报告编号:B6-2021-120603
报告来源:高级威胁研究分析中心
报告作者:高级威胁研究分析中心
更新日期:2021-12-06
0x01 概述
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年11月,全球新增的活跃勒索病毒家族有:Doyuk2、HarpoonLocker、Rozbeh、BlackCocaine、Cryt0y、Flowey、54BB47H (Sabbath)、Entropy、ROOK、RobinHood、AvGhost 等勒索病毒家族,其中54BB47H (Sabbath)、Entropy、ROOK、RobinHood四个家族为本月新增的双重勒索病毒家族;本月最值得关注的勒索病毒Magniber,该勒索病毒家族通过网页挂马疯狂传播;老牌勒索家族Snatch也开始采用双重勒索模式运营;AvGhost勒索软件针对服务器进行攻击,虽然受害者联系到黑客后,黑客表示此次攻击只是测试并承诺替用户免费解密文件,但实际结果是受害者仍有大量数据无法恢复。
0x02 感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,Magniber家族占比33.58%居首位,其次是占比12.57%的YourData,BeijingCrypt家族以8.73%位居第三。
刚做到国内第一的YourData勒索病毒仅仅一个月就被Magniber取代,究其原因并非是YourData传播减弱,而是从11月初开始,Magniber的传播者利用CVE-2021-40444漏洞,在网页广告中插入相关利用代码进行传播,在国内的感染量快速提升。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 7、Windows 10、以及Windows Server 2008。
2021年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。本月被感染的桌面PC与10月相比占比上涨超过18个百分点。这主要因为被Magniber勒索病毒攻击的受害者大部分使用的是桌面PC。
0x03 勒索病毒疫情分析
Magniber勒索软件升级,瞄准国内用户
11月5日开始,360安全大脑检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。经过360政企集团高级威胁研究分析中心分析追踪发现,这是一起挂马攻击团伙,利用CVE-2021-40444大肆传播勒索病毒的攻击事件,同时病毒在攻击过程中,还使用了PrintNightmare漏洞进行提权。该黑客团伙主要通过在色情网站、游戏网站(也存在少部分其它网站)的广告位上,投放植入带有攻击代码的广告,当用户访问到该广告页面时,就有可能中招,感染勒索病毒。截止当前360安全卫士仍能拦截到约500次每小时的挂马广告页面访问。而漏洞拦截量,最高单日也已超过1000次。
Magniber勒索软件是基于Magnitude exploit kit(Magnitude EK)开发套件进行开发,早期还曾传播过Locky、Cerber勒索病毒家族。被该勒索加密后,文件后缀将被修改为随机字符串,受害者需向攻击者支付0.044~0.048个比特(价格一直在波动,5天内若未支付,赎金将会翻倍)。
Conti勒索病毒团伙策划让Emotet僵尸网络卷土重来
根据情报公司Advanced Intelligence的消息,知名僵尸网络程序Emotet将被“复活”。而说服此次复活行动的正式Conti勒索病毒团伙的成员。
Emotet僵尸网络曾于约10个月前被关闭,而此次“复活”则会重新对分布官方的受控端开启控制。使其充当恶意软件加载程序,为其他恶意软件提供有价值的受感染系统访问权限。而Qbot和TrickBot则是Emotet僵尸网络的主要客户,这两款软件又会利用获取到的访问权限部署包括Conti在内的诸多勒索软件。
在被曝出Conti策划重启Emotet僵尸网络前,该勒索团伙的支付站点和对应域名则均因被劫持导致关闭,但其数据泄露站点页面及域名仍可以正常工作。
“阎罗王”勒索软件正驶入攻击美国金融部门
近日“阎罗王”勒索病毒的下属机构正在尝试使用BazarLoader恶意软件攻击美国金融部门。自从8月份以来,“阎罗王”勒索病毒不仅对金融机构发起攻击,还对制造业、IT服务、咨询及工程领域的公司进行攻击。
该攻击团伙在入侵阶段不仅部署了恶意软件,还尝试从受控设备上收集浏览器保存的登录凭证,例如:Firefox、Chrome、Internet Explorer,以及窃取KeePass密码管理器的主密钥等。受害者若不能在规定时间内联系黑客并支付赎金,黑客将对受害者采取DDOS攻击以及致电其员工和业务合作伙伴,若几周内仍未支付,黑客将删除其数据。
0x04 黑客信息披露
以下是本月收集到的黑客邮箱信息:
Merlen@Dr.Com | ransomware10@yahoo.com | dwaynehogan33@onionmail.org |
---|---|---|
sazepa@tuta.io | zeppelin_helper@tuta.io | AllenPool1987@onionmail.org |
jericoni@pm.me | dr.helper@onionmail.org | Vasco_Alonso@protonmail.com |
g.uan_yu@aol.com | mr.helper@onionmail.org | AndryCooper1988@tutanota.com |
mak_supp@aol.com | alabacoman@tutanota.com | Mikedillov1986@onionmail.org |
Merlen@Keemail.Me | ideapad@privatemail.com | helpdecryptmyfiles@yandex.com |
psworm@keemail.me | uSuppor@privatemail.com | jackiesmith176@protonmail.com |
zsebas@arimail.cc | zeppelin_decrypt@xmpp.jp | JerseySmith1986@onionmail.org |
obamausa7@aol.com | datarecover@ctemplar.com | leonardred1989@protonmail.com |
nexyum@zohomail.eu | pecunia0318@tutanota.com | JeremySaylor1987@tutanota.com |
kameric@airmail.cc | EndryuRidus@tutanota.com | Rick_Astley_Helper@outlook.com |
baseus0906@goat.si | admin@crypteyourdata.com | fionahammers1995@onionmail.org |
ransomnow@yandex.ru | chickenwing@onionmail.org | MarkHuntigton1977@tutanota.com |
pecunia0318@goat.si | yourfriendz@techmail.info | CharlesSLewis1987@onionmail.org |
friend.dec@yandex.ru | Pringls_us@protonmail.com | DavidSchmidt1977@protonmail.com |
cnlock@danwin1210.me | cheet0s_de@protonmail.com | JamesHoopkins1988@onionmail.org |
pol.aris@tutanota.com | datarecovery@ctemplar.com | ollivergreen1977@protonmail.com |
520hard@mailfence.com | jasonchow30@onionmail.org | jeffreyclinton1977@onionmail.org |
seawolf@onionmail.org | Kirklord1967@tutanota.com | alberttconner2021@protonmail.com |
coronaviryz@gmail.com | VinceGilbert@tutanota.com | DorothyFBrennan1992@tutanota.com |
friend.dec@keemail.me | Vasco_Alonso@tutanota.com | noreywaterson1988@protonmail.com |
koreadec@tutanota.com | korona@bestkoronavirus.com | rickysmithson1975@protonmail.com |
helpservisee@elude.in | parpsrecovery@criptext.com | DerekWillson19878@protonmail.com |
RansHelp@tutanota.com | yourrealdecrypt@airmail.cc | steven1973parker@libertymail.net |
pol.aris@opentrash.com | Leslydown1988@tutanota.com | richardbrunson1892@protonmail.com |
Merlens@Protonmail.com | vilidariobtc12@tutanota.com | ElizabethAntone1961@protonmail.com |
coronavirus@exploit.im | zeppelindecrypt@420blaze.it | leticiaparkinson1983@onionmail.org |
decryptdelta@gmail.com | harpoonlocker@onionmail.com |
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。本月总共有360个组织/企业遭遇勒索攻击,其中中国有10个组织/企业在本月遭遇了双重勒索/多重勒索。
EHS | reigroup.com | Antal International |
---|---|---|
SWL | Glamox Group | Garner Dental Group |
iPS | tornel.com.mx | Kent County Council |
TTC | totalfire.biz | Symonds And Sampson |
ION | cilentospa.it | breslowstarling.com |
lkma | eberlesrl.com | betsaisonparagot.fr |
V-ON | Vision Source | Bruss North America |
Hutt | Lucton School | consortiumlegal.com |
Otip | Nordic Pharma | Team Computers Ltd. |
DAMM | Eileen Fisher | comune.gonzaga.mn.it |
AISD | Renault India | morganskenderian.com |
AECOM | INTOO Habitat | arrowheadadvance.com |
UEMOA | Alco Plastics | waveridernursery.com |
Varney | Police Brazil | ARGOS CONNECT ENERGY |
socage | cloudpros.com | Family Dental Health |
VERBIO | btc-alpha.com | Pitts Baptist Church |
CHRYSO | reiss-beck.de | TestOil Oil Analysis |
VISTRA | adhhealth.com | Greymouse VA PTY Ltd |
INOXPA | apower.com.sg | Gibbs Wire And Steel |
Grupo5 | Charlie Hebdo | 3D imagery of israel |
Ishida | Argentina GOV | duncandisability.com |
dlb.it | effectual.com | centerspacehomes.com |
NOLATO | callay.com.tr | lawrencegroup.net.au |
M3 Inc. | Bochane Groep | ardebolassessors.cat |
Lantech | Power Plumbing | Burda Sanitärtechnik |
PORTALP | benefitexpress | Align Technology, Inc |
XacBank | Landmark Builders | The Harrison Law Firm |
Ferrara | groweeisen.com | THE METRO GROUP, INC. |
Emi Jay | mcmanislaw.com | Diputación de Segovia |
Bayonet | nurihiko.co.jp | Capitol Beauty School |
Epstein | Stratford Land | Architectural Systems |
DUNMORE | Premier Energy | Purifoy Chevrolet Co. |
SIRCHIE | The Xssentials | SNR Shopping PUREGOLD |
KISTERS | Jonas Software | Volvo Car Corporation |
wpdn.net | home.hktdc.com | VIENNA INSURANCE GROUP |
Laurenty | daviscrump.com | autolaundrysystems.com |
fandi.fr | City of Witten | W A RASIC CONSTRUCTION |
eban.com | Visage Imaging | City of Bridgeport, WV |
DALLOYAU | mtradeasia.com | Family Dentist Newbury |
Burkhart | telepro.com.mx | Woodchurch High School |
Jalasoft | Aspen Avionics | Tangent Communications |
MPRL E&P | Besson Seguros | peschl-ultraviolet.com |
abiom.nl | dtstechnical.ca | Area Energy & Electric |
GC Micro | waclighting.com | lenzcontractorsinc.com |
EDAN.COM | plumascounty.us | DUNA AUTO az Autovaros |
Match MG | David Engineers | Westvale Primary School |
Arbitech | ProActive Works | Las Vegas Cancer Center |
gaben.cz | Astera Software | Johnson Memorial Health |
DEWEtech | Westmont Helena | Cabinet Remy Le Bonnois |
Starline | Connect Housing | The Della Toffola Group |
Flagship | barfieldinc.com | The Grupo Daniel Alonso |
ARM CHINA | The Glass House | Delta Group Electronics |
rttax.com | NLB Corporation | Lakeway Publishers, Inc. |
EZ Loader | REV Engineering | Enduro Pipeline Services |
La Bodega | vicksburgha.org | Florida Heart Associates |
itimCloud | Salinen Austria | Schmincke Künstlerfarben |
Skatetown | RocTechnologies | evolvedevelopment.com.au |
Unit 8200 | promo.parker.com | fluidsealingproducts.com |
FTI Group | Regence Footwear | DKS Deutsch Kerrigan LLP |
a1ssi.com | besttaxfiler.com | WELLS FARM DAIRY LIMITED |
iveqi.com | Agricorp Company | Supernus Pharmaceuticals |
inlad.com | Community Brands | Creative Solutions Group |
mpusd.net | Emkay Food Sales | ATA National Title Group |
San Carlo | ONTEC Automation | QRS Healthcare Solutions |
UABL S.A. | thinkcaspian.com | pacificstarnetwork.com.au |
gvalue.com | Moneyfacts Group | trueblueenvironmental.com |
bdtaid.com | redsrugby.com.au | Rusty Hardin & Associates |
ENESCO.COM | Canada West Land | The Skinners Kent Academy |
mym.com.pe | Aisha Steel-ASML | Emery Jensen Distribution |
rintal.com | scotttesting.com | HELSA Group International |
era.org.uk | hanshin-dp.co.jp | hsvgroup.talentnetwork.vn |
GPV FRANCE | The Cochran Firm | STAR REFRIGERATION LIMITED |
pkf.com.au | telemovil.com.sv | Ehud Leviathan Engineering |
royole.com | planters-oil.net | Bryant Industrial Services |
ochsnerEFS | nextech-asia.com | Rockbridge and Bath County |
siix.co.jp | MCP Services LLC | Dealers Auto Auction Group |
wnrllc.com | The Npd Group Inc | Karges-Faulconbridge, Inc. |
APR Supply | owenscarolina.com | Comstock Johnson Architects |
ALPSRX.COM | optimumdesign.com | Property Damage Restoration |
jurelus.de | H.G.M Engineering | Hickory Veterinary Hospital |
APG Neuros | Niemi Bil i Luleå | Holy Family RC & CE College |
Koltepatil | CarpenterProjects | ASPECT STUDIOS ASIA PTY LTD |
kenwal.com | R.E. Pedrotti Co. | MATITIAHU BRUCHIM Law office |
JEAN FLOC’H | comfacundi.com.co | Marshall Investigative Group |
TRINA SOLAR | ideaitaliausa.com | Virginia Department of Health |
Metaenergia | John Sisk and Son | Thunderbird Adventist Academy |
Gulfport MS | Lineage Logistics | Eason Horticultural Resources |
MVS Mailers | National Material | Williams & Rowe Company, Inc. |
abvalve.com | General RV Center | Beaverhead County High School |
EQUITY Bank | kankakeetitle.com | Marten Transport (MRTN NASDAQ) |
bsg-llp.com | Cadence Aerospace | FLUID COMPONENTS INTERNATIONAL |
LOGROS S.A. | Отбасы банк | Law Society of South Australia |
VR Souliere | Epple Druckfarben | Eberspächer Group of Companies |
evans.co.id | Wolverine freight | Goodwill of Central and Coastal Virginia, Inc. |
mecfond.com | Stoningtonschools | HARTMANN FINANCIAL ADVISORS LLC |
MENZ&GASSER | Finite Recruitment | Herman & Kittle Properties Inc. |
FUND-X S.A. | Southland Holdings | City of Fulton police department |
Websites.co.in | Blue Harbor Resort | The Center for Rural Development |
Lootah BCGas | Valley Machine Co. | Charley's Greenhouse Supply, LLC |
interfor.com | cepimanagement.com | West Virginia Parkways Authority |
logistia.com | Pronghorn Controls | Midwest Packaging Solutions, Inc. |
INDIAN CREEK | AHEC Tax Solutions | Outdoor Venture Corporation (OVC) |
chatrium.com | Raj Transport Inc. | Universitat Autònoma de Barcelona |
Royale.co.uk | Alternatives, Inc. | Wisconsin Homes Inc Home Builders |
cool-pak.com | The Leschaco Group | Cogan Wire and Metal Products Ltd |
Dr Schneider | gunninglafazia.com | Unione dei Comuni Terre di Pianura |
Fly Arik Air | Star Island Resort | Bock, Hatch, Lewis & Oppenheim, LLC |
Electra Link | Tri Tech Surveying | HUDSON BROTHERS Construction Company |
cardigos.com | JAFTEX Corporation | MINISTRY OF ECONOMY AND FINANCE Peru |
Axiсorp GMBH | systematicatec.com | Hospitality Furnishings & Design Inc. |
Orgill, Inc. | Daylesford Organic | Società Italiana degli Autori ed Editori |
mfitexas.com | Amtech Corporation | Pueblo Bonito Pacifica Golf & Spa Resort |
transaher.es | SWIRESPO.COM | Società Italiana degli Autori ed Editori |
essextec.com | MGA RESEARCH | MOTOR VEHICLE ACCIDENT FUND PENSION FUND |
docol.com.br | MCH-GROUP.COM | COMMUNAUTÉ DE COMMUNES PAYS D’APT LUBERON |
EL Pruitt Co | PALMER LOGISTICS | The British Columbia Institute Of Technology |
immodelaet.be | MUTUAL MATERIALS | ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ |
atlas.ind.br | FRONTIER SOFTWARE | Department of Justice and Constitutional Development |
Acne Studios | MUSCHERT-GIERSE.DE | Jet Industries Full Service Design And Construction Services |
Alixa Rx LLC | MEYER CORPORATION | Transco Süd Internationale Transporte Gesellschaft mit beschränkter Haftung |
表格2. 受害组织/企业
0x05 系统安全防护数据分析
通过将2021年10月与11月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年11月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年11月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动,MSSQL的攻击量整体呈下降态势。
0x06 勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
- 520:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为520而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- hauhitec:属于YourData,由于被加密文件后缀会被修改为hauhitec而成为关键词。通过“匿隐” 僵尸网络进行传播。
- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- Mallox:属于Mallox勒索病毒家族,由于被加密文件后缀会被修改为mallox而成为关键词。通过SQLGlobeImposter渠道进行传播。
- eking:同devos。
- Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
- 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
- LockBit:LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- eight:同devos。
- stax:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为stax而成为关键词。该家族主要的传播方式为:伪装成破解软件或者激活工具进行传播。
- Magniber: 被该家族加密的文件,后缀均被修改为随机字符串,其主要传播方式为:通过挂马网站进行传播。
解密大师 从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Crysis。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。 !
0x07 安全防护建议
0x08 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360安全卫士团队版
用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
0x09 时间线
2021-12-06 高级威胁研究分析中心发布通告