勒索软件流行态势分析 2023年7月勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感 染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件 给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮 助的用户提供360反勒索服务。 2023年7月，全球新增的活跃勒索软件家族有RAGROUP、Cactus、 Rancoz等家族。其中RAGROUP是本月开始活跃的双重勒索软件， 该勒索软件团伙最初出现于2023年4月。当时他们在暗网上推出了 一个数据泄露网站，发布受害者的详细信息和被盗数据，采用了流 行的“双重勒索”策略。勒索页面于2023年4月22日上线，4月27 日发布了第一批受害组织，包括样本文件、被盗内容类型的描述以 及被盗数据的链接。 以下是本月值的关注的部分热点： 1.雅诗兰黛集团遭到两个勒索软件团伙的攻击 2.Clop团伙利用MOVEit漏洞发动的勒索攻击已赚取超过7500万 美元 3.ALPHV勒索软件在其数据泄露网站中加入了获取泄露数据的API 基于对360反勒索服务数据的分析研判，360数字安全集团高级威 胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比24.58%居首位，并列第二的是占比 同为11.86%的TargetCompany(Mallox)与BeijingCrypt勒索病毒家族。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2012以及 WindowsServer2008。 2023年7月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当。勒索软件热点事件 雅诗兰黛集团遭到两个勒索软件团伙的攻击 两款勒索软件ALPHV/BlackCat和Clop均在其数据泄露网站上将美妆巨头雅诗兰黛列为攻击目标。而在发 给公司的勒索信息中，BlackCat团伙嘲笑了雅诗兰黛的安全措施并称它们的勒索工具仍存在于公司内部的 网络上。 雅诗兰黛公司在7月18日提交给美国证券交易委员会(SEC)的文件中证实了其中一次攻击，称攻击者获得 了其部分系统的访问权限并可能窃取了数据。但雅诗兰黛并没有提供有关该事件的太多细节，称公司已采 取了积极行动并关闭了一些系统以防止攻击者在网络上的进一步扩张。 而Clop勒索软件团伙则似乎是利用了MOVEitTransfer平台的漏洞，获取了对该公司的访问权限。在Clop 的数据泄露网站上，勒索团伙列出了雅诗兰黛并附上了简单的信息：“该公司不关心其客户，它忽视了他们 的安全！！！”同时注明团伙目前已拥有超过131GB的该公司数据。BlackCat方面暗示，目前获取到的信息 可能会影响客户、公司员工和供应商。雅诗兰黛对BlackCat的威胁没有做出回应，这可能表示该公司不愿与攻击者进行任何谈判。而在其向SEC 提交的文件中也表示，重点是“补救措施，包括恢复受影响的系统和服务的努力”，并且“该事件已经导致并 且预计将继续对公司的部分业务运营造成干扰”。 Clop团伙利用MOVEit漏洞发动的勒索攻击已赚取超过7500万美元 Clop勒索软件团伙正在效仿ALPHV勒索软件团伙的勒索策略——创建专门针对特定受害者的信息披露网 站，从而更方便地泄露数据并进一步迫使受害者支付赎金。当此类勒索软件团伙攻击企业目标时，他们首 先会从受害者的网络中窃取数据，之后再加密文件。这些被盗的数据会被用作双重勒索攻击的筹码——威 胁受害者如果不支付赎金便会泄露其重要的机密数据。 勒索软件用于发布数据的站点通常位于Tor网络上，因为这可以让网站更难被关闭或被执法部门查获。然 而，这种托管网站的方法对于勒索软件团伙来说也有其自身的问题。因为需要专门的Tor浏览器才能访问 此类网站，搜索引擎也不会收录此类数据，而且下载速度通常非常慢。为了克服这些问题，ALPHV勒索软 件团伙在去年引入了一种新的勒索策略，即创建ClearWeb（透明网站）来泄露窃取到的数据。Clearweb 网站直接托管在公开的普通互联网上，而非Tor等匿名网络中。 而在本月中旬，安全人员发现Clop勒索软件团伙也开始创建自己的ClearWeb用来公布他们本轮通过 MOVEitTransfer漏洞攻击所盗窃到的数据。攻击者创建的第一个网站是为商业咨询公司普华永道（PWC） 创建的，并将该公司的被盗数据打包成了4个Zip压缩包发布在了该网站上。而这之后不久，攻击者还为 Aon、EY（安永）、Kirkland和TDAmeritrade等公司创建了网站。 ALPHV勒索软件在其数据泄露网站中加入了获取泄露数据的API ALPHV勒索软件团伙（又名BlackCat）正尝试通过为其数据泄漏网站提供API来提高公众对其公布数据的 访问便利性，从而向受害者施加更大压力来迫使其支付赎金。在此之前，该团伙对雅诗兰黛发起了攻击， 但就目前的公开信息来看，这家美容公司完全无视了攻击者的赎金要求。 7月下旬，多名安全研究人员发现ALPHV/BlackCat的数据泄露网站添加了一个新页面——其中包含其最新 公布的API及使用说明。API（应用程序编程接口）通常用于根据商定的定义和协议实现两个软件组件之间 的通信。而本次勒索软件团伙发布的API将有助于公众通过程序自动其网站发布的关于最新受害者的各种 信息。此外，该团伙还提供了一份用Python编写的爬虫代码以帮助检索数据泄露网站的最新信息。尽管该 团伙没有解释为何要发布这些API，但据推测原因之一可能是由于愿意支付勒索赎金的受害者越来越少。黑客信息披露 以下是本月收集到的黑客邮箱信息： walterwhite@onionmail.org kallit3rmux@gmail.com lixcalisto@onionmail.org casual2@test.com dr.resetfile@gmail.com calixcalisto@tutanota.com 777backup@tutanota.com unknownsupport@mailfence.comzitenmax@rambler.ua ithelp10@securitymy.name Unknownsup@tutanota.com crypter1help@cyberfear.com ithelp10@yousheltered.com xxback@keemail.me Ardimontechnologies@gmail.com ithelp01@yousheltered.com darkusmbackup@protonmail.comrdphelp@tutanota.com consert1777@tuta.io deritim@proton.me rdphelp@cock.li myers@airmail.cc nury_espitia@tuta.io brenda_matthews_1976@protonmail.com andrez.vegaz@zohomail.com black_pirates@zohomail.com josh.carinoso83@protonmail.com rsamanager@tuta.io x8154207@gmail.com sudorocky@tutanota.com bkpsvr@email.tg decdata@tutanota.com sudorocky@protonmail.com vulcanteam@cock.li decdata@msgsafe.io sirattacker@mailfence.com vulcanteam@airmail.cc bob1997marley@onionmail.orgsirattacker@proton.me steloj@mailfence.com helper@cyberfear.com ergsdhu@tutanota.com steloj@rbx.run franklin1328@gmx.com dodocryptomail@proton.me quvn5llxkk@mailfence.com protec5@tutanota.com tadora982928@mail.com JnSeYvZw34@onionmail.org camry2020@aol.com informant3345@protonmail.com Q6uBdWWuu4@proton.me b_@mail2tor.com security_ss123@tutanota.com Hw2k0SZdxa@msgsafe.io b_@mail2tor.com securityss@cock.li 2020host2021@tutanota.com geerban@email.tg cheese47@cock.li master1restore@cock.li doctor.encrypted@onionmail.orgcheese47@tutanota.com candice.wood@post.cz tools.encrypted@onionmail.orgBlack.Berserk@onionmail.orgcandice.wood@swisscows.emailqweasd@toke.com Black.Berserk@s