2022年3月勒索病毒态势分析
2022-04-12 17:53

报告编号:B6-2022-041201

报告来源:360CERT

报告作者:360CERT

更新日期:2022-04-12

0x01   感染数据分析

针对本月勒索病毒受害者所中勒索病毒家族进行统计,Mallox(TargetCompany)家族占比15.52%居首位,其次是占比13.53%的phobos,TellYouThePass家族以12.42%位居第三。

从2月份开始Mallox(TargetCompany)将内网横向渗透加入到攻击模式中,其感染量开始不断上升,在本月跃升到TOP 1。

TellYouThePass家族因本月多次间断性发起攻击,其感染量相比以往也有大幅度的上涨。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows 7、以及Windows Server 2012。

2022年3月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。

0x02   勒索病毒疫情分析

近期多次活跃的TellYouThePass勒索病毒家族

360安全大脑监测到,从2022年2月底到3月,TellYouThePass间歇性发起过多次勒索攻击。本月该家族继续使用Log4j2发动攻击,同时还新增 了使用Spring boot漏洞和利用向日葵漏洞(CNVD-2022-10270 远程代码执行)的攻击。

TellYouThePass能够同时感染Windows和Linux操作系统,也使这个家族的危害大大增加,在下发攻击代码时,攻击者并不区分当前被攻击的操作系统。在本月,360安全大脑也监测到有多个Linux设备也被该家族攻陷。

双重勒索Cuba开始攻击国内用户

本月监测到多个国内用户遭遇Cuba勒索病毒攻击事件。Cuba勒索团伙又被称作UNC2596勒索团伙,最早出现于2019年,采用双重模式(加密被攻击设备的同时,也窃取有价值的数据作为勒索赎金的重要筹码)。其最为出名的攻击方式为与恶意软件的垃圾邮件运营商Hancitor合作针对企 业进行攻击,滥用Microsoft Exchange漏洞来收集数据、部署各种Webshell、远程访问木马(RAT)等恶意程序。其受害企业/组织有80%都来自 北美,其中美国最为严重,至少有49个组织/企业遭遇该家族攻击。而该团伙则从这些受害者身上谋利近4400万美元。通过跟踪发现,该家族 并未将所有受害者名单全数发布到数据泄露网站中,因此可以推断其受害者数量远高于49个。

LAPSUS$频繁作案,天才少年被捕

Lapsus$是一个来自多个国家组合而成的数据勒索团伙,首次出现于2021年12月,曾对巴西卫生部发起勒索。近期该团伙又多次发起数据勒索 攻击,其成功攻击对象包括英伟达(NVIDIA)、三星、微软以及Okta等大型企业,还将Ubisoft、电信公司Vodafone和电子商务巨头Mercado作为攻击目标,发起攻击。

在本月末,已有7名与该团伙有关的人员(年龄在16岁至21岁之间,其中一名16岁人员来自英国牛津,是Lapsus$领导人之一,据信他从黑客活动中积累了 300 多个比特币——按今天的价值计算,约为 1300 万美元)被逮捕。

以下是近期该团伙发起的攻击中广受瞩目的案件:

- 2月26日,该组织宣称已盗取知名显卡厂商NVIDIA的服务器,并成功窃取了超过1TB的内部数据。但不久后该组织又表示遭到了NVIDIA的反向入侵,并称对方将通过技术手段将被窃取的数据进行了加密——这一行动主要是为了防止这些敏感数据遭到泄露。但窃取到的数据被该团伙已是先备份,目前已有两个数字签名证书被泄漏,目前已经出现了使用泄露证书签名的在野恶意软件。

- 3月4日,在该组织对外发布新一轮数据,泄露了韩国消费电子巨头三星电子的大量机密数据。其声称,在其发布的代码中包括:三星TrustZone环境中安装的所有受信应用源代码,可被用于各种敏感操作;所有生物特征解锁操作的算法;所有最新三星设备的引导加载程序源码;来 自高通的机密源码;三星激活服务器的源码;用于授权和验证三星帐户的技术的完整源代码,包括所有API和服务。

- 3月20日,LAPSUS$黑客组织在其Telegram频道上发布了一张截图,表明其成功入侵了微软的Azure DevOps服务器。并获取了其中包含Bing、Cortana及其他各种内部项目的源码。随后的21日,该组织发布了一个大小为9GB的7zip压缩包的种子文件,其中包含了250多个项目的源码。 发布时,LAPSUS$还表示其中包含90%的被盗Bing源码以及约45%的被盗Bing Maps及Cortana源码。并声称全部源码大小约为37GB。

0x03   黑客信息披露

以下是本月收集到的黑客邮箱信息:

explus@tutanota.comdevicZz@mailfence.comDec_youfile1986@mailfence.com
@Ransome_Decryptersrecohelper@cock.lijerry@onionmail.org
blackrose786@disroot.orgasgardmaster5@protonmail.comasgardmaster5@protonmail.com
christian1986@tutanota.comhello_company@protonmail.comj.jasonm@yandex.com
melling@confidential.tipsr19nar0k@airmail.ccragnar0k@ctemplar.com
ragnar0k@tutanota.comragnarok@rape.lolragnarok_master@protonmail.com
ragnarok_master@protonmail.comragnarok_recover@secmail.proyawkyawkyawk@cock.li
emcryptsupport@msgsafe.ioDecryptfiles@goat.siInDecoder@firemail.cc
venom@privatemail.comAcepyRansom@protonmail.comcontact@pandoraxyz.xyz
ust29@aol.comdivevecufa@firemail.ccprismchigo@tutanota.com
supportsys@airmail.ccconsultransom@tutanota.comconsultransom@protonmail.com
erinalexralf@aol.comhappy2022@tutanota.comcuriosity08@tutanota.com
itlab@techmail.infoantich154@privatemail.comrikyrank113@protonmail.com
backmydata@mail.uajujumba@tuta.iojokers777@tutanota.com
itlab@keemail.mecrypt2022@aol.comantistress.ir@yandex.ru
antistress.ir@keemail.meoslapisavkusna@onionmail.organticrypto@tutanota.com
file.decrypt@onionmail.orgfile.decrypt@yahoo.comcrypt22@aol.com
3ncrypter.m4n@gmail.com3ncryptionfile@gmail.comfileback@cock.li
help.encryptor@gmail.comhelp.encryptorr@gmail.combambam988@tutanota.com
recovery2021@msgsafe.iojiminok31@cock.lirobdasupp@aol.com
recovery_2021@tutanota.comDecryptionTool2022@protonmail.comdecryptiontool@mailfence.com
honest_decript2022@mail2tor.comhonest_decript2022@jabber.czkeyforfiles@mailfence.com
alexgroup@onionmail.orgprismchigo@tutanota.comKalajaTomorr@ctemplar.com
KalajaTomorr@firemail.ccBomani@Email.Comjbomani@protonmail.com
lord_bomani@keemail.me[Bomani@Email.Com]recovery2021@onionmail.org
cuba_support@exploit.imadmin@encryption-support.comsnowwind@tutanota.com
snowwind@msgsafe.ioreset@email.tg

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有315个组织/企业遭遇勒索攻击,其中包含中国9个组织/企业在本月遭遇了双重勒索/多重勒索。

MSAPSM Systemsjlmsolicitors.co.uk
PHCDC Solutionsprogettoedilesrl.it
BDXjapoauto.comcenturyaluminum.com
TIGredgwick.comBERITASATUMEDIA.COM
GEBEBanco CaribeROXCEL Trading GmbH
AnacWibag Bau AgAllied Eagle Supply
CORTPolynt GroupNSM Insurance Group
eGOVbesp-oak.comcentralaccident.com
StagoRoyal LePageCARACOL TV COLOMBIA
GomeAFitFlop Ltd.Aluminerie Alouette
ANTELdrory.com.cnFuchs North America
densoWard Hadawayjrichard-paysage.fr
SOVOSscanvogn.combrownsville-pub.com
XteraEUROPA GROUPGleason Corporation
IRGiTSport Visionbafokengholdings.com
Hearste-fmc.com.argrupodeincendios.com
ASPIROBuhck Gruppeburlingtonsafety.com
its.wsMZ ArchitectsNeschen Coating GmbH
MIGROSAB Karl HedinAzimut Benetti Group
Nestleedukgroup.comAutomobil Holding AS
ICONICFAIR-RITE.COMDayton T. Brown, Inc
M.T.B.Bradsby GroupSTUDIO PEREGO S.R.L.
MigrosBigmtransportmuseum-dingolfing.de
UK GOVrh-europe.commegaproductos.com.ec
Ondeckonglesdor.comEquicom SAVINGS BANK
RosewdHAVI LogisticSnap-on Incorporated
Auroraikk-group.comyachtcharterfleet.com
INVIMAsysmac.com.sgPakistan Human Rights
CR ASIATST Logisticszentrum-dreilinden.ch
Centrissapulpaps.orgmicroflex-services.de
LGE.comelitecorp.comUCC COFFEE UK LIMITED
PFC USAHOL-MAC Corp.tomlinsonelectric.com
BAUKINGavcimmedia.comchicagosteelgroup.com
BEXIMCODK EngineeringCellulant Corporation
ihg.comcredenceid.comorientalaromatics.com
Boralexignitarium.comCarpenter & Zuckerman
KemutecWELCOME HOTELSRettenmeier Holding AG
SAMSUNGzabel-group.deWalsall North Foodbank
bcad.orgconnectcec.comBounce Interactive Ltd
qarch.nljewelry.org.hkKELLY,REMMEL&ZIMMERMAN
PollmannbChannels Ltd.rebuildingtogether.org
LW Groupspecialinc.comBullfrog International
crich.itmatteolisrl.itbedfordshire.police.uk
ICEHOTELGet-integratedAquatech International
RotoplasCummins-WagnerSmith Transport company
Okta.comAssimoco GroupRelationships Australia
stormousMFT Automationconfindustriacaserta.it
ismea.itBcintlgroup.comITECOR International SA
denro.caMaintainco Inc.taguefamilypractice.com
SheppardCenturion StoneEmpire Electronics Inc.
VadaTechUCSI Universitybridgestoneamericas.com
Viva AirUAV Engines LTDRAWLE and HENDERSON LLP
etrps.deENOS PROPERTIESParker Appliance Company
4A GamesBanco do BrasilONCALL Language Services
tccm.comArgo TurboserveUNITEK Contracting Group
Imenco ASrosslare.com.hkScott Manufacturing, LLC
Biz Retekaetnabridge.comcomune.villafranca.vr.it
axessa.chunapen.internalFuji America Corporation
AsphalionMilan InstituteMonteleone & McCrory LLP
avidoc.frfantasy companyUK's Ministry of Defence
PowertechSmith Transportstanthonys.slough.sch.uk
GRS Grouptingtong.com.cnFujioka Eletro Imagem SA
solvi.comBeaulieu CanadaInstituto Federal Goiano
BMW CHILEUnical Aviationserilization-services.com
Noble OilCiments GuyanaisOtto Dörner GmbH & Co. KG
vvrmc.orgCritical Contenthilltopconstructionco.com
AllOfficeintouchgroup.netRoosevelt School District
IMT GROUPSatz Kontor GmbHUnited McGill Corporation
BAUCENTERapec-capital.comBANQUE CENTRALE DE TUNISIE
A.J. Rosedgordonlcswr.comKonradin Mediengruppe GmbH
wimmog.chmontanarisrl.netManaged Business Solutions
haeny.comfinances.gouv.cgsnteseccion30sartet.org.mx
Rudsak Incambujaneotia.comDick Anderson Construction
ctigas.comSENADO ArgentinaZeeland Farm Services, Inc.
NetCompanyBlackmon MooringOklahoma City Indian Clinic
LPA DesignWarren ResourcesNormandeau Associates, Inc.
Grcouceirosimatelex.com.hkOSSEG Obra Social de Seguros
genesis.kyUnited CumberlandI-SEC International Security
draftex.deJammal Trust Bank3S Standard Sharing Software
lawsdn.comDiamond Pet FoodsAfghanistan Breshna Sherkat
inibsa.compirsonholland.comSav-Rx Prescription Services
cachibi.coHochschild MiningCenterline Communication Llc
PK Simpsonstt-logistique.frLoepthien Maeder Treuhand AG
bioskin.sgca.daiyafoods.comCredit Risk Management Canada
Epic GamesHerbert Slepoy CoRoyal Brunei Airlines Sdn Bhd
CaledonianMJH Life SciencesGriggsville-Perry High School
Amtech LlcTalent Logic Inc.School District Of Janesville
Yip in Tsoivri.maniberia.netJaffe Raitt Heuer & Weiss, P.C.
infotech uasbctanzania.co.tzSouth Africa Electricity company
Trant.co.ukmedinadairy.co.ukUniversidade Federal de Sao Paulo
Globant.comGreat HealthWorksWaller Lansden Dortch & Davis, LLP
guazzini.itSRI InternationalVOYAGER DISTRIBUTING COMPANY PTY. LTD.
HaltonhillsGet Fresh CompanyCabinet médical de groupe de Courtepin
lazpiur.comPassero AssociatesConfederation of Indian Industry (CII)
bbst-clp.deSanoh America Inc.Scottish Association for Mental Health
NORDEX FOODRubinstein CompanySalvadoran Ministry of Foreign Affairs
kbkbcpa.comRound Oak MineralsKONICA MINOLTA MARKETING SERVICES LIMITED
gezairi.comthionvillenola.comPAN AMERICAN ENERGY S.L. SUCURSAL ARGENTINA
caribetoursdanubiushotels.comInstituto Nacional de Tecnología Agropecuaria
Core DesignGlobalWafers JapanCabinet de groupe Dr. Cosandey Tissot / Dr. Nobel
vbsharma.cafreedomfarmspa.comCHINA Government and Social Capital Cooperation Center
etg.digitalGRUPPO ANGELANTONIMinistry For Foreign Affairs Of The Republic Of Indonesia
Myron Corp.Lifetech ResourcesInstituto De Gesto Estratégica De Sade Do Distrito Federal
Prima PowerShapiro and DuncanKONECTA SERVICIOS ADMINISTRATIVOS Y TECNOLOGICOS S.L. SUCURSAL ARGENTINA
keypoint.comomalleytunstall.comEstablishment of the Agency for the Environmental Protection of the Marche Region

表格2. 受害组织/企业

0x04   系统安全防护数据分析

360系统安全产品,针对服务器进行全量下发系系统安全防护功能,针对非服务器版本的系统仅在发现被攻击时才下发防护。在本月被攻击的 系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。

对2022年3月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击 的主要对象。

通过观察2022年3月弱口令攻击态势发现,RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但无大的变动,整体呈下降态势。

0x05   勒索病毒关键词

以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。

- 360:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌 面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

- coffee: 属于Coffee勒索病毒家族,由于被加密文件后缀带有coffee而成为关键词。该家族主要传播方式有两种,第一种为通过伪装成具有诱惑性的钓鱼邮件,第二种为蠕虫。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- rook:属于Rook勒索病毒家族,由于被加密文件后缀会被修改为rook而成为关键词。该家族的主要传播方式为:通过匿隐僵尸网络进行传播 。本月(2022年2月)受害者大部分是因为到下载网站下载注册机感染的匿隐僵尸网络。

- Locked:locked曾被多个家族使用,但在本月使用该后缀的家族是TellYouThePass勒索病毒家族。由于被加密文件后缀会被修改为locked而 成为关键词。该家族本月主要的传播方式为:通过Log4j2漏洞进行传播。

- eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- rook3:同rook。

- mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox。该家族传播渠道有多个,包括匿隐僵尸网络、横向渗透以及数据库弱口令爆破。

- mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令 成功后手动投毒。

- avast:同mallox。

0x06   解密大师

从解密大师本月解密数据看,解密量最大的是Coffee,其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Coffee家族加密的设备,其次是被Stop家族加密的设备。

0x07   时间线

2022-04-12 360高级威胁研究分析中心发布通告