2022年9月勒索病毒态势分析
2022-11-02 18:45

报告编号:B6-2022-110201

报告来源:360CERT

报告作者:360CERT

更新日期:2022-11-02

0x01   简述

勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑 针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2022年8月,全球新增的活跃勒索软件家族有: Ballacks、BlackBit、DoyUK、Royal、z6wkg、Sparta等家族。其中z6wkg与Sparta均为双 重勒索勒索软件家族;Ballacks勒索软件是VoidCrypt勒索软件家族的最新变种;Royal勒索软件虽然声称采用双重勒索模式运营,但尚未发现其拥有数据泄露站点,该家族是一个不招募附属机构的独立运作团体,通常勒索赎金价格在25万美元到200万美元之间。

以下是本月最值得关注热点:

1. Lockbit勒索软件编译器遭“愤怒的开发者”在线泄露

2. MSSQL服务器被TargetCompany勒索软件攻陷

3. Cisco确认阎罗王勒索软件泄露了其被盗的公司数据

基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

0x02   感染数据分析

针对本月勒索软件受害者所中勒索软件家族进行统计,TellYouThePass家族占比19.95%居首位,其次是占比14.89%的phobos,TargetCompany(Mallox)家族以12.77%位居第三。

TellYouThePass虽然在本月没有继续大规模发起攻击,但是之前的中招反馈仍持续一段时间。

Phobos做为国内老牌勒索家族,流行热度一直比较高,主要通过暴破远程桌面传播。

LockBit勒索软件因招募大量附属机构,因此其攻击目标广泛,在国内不止针对中大型企业发起双重勒索攻击,还会对小型企业发起纯勒 索攻击。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。

2022年9月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。

0x03   勒索软件疫情分析

Lockbit勒索软件编译器遭“愤怒的开发者”在线泄露

LockBit勒索软件遭到破坏,据称该团伙最新生成被心怀不满的内部开发人员泄露了。

今年6月,LockBit勒索软件发布了他们的3.0版加密器,代号为LockBit Black,目前已经经过了两个月的测试。

而该版本勒索加密器则承诺“让勒索软件再次伟大”。其中添加新的反分析功能、勒索软件漏洞赏金计划和新的勒索方法。

然而,目前有两个Twitter账号在Twitter上泄露了LockBit 3.0主程序的生成器。据称,泄密者是Lockbit勒索软件小组雇用的程序员,他们对Lockbit的领导层感到不满,于是决定泄露了该程序的生成器。

MSSQL服务器被TargetCompany勒索软件攻陷

研究人员称,在新一波TargetCompany(Mallox)勒索软件攻击中,易受攻击的Microsoft SQL服务器正成为攻击目标。

安全研究人员表示,TargetCompany(Mallox)是目前主流的勒索软件之一,该家族过去被称为“Mallox”,着是由于被其加密的文件会被添 加“.Mallox”作为新扩展名而得名。此外,该勒索软件也可能与二月份发现的“TargetCompany”勒索软件同族。

勒索软件感染始于被攻击机器上的MS-SQL主程序通过cmd.exe和powershell.exe命令行来下载.NET文件。这让攻击者可以利用有效载荷获 取其他恶意软件(包括加密器),生成并运行终止特定进程和服务的BAT文件。

接下来,勒索软件载荷将自己注入AppLaunch.exe——一个合法的Windows进程中,并尝试删除名为Raccine的开源勒索软件免疫注册表项。

此外,恶意软件会停用数据库恢复功能并终止数据库相关进程,使其内容可用于加密。

Cisco确认阎罗王勒索软件泄露了其被盗的公司数据

Cisco已证实,“阎罗王”勒索软件团伙昨天泄露的数据是其在5月的网络攻击中从该公司网络窃取的。但Cisco同时表示,泄漏不会改变该 事件对业务没有影响的初步评估。

此前,在八月份的一份报告中,Cisco曾承认黑客入侵了其一名员工的VPN帐户后导致其网络被“阎罗王”勒索软件破坏。但被盗数据均为来自员工Box文件夹的非敏感文件,并且在“阎罗王”勒索软件开始加密系统之前就已经遏制了攻击。

而“阎罗王”勒索软件方面则声称并非如此——但并没有提供任何明确的证据,只分享了一个屏幕截图来表现其对似乎是开发系统的平台具有访问权限。

0x04   黑客信息披露

以下是本月收集到的黑客邮箱信息:

vyndinostrov@morke.orgvyndinostrov@cock.liconsul.raskey@onioinmail.org
service@hellokittycat.onlinedateshell@protonmail.comtrueman@cock.li
jack.stress@keemail.meWriteme100@tuta.iokhgurwte@tutanota.com
regyhny@tutanota.comLordCracker2@aol.comKingMail7@cock.li
dateshell@protonmail.comdatarestorehelp@airmail.ccsupport@bestyourmail.ch
dino@rape.lolcomingback2022@cock.linewfact@rape.lol
regyhny@tutanota.comkhgurwte@tutanota.composhix@tfwno.gf
Ez.decrypt@msgsafe.iosamercin1@tuta.ioKalajaTomorr@ctemplar.com
KalajaTomorr@firemail.ccvyndinostrov@cock.livyndinostrov@morke.org
helprecovery@gnu.grkedrovak@tfwno.gflemordewn@gmail.com
helprecovery@gnu.grrdpmanager@onionmail.orgRandyJackson1961@gmx.com
pcrec@tuta.ioperettosup@proton.mequi_medicus@aol.com
hero77@cock.lideportdgrrg@outlook.comfinibutrile@tutanota.com
mssqlppt@tutanota.com08don_juan_1970689@mail.rupplit@protonmail.com
decryptydata@gmx.netzdarovachel@gmx.atcyberlock06@protonmail.com
biggylockerteam@yandex.comAstraRansomware@protonmail.comramilo2122@yandex.com
chinadecrypt@msgsafe.iodecryptydata@gmx.dedecryptydata2@gmx.net
lettoindago@tutanota.comdataabcdof@tutanota.comidemitsu122@cyberfear.com
helprequest@techmail.infointernationalassistance@tutanota.comreasonablehelp@outlook.com
uncrypt2022@outlook.comsendr@onionmail.orgsendr@tutanota.com
itsupport831@reddithub.comsupport007@mailfence.comhelp@inboxhub.net
cang.leen@mailfence.comcarbonayra@mailfence.comrecoverservice2@onionmail.org
alabacoman@tutanota.comalberttconner2021@protonmail.comAndryCooper1988@tutanota.com
CharlesSLewis1987@onionmail.orgDavidSchmidt1977@protonmail.comDorothyFBrennan1992@tutanota.com
dwaynehogan33@onionmail.orgElizabethAntone1961@protonmail.comEndryuRidus@tutanota.com
fionahammers1995@onionmail.orgJamesHoopkins1988@onionmail.orgjasonchow30@onionmail.org
JerseySmith1986@onionmail.orgKirklord1967@tutanota.comleonardred1989@protonmail.com
Leslydown1988@tutanota.comleticiaparkinson1983@onionmail.orgMarkHuntigton1977@tutanota.com
Mikedillov1986@onionmail.orgnoreywaterson1988@protonmail.comollivergreen1977@protonmail.com
richardbrunson1892@protonmail.comrickysmithson1975@protonmail.comVinceGilbert@tutanota.com
recoverservice3@onionmail.orgskynetwork@cock.liskynetwork@onionmail.org
skynetwork@tutanota.comanigma@cock.lianigma@tutanota.de

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有379个组织/企业遭遇勒索攻击,其中包含中国14个组织/企业在本月遭遇了双重勒索/多重勒索。

seaviewresortkhaolak.comkimed.plhriindia.com
aidsalabama.orgMansfield Independent School District (MISD)toyotaalabang.com.ph
Tanzania Telecommunications CompanyBay CraneDeerberg
Los Angeles Unified School DistrictAbdullah Al-Othaim MarketsRick Shipman Construction
Stages Pediatric Carebew.co.thsamyang.com
Karl Gemünden GmbH & Co. KGHealth Care Solutions GroupEvo exhibits
DLS MotorsCosmopoint CollegeSouthwell, Inc.
hdhopwood.comvitalityhp.netMinisterio de Relaciones Exteriores
TAKAO-UKGFGTSMTU
JANMARINIHendry Regional Medical CenterGinspectionservices
Etna GmbHAssociated Bagmelorita.com
Nihonsakari Co. , Ltdyehu.orgmulticareinc.com
bliss-d.comSTADLERAES Clean Technology
Samuel Ryder AcademyKOLLITSCHmdmprint.ru
smartschoiceit.comcroninfotek.comrakinformatics.com
ControlSolarCraftHughes Systems Industrial
ifwglobal.comuide.edu.ecyourprivateitaly.com
webnordeste.com.bridtech.com.twscrd.ca
thorguard.comcongerbuilt.comrbroof.com
parrottsims.comCornerstone Insurance GroupLonghorn Investments
GSE - Gestore Servizi EnergeticiBoyes Turner LLPGRUPO COPISA
School of Oriental African StudiesMinisterio de Economía Argentinawww.bbadmin.com
BHARBERTatlantisholidaysarchimages inc
ALTlTUDE AEROSPACE INCFonderia BoccacciZelena Laguna Hotel
LEGAZPIBANKMCCLEAN16lawtrade
Autosoft companyBIOPLANDyatech
DGLEGALemscrmMIDAS
AURIS KONINKLIJKE AURIS GROEPfidelityunited.aegoldcreekfoods
exheat.comhwrpc.comSalmon Software
tristatefabricators_incAdmiral MerchantsForeman Watson Land Title, LLC.
Mainstream Global Inc.CORNERSTONESierra College
Sigmund Softwareelementnor.noCARITAS
okibrasil.comducanh.compsi.com.tw
mts.mektec.comfranckbeun.frCarmen Copper Corporation
Zeus Scientific IncNew York Racing Associationhering-heinz.de
South Pacific IncBiggest NewsTOR VERGATA
Laddawn Inc.software-line.itequatortrustees.com
scottobrothers.comkaffeeberlin.comces-conditionneur.fr
American International IndustryHT Ports Services Pte Ltd (HTPS)Emtec Inc
asecna.orgCounty Suffolk and contractorsmidlandplastics.com
dss-cz.comBell Technical SolutionsNextlabs
nakamuracorp.co.jpFONTAINEBLEAUTri-Supply
Tritenaliat.groupmedical69.com
d-securite.comsouthamptoncounty.orgNorthwest University
cnachile.clindependence.com.comakler.com.ve
markherder.cominspecshawaii.comDYNAM JAPAN HOLDINGS CO., LTD
MR. WONDERFULAUTO88quintal.com.co
cityofbartlett.orgaipcenergy.comkcgreenholdings.com
maisonloisy.frmaleosante.frmj-donnais.fr
pays-colombey-sudtoulois.frsarassure.frsva-avignon.concession-landrover.fr
ville-faulquemont.frcultivar.netcamdomain.com
kwp.atartdis.frcmb-artimmo.com
daune.orgeuro-modules.freuromip.fr
jt-engineering.comlagence33.comidealtridon.com
taxprepandmore.commackenzie-law.co.ukthezincgroup.com
Daydream Island Resort & Spabakkerheftrucks.comgroupg4.com
Font PackagingFerrer&OjedaTema Litoclean Group
Grupo GalileaFundació Sant Francesc d'AssísINDIBA
RIVISARABATCOMSA CORPORATION
SERCOMORDEREXPRESS.COM.MXLOESCHGROUP.DE
PCSupportFiveninefiveElmbrook Schools
The Checker Transportation GroupHayatOakBend Medical
omegaservices.com.aufrigobandeira.comch-sf.fr
Our Lady of Lake UniversityPaul Smiths Collegehamiota.com
aralaw.crcanadiansolar.comTIB Development Bank
Davin Industries LtdXybionIpca Laboratories
connectvitypoint.commarugokiso.co.jplacalera.pe
kisan.com.trdiakonissen-riehen.chkortrijkserijschool.be
Ministry of National EducationUVTPhu Hung
BNDmidwayStratford University
MGSMFGEMEPLATINGSTEVENG
SHImarcopolohotels.comhunters.com
California-Oregon Telecommunications CompanyTeladanPrima Argo GroupSunland Asphalt And Construction
crownuniform.commetaage.com.twmisumi.com.tw
gavresorts.com.brlafondasantafe.comtapcocu.org
monnensenpartners.bepdh.com.twsbr-zwiesel.de
finnco.euADTRANSPORTcleantech
sportscity.com.twVANICREAMkamut.com
www3.comune.gorizia.itdivultec.ptcomune-italia.it
eneva.com.brTruckslogicpeakinternational.com
hmets.comfloresfunza.comSpeed-Buster
Baer'sInfinitely VirtualTransform Data Into Insight
The BrigantineSCAD EDUFundo Nacional de Desenvolvimento da Educação
Eurocellzgoda.adzentrumdreilinden.ch
ymcawashdc.orgwsretailers.comworldnetlogistics.com
workcrossing.itwolfbergalvarez.corpwhse.iibg.ca
vvrmc.orgunified-it.comtojin.com.tw
terminal.comteleprocorp.com.mxstocker.ora
standard-furniture.bastairs.rintal.comspherechina.com
soenen-golfkarton.lansmjcorp.netsmd.shimamura.gr.jp
sheraton.marriott.comsefnet.rjsecuredoffers.com
sbc.comsalumificiovenegoni.itroteritaly.com
rosslare.com.hk2roma.enitreust.ads
ptilhk.comprefimetal.intprairie.prairiesedgecasino.com
poultry.locplumascounty.countyofplumas.comorchestra.net
optimissa.intoopt.comoffice.athesis.org
nwtf-ho.orgnorthernins.camypolyplastics.com
murrays.cheese.comms-hosted-tse.privmoci.int
mkbrokers.finmfidallas.commeritservices.org
medman.commalle.clozdloop.comlogistia.net
litto.lanlapostermobile.frknx.lan
kmalawfirm.comjps.crjanspec.com
it-root.comismea.intintranet.hoffsuemmer.de
intern.liceubarcelona.comikkgroup.comifis.com.sg
hxlife.comhsvgroup.com.vnhotelluzeiros.fla.br
honsha.hanshin-dp.co.jpholding.lochlc.bike
hkdm1.wikhinaka.corpgruppoathesis.it
gruges.com.mxgov.oak-brook.orggla.net
giovanardi.itgenpl.comfusesandliberty.com
fupite.com.twfsd.comfocusadventure.com
fmc.aretggs.netequisfg.efg
edtec.bizedgoldner.comdsoler.soler.com
domain.itsoft.comdmn-vitalprev.netdgimali.org
danubius-exim.rocrich.loccoteg-toulouse.dom
corp.kuwaitairways.comcorp.keypoint.netcorp.fehrs.com
comune.crispiano.ta.itcodisel.com.mxcobbengr.com
christianvillage.orgcheyenne.k12.ok.usceratube.net
cepi.intcczstattonequities.comcastro.net
cachibi.com.cobredinprat.frbredinprat.com
boxmarche.itbillycraiginsurance.combbst.clp
barcelona.jbc.esauras.com.twats.lab
arcelor-sztg.hualhajery.com.kwalaliengineering.net
ah-babelsberg.netad.jamailconstruction.comad.bennetts.com.au
Instituto Agrario DominicanoMoon Area School DistrictAvante Ultrasound
An Japan Game Halls OperatorMoscone CenterMonarch
Alan Smith PoolsMidea GroupGHT CORP
hspatent.com

表格2. 受害组织/企业

0x05   系统安全防护数据分析

360系统安全产品,针对服务器进行全量下发系系统安全防护功能,针对非服务器版本的系统仅在发现被攻击时才下发防护。在本月被攻 击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。

对2022年9月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。

通过观察2022年9月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

0x06   勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

- locked:属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系 统漏洞进行传播。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- fargo3:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为fargo3。该家族传播渠道有多个,包括匿隐僵尸 网络、横向渗透以及数据库弱口令爆破和远程桌面弱口令爆破。

- eking:属于phobos勒索软件家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族的主要传播方式为:通过暴力破解远程 桌面口令成功后手动投毒。

- mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。

- Lockbit:属于LockBit勒索软件家族,早期被该家族加密的文件扩展名会被修改为lockbit,但从LockBit3.0版本后,扩展名采用随机字符串,同时其文件名也将被修改。由于LockBit家族是一个非常庞大的团伙,招募了大量附属机构, 因此其传播方式通常无固定的渠道,不仅限于远程桌面爆破、数据库弱口令攻击、漏洞利用、钓鱼邮件等均可作为该家族的传播渠道。

- elbie: 同eking。

- world2022decoding:属于Honest勒索软件家族,由于被加密文件后缀会被修改为world2022decoding而成为关键词。该家族的主要传播 方式为:通过暴力破解远程桌面口令成功后手动投毒。

- aamv:属于Stop勒索软件家族,由于被加密文件后缀会被修改为aamv而成为关键词。该家族主要传播方式为:通过伪装成破解软件或者激活攻击,诱导用户下载运行。

0x07   解密大师

从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被CryptoJoker家族加密的设备。

0x08   时间线

2022-11-02 360高级威胁研究分析中心发布通告