopmentGallagher Tire, Inc.secci.ca
SparexMODERNGRAB, S.A.acawtrustfunds.ca
Continental Shipping LineStorey Trucking Company, Inc.Hopewell Area School District
MooreCoAPREVYApanaya
AMERICAN INSULATED GLASSLanificio Luigi Colombo S.p.A.prime-art
Elston-nationwideMERRILL Technologies Groupccdrc.pt
ThillensOntario PorkAceromex
SinglePoint OutsourcingParsons InvestmentsJapan Aviation Electronics Industry, Ltd.
First Housing DevelopmentMeridianLinksacksteinlaw.com
JD Sprinter Holdings 2010 SLPremise HealthEFU Life Assurance
Odalys VacancesTrademark Propertygood-lawyer.com
Axiom Construction & ConsultingNomotkbrlaw.com
Medi-MarketGlobal Technologies Racing Ltdeyephy.com
FYIdoctorsThompson CandyUnited Africa Group Ltd.
Giti TireRoad Scholar TransportMount St. Mary's Seminary
Wema Bank PLCKaDeWeGO! Handelsschool Aalst
Es SaadiWyatt Detention CenterSMH Group
North Texas Municipal Water District (US)Guntert & Zimmermanhowlandlaw.net
First Financial SecurityConSpareUTI Group
Bangkok UniversityGnome LandscapesGEOCOM
NC Central Universitymaytec.deMultiMasters
Yanfengcmcsheetmetal.comconcretevalue.com
Law Offices of John E Hillrekord.dePower Broker (Zycomp Systems)
Fischione Instruments Inc.boulangerieauger.comComfloresta
stsaviationgroup.comagromatic.deCurrax Pharmaceuticals
InstantWhipmk Technology GroupWeidmann & Associates
Vertex Resource GroupSheelaFoamUnimed Blumenau
carrellblanton.comNaftoportLeaguers
Huber Heights4set.esZon Beachside
New River Community & Technical CollegeNaftorCanadian Psychological Association
sillslegalGrupa PernCorsica-Ferries
Honey BirdetteNAFTOSERWISpenanshin
ZenithpharmaSARMATIAAssurius.be
Back RoadsSIARKOPOLunique-relations.at
Equaldexdiagnostechsletillet.btprms.com
Vanderbilt University Medical CenterExecuzenospedalecoq.it
Standard FilterLander County Convention & Tourism Authorityspringeroil.com
Katsky KorinsSoutheastern Orthopaedic Specialistsszutest.cz
AlJaber EngineeringCarespringstudio483.com
ALAB laboratoriaWarren General Hospitalbrlogistics.net
kenso.com.myshopbentley.combresselouhannaiseintercom.fr
Energy ChinaASM GLOBALnfcc.gov.my
TALENTUM Temporal SAStarltonandson.comsansasecurity.com
carriereindustrial.comSt. Lucie County Tax Collector’semiliacentrale.it
Albert, Righter & Tittmann architechts, inc.portadelaidefcduconind.com
ribolia.comNSEIT LIMITEDmat-antriebstechnik.de
nrtw.orgMoneris Solutionsnckb.com
preidlhof.itHomeland Inc.egco.com
Lincoln OfficeTCI Co., Ltd.benya.capital
Granger Medical Clinicmuellersystems.comglobal-value-web.com
LCA Consultoresmsim.deaseankorea.org
TJM PRODUCTS PTY. LTDPutzel Electrical Contractors Incinfosysbpm.com
Spectrum Solutions LLCMpr Liftstks.co.th
des-ae.comaegean.grGeoPoint Surveying
unidesign-jewel.comOwens GroupAPERS
Eckell Sparks Law FirmIDESA group, S.A. De C.V.tasl.co.th
officinaverdedesign.itDrilMacoabhmfg.com
Trylon TSF Inc.thewalkerschool.orgLivability
DM Civil Co.modafabrics.comunimed.coop.br
Ingo Money Incwombleco.comtranslink.se
Nicole Millerhotelemc2.comjewell.edu
Pro Metals LLCdigitaldruck-esser.deMedjet
Springfield Area Chamber of Commercecityofclarksville.comDeegenbergklinik
B+P Gerüstbau GmbHcarsonteam.comBuilders Hardware and Hollow Metal, Inc.
Fidelity National Financialhotel-ampere-paris.commicrotrain.net
McHale Landscape Designglynncounty.orglabor force Inc
Custom Engineering & Fabrication, Inc.plati.itBankofceylon.co.uk
AlspecPricesmartAgile Display Solutions
IQ Supply Solutionsroth-werkzeugbau.deJDRM Engineering
NESPOLI GROUPheinrichseegers.deCraft-Maid
Community Hospitalvital.co.zaHilyard's
therobisongroup.comcreatz3d.sgNorth Dakota Grain Inspection Services
merz-elektro.deloiret.frGsp Components
art-eco.itaten.comRicardo
ds-granit.frgattoplaters.comBry-Air
APVL ingénieriesynnex-grp.combindagroup.com
Cold Car Spaquifatex.comshimano.com
La Contabile SpaPAR Group Colafase.cl
DMC LuxembourgMHM HealthHENRY SCHEIN
Hills Legal Group Ltdestes-express.comContact Cottrell and McCullough
Brown's Bay Packing CompanyDragos Inc.psmicorp.com
Hahn and Clay, Inc.planning.orgimancorp.es
Imperiali AGfloortex.comAF Supply
floydskerenlaw.comBartec Top Holding GmbHaniel.fr
bnpmedia.comayakitchens.comGroupe Faubourg
Crystal Lake Health Centerbrowardfactory.combolides.eu
Verhelstboslogistics.euserenicar.fr
Petersen Health CareMariposa Landscapes, IncHAL Allergy
Paul Stuartmorningstarco.comR N Wooler & Co Ltd
martinique.noAzienda Ospedaliera Universitaria Integrata di VeronaSchwob AG
phihydraulics.comaei.ccBluewater Health
qautomotive.com.auYale ApplianceHôtel-Dieu Grace Healthcare
St Edmund's College & Prep SchoolSinotech Group TaiwanChatham-Kent Health
helifrusa.comAction Santé TravailErie Shores HealthCare
Plastic Molding Technology Inc.Garr Silpe, P.C.Windsor Regional Hospital
Enware Australia Pty LtdEzi Floor Productsdegregoris.com
Rc Moore IncRudolf Venture Chemical Inckitprofs.com
sabre.co.ukMagsaysay Maritimeimprex.es
Hampton Newport News CSBBattle Motors (CraneCarrier, CCC)vitaresearch.com
nybravestfcu.orgSALUS Controlssanmiguel.iph
agrovi.dkgotocfr.comsteelofcarolina.com
arenaproducts.comAutocommerceraumberg-gumpenstein.at
etude-villa.frCity Furniture HireDetroit Symphony Orchestra
brownintegratedlogistics.comKoh BrothersSoftware Systems
British LibraryCogdell Memorial HospitalHawkeye Area Community Action Program, Inc
Tackle WestPilot Thomas Logisticssummithealth.com
U.L. COLEMAN COMPANIESSimons Petroleumgannons.co.uk
Autonomous FlightMaxum Petroleumgsp.com.br
The DMCggarabia.comTANATEX Chemicals
onyourmark.orgJeffcoat Mechanical Services IncTown of Lowa
nealbrothers.co.ukScheidt GmbHTraxall France
generalrefrig.comIngeniería FULCRUMArmstrong Consultants
PruittHealthTXWES.EDUJAI A/S
ajcfood.comIdentification ProductsSchöler Fördertechnik AG
CENTRE D'AUTO P.R.N. SALABERRY INM.R. WilliamsVinovalie
McCray & WithrowDESIGNA VerkehrsleittechnikSWEETLAKE LAND & OIL CO INC
Metro MPLSThe Supply Room Companies

表格2. 受害组织/企业

0x05   系统安全防护数据分析

360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows 10。

对2023年11月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2023年11月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

0x06   勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- locked1: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、 系统漏洞进行传播。

- locked: 同locked1。

- faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- mkp: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。 主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族也曾通过匿影僵尸网 络进行传播。

- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- eking:同faust。

- mallab:同mallox。

- halo:同360。

0x07   解密大师

从解密大师本月解密数据看,解密量最大的是Loki,其次是OpenMeV2。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

0x08   时间线

2023年12月07日 360高级威胁研究分析中心发布通告