空间测绘
威胁情报
报告事件
RSS
报告编号:B6-2021-060801
报告来源:360高级威胁研究分析中心
报告作者:360高级威胁研究分析中心
更新日期:2021-06-08
0x01 感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,Stop家族占比20.34%居首位,其次是占比19.92%的phobos,GlobeImposter家族以11.02%位居第三。
本月因下载破解软件或激活工具导致中Stop勒索病毒的受害者有明显上升。360安全大脑监控显示:大部分受害者都是通过国外网站下载到的带有恶意加密代码的破解软件或激活工具,尤其是部分KMS激活工具捆绑有病毒,造成不少用户中招。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows 7、以及Windows Server 2008。
2021年5月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统仍主要是桌面系统。但本月桌面系统占比有明显上升,从2021年4月的59.60%上升到本月的71.86%。这一现象和Stop勒索病毒家族本月感染量上涨有直接关系。Stop主要针对个人用户,个人用户更多的是使用的桌面PC系统。
0x02 勒索病毒疫情分析
Stop家族感染量呈上升态势
360安全大脑监控到在五一假期期间,Stop家族的感染量有较为明显的上升。虽然在中旬有所下降,但在月末其感染量再次反弹。本月360反勒索服务已接收到超50例STOP勒索病毒反馈。该家族的传播方式仍沿用之前的传播渠道,采用伪装成破解软件或激活工具针对个人电脑进行传播。
Stop勒索病毒家族又被称作DJVU、KeyPass勒索病毒。该家族最早出现在2018年8月份,从开始传播至今,其传播渠道一直主要通过在破解软件网站上传激活工具、破解软件来诱惑用户下载运行,且主要大部分网站均为国外网站。其早期在国内的传播量较小,从2019年7月开始在国内大量传播。该家族传播至今已有200多个变种。
Lorenz一款针对企业进行攻击的新型勒索病毒
Lorenz勒索病毒从2021年4月份开始活跃。和其他针对企业进行攻击的勒索病毒家族一样,该家族在部署勒索病毒之前,会先窃取受害者数据作为勒索用户支付赎金的又一筹码。其加密程序和ThunderCrypt相似,但目前尚未确定该勒索病毒源码为购买所得还是自行开发,也尚不能确定两者由同一个组织运营。目前该勒索病毒已在暗网公开13个受害者数据。
其中Commport Communications公司是加拿大邮局的供应商,该家族从Commport Communications窃取到的35.3GB数据中包括加拿大邮局44个商业客户,95万个收件客户数据,数据信息中包含发件人和收件人的联系方式、姓名以及邮件地址。这已不是第一起因供应商遭遇勒索病毒攻击导致客户数据泄露案例,之前苹果因广达电脑遭遇勒索病毒也曾遭遇数据泄露风险,这种类型的事件还以后可能还会继续发生,被害者客户或成黑客勒索的第二个目标。
爱尔兰卫生服务部早Conti勒索病毒攻击
本月爱尔兰卫生服务部门被Conti勒索病毒攻击,。此次攻击对爱尔兰的医疗系统造成了重大的影响,当地多家医院的医疗服务也被迫临时关闭,被窃取了700GB重要数据。黑客向其索要价值近2000万美元的比特币作为赎金。虽然爱尔兰卫生服务部门尚未支付赎金,但黑客已向爱尔兰卫生服务部门提供免费解密工具。不过Conti勒索病毒团伙表示,如果爱尔兰卫生服务部门不支付赎金,其数据仍将被出售或者公开。
从该家族传播至今,已至少攻击了338个组织并窃取了其数据,其中绝大部分数据均已被不同程度的公开。此外,种种迹象表明Conti勒索病毒的运营者同时也在运营另一款名为Ryuk的勒索病毒。该勒索病毒主要通过垃圾邮件、漏洞利用工具、TrickBot银行木马等多种渠道对个人进行勒索攻击。
而2020年7月之后Ryuk的传播量就显著下降,其运营者将主要渠道和精力均投入到对Conti勒索病毒的传播中。这也是目前勒索病毒的一种较为明显的趋势——越来越多的病毒作者和运营者将主要的攻击目标从个人用户转变为企业或组织。
Babuk频繁活跃
4月末,Babuk勒索病毒成功攻击美国华盛顿警方并窃取200多G数据,华盛顿警方表示只愿支付10万美元赎金,但遭到Babuk团伙拒绝,并警告若不提高支付金额就将公布从华盛顿警察局窃取到的所有数据。拒绝10万美元赎金的同时,黑客在暗网公布了更多数据,其中包括:对警察的背景调查,心理评估、测谎反应、主管面谈、住所信息、财务信息等。
不久之后改勒索病毒团伙宣布,将公开勒索软件源码,并转为纯数据盗窃敲诈勒索。同时还宣布将搭建数据泄露售卖网站,所有有数据需要售卖的网络犯罪份子均可通过该网站售卖数据。纯数据盗窃在结果感知层面更具隐蔽性,受害者再不能通过被加密多少设备来了解数据泄露的情况,这可能会加大受害者的恐慌。6月1日起该家族携带其数据泄露网站回归。
美国最大燃油管道上遭遇DarKSide团伙定向攻击
2021年5月7日,美国最大燃油管道上Colonial Pipeline遭遇DarkSide勒索病毒攻击,迫使其关闭了向人口稠密的美国东部各州供油的关键燃油网络。17个洲和哥伦比亚特区进入紧急状态。由于该黑客团伙不仅紧密了大量设备,还窃取了大量数据。Colonial Pipeline为了尽快恢复运营,不得不向黑客支付500万美元作为赎金系统。
此次事件后DarkSide遭到美国和俄罗斯政府的打击,其基础设备已不能正常访问,数据泄露网站已无法访问。俄罗斯两大网络犯罪论坛宣布论坛将永久禁止发布任何勒索病毒相关的主题。XSS论坛没收了DarkSide在论坛存放的22.081个比特币作为“受害者”的补偿(此处的受害者为未从DarkSide团伙获取到劳动报酬的网络网络犯罪分子)。目前exploit网络犯罪论坛已将该团伙的账户darkupp删除。
0x03 黑客信息披露
以下是本月收集到的黑客邮箱信息:
| makop@tuta.io | honestandhope@qq.com | poshtpolice@tutanota.com |
|---|---|---|
| dino@rape.lol | panamax@tutanota.com | use_harrd@protonmail.com |
| toobar@xmpp.jp | roterbro@secmail.pro | nopain555@protonmail.com |
| foxbox@xmpp.cz | decrypt8070@gmail.com | vivanger123@tutanota.com |
| murryu@aol.com | 2020x0@protonmail.com | hershel_houghton@aol.com |
| 131845@cock.li | robertwels@airmail.cc | barnabas_simpson@aol.com |
| makop@rape.lol | ximenezpickup@aol.com | emerson.parkerdd@aol.com |
| compax@tuta.io | blair_lockyer@aol.com | mccandlessronald@aol.com |
| bad_dev@tuta.io | frankfbagnale@cock.li | benwell_jonathan@aol.com |
| datahlp@tuta.io | elfbash@protonmil.com | serhio.vale@tutanota.com |
| mikolio@cock.li | onlybtcp@tutanota.com | totalsupportcom@cock.lim |
| dog_bad@aol.com | dillon.dabzac@aol.com | aa1b2c3cc@protonmail.com |
| fidelako@int.pl | sofiabecker21@cock.li | liamwake714@tutanota.com |
| Petya20@tuta.io | howtodecrypt2@cock.li | matheuscosta0194@gmx.com |
| akzhq12@cock.li | clausmeyer070@cock.li | savedata2@protonmail.com |
| moncler@cock.li | mrdjohni@tutanota.com | encryptboys@tutanota.com |
| xinoxix@tuta.io | tomasrich2020@aol.com | decryption@techmail.info |
| useHHard@cock.li | farik1@protonmail.com | kingstonbtc@tutanota.com |
| verious1@cock.li | ww6666@protonmail.com | ballxball@protonmail.com |
| alexei.v@aol.com | paymantsystem@cock.li | Cris_Horth@protonmail.com |
| crypt@qbmail.biz | akzhq725@tutanota.com | GoNNaCrypt@protonmail.com |
| akzhq412@aol.com | akzhq808@tutanota.com | mammon0503@tutanota.com |
| viginare@aol.com | joshua_antony@aol.com | xsupportx@countermail.com |
| makop@airmail.cc | akzhq830@tutanota.com | sookie.stackhouse@gmx.com |
| makop@keemail.me | cloudfiles@msgsafe.io | martinwilhelm1978@cock.li |
| saveisos@aol.com | cloudfiles@airmail.cc | akzhq00705@protonmail.com |
| roterbro@cock.li | akzhq915@tutanota.com | luntik2316@protonmail.com |
| databankasi@bk.ru | backup1950@msgsafe.io | backup_499@protonmail.com |
| norahghnq@gmx.com | yamer2@protonmail.com | KILLYOUASS@protonmail.com |
| 1527436515@qq.com | darknet@techmail.info | xaodecrypt@protonmail.com |
| eye@onionmail.org | rdphack@onionmail.org | MikeyMaus77@protomail.com |
| foxbox@airmail.cc | MorganBel23@yahoo.com | payfordecoder@hotmail.com |
| kalimenok@gmx.com | rottencurd@vivaldi.net | makop.support@secmail.pro |
| tsai.shen@xmpp.jp | diniaminius@winrof.com | grhoster-123@tutanota.com |
| votrefile@tuta.io | bondy.weinholt@aol.com | hopeandhonest@smime.ninja |
| irisaneby@aol.com | ezequielanthon@aol.com | alexpetrov11094@gmail.com |
| cock89558@cock.li | Bk_Data@protonmail.com | ember.bolton@tutanota.com |
| modeturbo@aol.com | AaronKennedy74@cock.li | petrusoriental@yofabo.com |
| crypt@zimbabwe.su | eppinger.adams@aol.com | hadriusgluvias@socyoi.com |
| akzhq1010@cock.li | herbivorous@keemail.me | daemonescaract@noffea.com |
| lock59@airmail.cc | bernard.bunyan@aol.com | sceledruspolyb@olsapp.com |
| shelfit@airmail.cc | getdataback@qbmail.biz | manage.file@messagesafe.io |
| SupportC4@elude.in | antiransomware@aol.com | morrith_smith@tutanota.com |
| lyontrevor@aol.com | admcphel@protonmail.ch | playerplaya@protonmail.com |
| s.boultons@aol.com | giantt1@protonmail.com | evilminded@privatemail.com |
| coxbarthel@aol.com | myfilesdecrypt@cock.li | bertylarwayorstoner@jabb.im |
| prndssdnrp@mail.fr | akzhq915@protonmail.ch | decryptfilesonlinebuy@pm.me |
| myfiles@msgsafe.io | akzhq1010@tutanota.com | recoveryufiles@tutamail.com |
| ranbarron88@qq.com | mozgpitona@outlook.com | johannesjokinen1977@gmx.com |
| makopfiles@aol.com | xiaojunye@tutanota.com | checkfilelock@protonmail.ch |
| steaknshake@gmx.us | yourfriendz@keemail.me | helpdesk_makp@protonmail.ch |
| btcsupport@cock.li | goldenmark@yahooweb.co | poyasecurity@protonmail.com |
| ustedesfil@tuta.io | partydog@onionmail.org | apollo55supp@protonmail.com |
| partydog@msgsafe.io | getdecrypt@disroot.org | daviderichardo@tutanota.com |
| decrypt@disroot.org | jourdain@onionmail.org | matryoshka.iosef@airmail.cc |
| dupuisangus@aol.com | helpeking@criptext.com | messi_tr_2020@protonmail.com |
| frankmoffit@aol.com | dagsdruyt@onionmail.org | brokenbrow.teodorico@aol.com |
| cullan_cash@aol.com | helprecoveryfiles@cock.li | davidrecovery@protonmail.com |
| decode@criptext.com | taraxacum@startmail.com | moloch_helpdesk@tutanota.com |
| greenreed007@qq.com | soterissylla@wyseil.com | loyaldecrypt@privatemail.com |
| akzhq915@airmail.cc | cornellmclearey@aol.com | backupransomware@tutanota.com |
| poyasecur@gmail.com | frankfbagnale@gmail.com | 100returnguarantee@keemail.me |
| con3003@disroot.org | fredmoneco@tutanota.com | mccreight.ellery@tutanota.com |
| delta@onionmail.org | andreashart1834@cock.li | brandon_draven@protonmail.com |
| dealinfrm@aliyun.com | cheston_windham@aol.com | erich_northman@protonmail.com |
| sorysorysory@cock.li | tsai.shen@mailfence.com | chocolate_muffin@tutanota.com |
| willi.stroud@aol.com | dalgliesh.aaron@aol.com | paynotanotherway@tutanota.com |
| jewkeswilmer@aol.com | angus_frankland@aol.com | restoring.data@protonmail.com |
| patiscaje@airmail.cc | akzhq615@protonmail.com | moloch_helpdesk@protonmail.ch |
| decrypt2021@elude.in | akzhq530@protonmail.com | sirketverileri@protonmail.com |
| wang_team888@aol.com | genfiles@protonmail.com | daviderichardo@messagesafe.io |
| victorlustig@gmx.com | akzhq710@protonmail.com | assistant2021decryption@cock.li |
| augusto.ruby@aol.com | dino_rans@protonmail.ch | decryption2021assistant@cock.li |
| datalost@foxmail.com | btcsupport@bingzone.net | bhattarwarmajuthani@420blaze.it |
| ruthlessencry@qq.com | filerecov3ry@keemail.me | data.compromised@protonmail.com |
| buydecryptor@aol.com | drdecryptor@secmail.pro | verilerimialmakistiyorum@mail.ru |
| buydecryptor@cock.li | cerboon37@mailfence.com | verilerimialmakistiyorum@inbox.ru |
| dweezells@airmail.cc | shangtech@protonmail.ch | phillipdyercostarican@tutanota.com |
| makop@outlookpro.net | willettamoffat@yahoo.com | kobihornegushersamuels@protonmail.com |
当前,通过双重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(因为第一时间联系并支付赎金的企业或个人不会在暗网中公布,因此无这部分数据)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
| CCS | FEBANCOLOMBIA | Carlisle Companies Inc |
|---|---|---|
| EVGA | AUROBINDO.COM | Ecolog Engineering Ltd |
| STAM | TEC EPM GmbH | Glasbau Wiedemann GmbH |
| Cocal | Romanoff Group | Officine Piccini S.p.A |
| Wizie | Grant Supplies | Irving Materials, Inc. |
| Tegut | Neenan Company | https://airespring.com |
| JetSJ | Hunt and Walsh | CEC Vibration Products |
| CEFCO | Pezzutto Group | Hentzen Coatings, Inc. |
| Grako | GlobeMed Saudi | PKMK law&finance s.r.o |
| MDANDB | WINDSORSTAFF | PT. Realta Chakradarma |
| Diacom | Phoenix Mecano | Unique Tooling PTY LTD |
| Coindu | SL Corporation | Ballas Capital Limited |
| Vistex | Harbor Network | Pronosticos Deportivos |
| LG CNS | Mauffrey Group | Bill Hotz & Associates |
| Syndex | Cube Audit Ltd | Mobile County, Alabama |
| CENTRE | RINGSPANN GmbH | DFW Communications,Inc. |
| Sprink | Al-Arfaj Group | Commport Communications |
| Archus | Paraty Capital | Tucker Oil Company Inc. |
| Akorbi | Provenza Floors | Schepisi Communications |
| Durard | decarodoran.com | The Wasserstrom Company |
| KUESTER | Kens Foods Inc. | Daihatsu Diesel Mfg. Co |
| RFF.ORG | TRACTOR CENTRAL | The MADSACK Media Group |
| ARWORLD | SGS-LAW.COM | Seifert Logistics Group |
| STEMCOR | Henry Oil & Gas | Agile Property Holdings |
| Gosiger | Letton Percival | Plantaciones de Plátano |
| Medicar | Tasman Butchers | KEYENCE DEUTSCHLAND GmbH |
| Brain:IT | Wallace & Carey | Lile Relocation Services |
| Esteyco | MOSS BROS GROUP | Cable Color S.A. de C.V. |
| DAYTITLE | cardinalmfg.com | Inventec Appliances Corp |
| Joy Cone | Rate Rabbit Inc | Brookfield Public Schools |
| Farrells | RPE CONTRACTING | Imperial Western Products |
| YAMABIKO | SEVES Group SpA | Transports P. Fatton Inc. |
| Sentinel | Ludwig Pfeiffer | angstrom automotive group |
| LineStar | Microntel S.p.A | Buckeye International Inc |
| Funbreak | Arca Assurances | Carlos Federspiel & Co SA |
| Dentalez | Puntacana Group | Johann Kupp GmbH & Co. KG |
| Despretz | Bakrie Sumatera | Sharafi Group Investments |
| Thinkware | HDHC Home Decor | Grand Annecy Agglomeration |
| reorev.fr | IDS Online Store | Blueknight Energy Partners |
| Construct | D.W. Haber & Son | Baldwin Wallace University |
| JHK Legal | Bansley & Kiener | Lo Studio Bartoli & Arveda |
| HM Israel | Wolfe Eye Clinic | SC TECHNOSEAL SERVICES SRL |
| NSW Labor | londonmetric.com | https://galoninsurance.ca/ |
| I&H Brown | nexgenagency.com | servicetoolandplastics.com |
| Solen A.S | Lozano Smith LLP | ULTRACEUTICALS PTY LIMITED |
| AXA Group | Treehouse hotels | Prairie View A&M University |
| ENPOL LLC | LG Vina Chemical | Amfine Chemical Corporation |
| RIB GROUP | Cinov Federation | michaelsautomotivegroup.com |
| TURLA SRL | FCI Constructors | Maryan beachwear group GmbH |
| LE VOLCAN | Gulfeagle Supply | Seguros Futuro A.C. de R.L. |
| Sullestad | Bee County Texas | Hupac Intermodal Italia Srl |
| Little Elm | Betenbough Homes | Bridgwater & Taunton College |
| Siesacloud | T&T Supermarkets | Zionsville Community Schools |
| The Bascom | AZ INVESTIGATION | MEDUNA vakuová kalírna s.r.o |
| TOOLSTODAY | Halwani Bros Ltd | DigiCon Technologies Limited |
| VVUHSD.ORG | Salesianum School | Iaffaldano, Shaw & Young LLP |
| WC Tractor | Dallas Production | Coastal Family Health Center |
| LUVATA.COM | La Châtaigneraie | Balade Farms Food Industries |
| ASARCO LLC | A Superior Towing | Comune di Porto Sant'Elpidio |
| HELI-UNION | tsfsportswear.com | Fairfax University of America |
| toshiba.fr | Comune di Brescia | EUROMAIS - PEÇAS E PNEUS, LDA |
| TELCAL srl | PCH International | Berkshire Hathaway Automotive |
| XtraSource | Proctor Financial | L.F. Manufacturing (LFM) Inc. |
| Transcargo | Bio Botanica, Inc | Creative Liquid Coatings, Inc |
| WorldUnion | PT Angkasa Pura I | Frank G. Love Envelopes, Inc. |
| Multifeeder | Hollingsworth LLP | AIM Financial Corporation Ltd |
| Windemuller | Coca-Cola Embonor | Primrose School at Bridgewater |
| Henry Brick | Syracuse New Times | The Centennial School District |
| DNS Toptech | matthewclark.co.uk | Unitex Textile Rental Services |
| Infolog Spa | Medland Metropolis | Technical University of Berlin |
| whistler.ca | UTILITYTRAILER.COM | Simon Peragine Smith & Redfearn |
| Lydall Inc. | Carlisle Companies | Challenge Manufacturing Company |
| Bridgelux, Inc. | Servilex Advocaten | empire physicians Medical Group |
| 360 InStore | Ghana National Gas | Electronic Environments Co. LLC |
| Bartec Gmbh | Mexican Government | Michael Stevens Interests, Inc. |
| SOLVERE LLC | Jebco Agencies Inc. | Sessions Payroll Management Inc |
| Saipa Press | ProSource Wholesale | The City University of New York |
| Accounts IQ | The managementtrust | Airtech Advanced Materials Group |
| alma-sas.fr | surgecomponents.com | Charlie Clark Nissan Brownsville |
| Hotel Nyack | Travers Tool Co Inc | Thackray Williams LLP Solicitors |
| Forbes Hare | Marine Bank & Trust | Loudoun Mutual Insurance Company |
| JM ROSSA SA | Finolex Cables Ltd. | Saigon Cargo Service Corporation |
| Intecs group | Axis Communications | Sanger & Altgelt Insurance Agents |
| Implanta Spa | GRAYSONS SOLICITORS | Ãstre Toten Kommune Voksenopplring |
| valvitalia.com | Hume Cement Sdn Bhd | Peter Müller GARTENGESTALTUNG GmbH |
| Tygavac ltd. | EHC Biel Holding AG | Cambiaso Risso Shipping Agency Srl |
| moura.com.br | Peters Bosel Lawyers | Prefeitura de Balneário Camboriú |
| Profastening | carolina-eastern.com | LOWREY,POWELL,STEVENS & MANGUM P.C. |
| Smile Brands | MISSION IMPRINTABLES | Imperial Printing and Paper Box Mfg |
| NAVNIT GROUP | All American Asphalt | SCHIFF (http://www.cgschifflaws.com) |
| SPINE & DISC | Townsend Lumber, Inc | MEGAPOLIS HOLDINGS (OVERSEAS) LIMITED |
| Washoe Tribe | HBD Industries, Inc. | American Industrial Felt & Supply, Inc |
| imagetec.com | Ash Industries, Inc. | Procuradoria Geral da Fazenda Nacional |
| ACER FINANCE | MHA MacIntyre Hudson | Logansport Community School Corporation |
| Apex America | Vendrig Holding B.V. | Allen, Dyer, Doppelt, & Gilchrist, P.A. |
| CBN Logistic | Möbelstadt Sommerlad | TAIWAN SURFACE MOUNTING TECHNOLOGY CORP. |
| RAB Lighting | JFA Construction LLC | Wolf Lake Industrial Center and Terminals |
| ResCon Group | The FitzWimark School | B.P. MITCHELL HAULAGE CONTRACTORS LIMITED |
| TPG Internet | Flamingo Horticulture | Tulsa Cardiovascular Center of Excellence |
| T.I.S. Group | Doak Shirreff Lawyers | Birtcher Anderson & Davis Associates, Inc. |
| J&S Packaging | Veritas Logistics LTD | CONSORZIO INNOVAZIONE ENERGETICA RINNOVABILE |
| O Consulting | Desert Plastering LLC | Maharashtra Industrial Development Corporation |
| Våpensmia AS | OSF Healthcare System | DOCTUM PHARMACEUTICAL Κ. T. YIOKARIS & CO S.A. |
| Powerblanket | Moor Park High School | GDS Gesellschaft für Datenverarbeitungssysteme |
| hitec-ups.com | Loewe Technology GmbH | The Municipal Court of Princeton, West Virginia |
| Pezzuto Group | Metalgráfica Cearense | Palos Community Consolidated School District 118 |
| Royal Resorts | Dinkhauser Kartonagen | Bases Conversion and Development Authority (BCDA) |
| InTown Suites | SENATOR PRESS LIMITED | Pennsylvania, Clearfield Borough Police Department |
| Altar'd State | Agricola Cerro Prieto | Samvardhana Motherson Peguform (smp-automotive.com) |
| Riwega S.R.L. | AQP EXPRESS CARGO SAC | NIJMAN / ZEETANK International Transport Sp. z o. o. |
| Eitan Medical | Tri-Metal Fabricators | Illuma Commercial, Retail & Leisure Lighting Solutions |
| Cairns Marine | Wisconsin Public Radio | Intermountain Farmers Association - IFA COUNTRY STORES |
| Citroen Wells | southernindustries.com | La Concha (MATERIAS PRIMAS LA CONCEPCIÓN S.A. de C.V.) |
0x04 系统安全防护数据分析
通过将2021年4月与5月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年5月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年5月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽然在5月中旬有一次大幅度的提升,但未目前尚未发现有恶意犯罪分子在本月有加大MSSQL的攻击量,根据以往情况判断,应该是黑客在5月中旬加大了攻击力度所致。
0x05 勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
- Devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- Lockbit:Lckbit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
- 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
- eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- pqq:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为pcqq而成为关键词。该家族主要的传播方式为:伪装成破解软件或者激活工具进行传播。
- igvm:同pcqq。
- encrypted:该后缀被多个勒索病毒家族使用,其中本月最为活跃的eCh0raix勒索病毒家族,由被加密文件后缀会被修改为encrypted而成为关键词。该家族主要通过:桌面口令爆破以及HBS硬编码漏洞进行传播。其主要的攻击对象为NAS,其中威联通为NAS中的主要攻击对象。
- nusm:同pcqq。
- ehiz:同pcqq。
- eight:同eking。
0x06 解密大师
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。
0x07 产品侧解决方案
360AISA全流量威胁分析系统
针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系techsupport@360.cn获取更新,尽快升级检测引擎和规则,做好安全防护工作。
360企业安全浏览器
360企业安全浏览器相比传统浏览器,360企业安全浏览器兼集中管控、企业数据防护、安全大脑赋能、跨平台适配、商用密码算法支持、应用兼容等六大特点。请用户前往360企业安全浏览器获取对应产品。
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360安全卫士团队版
用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
0x08 时间线
2021-06-08 360CERT发布报告
京公网安备 11000002002063号