勒索软件流行态势分析 2023年9月勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感 染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件 给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮 助的用户提供360反勒索服务。 2023年9月，全球新增的活跃勒索软件家族有ThreeAM、Knight、 CiphBit、LostTrust等家族。 以下是本月值的关注的部分热点： 1.Cisco警告称其VPN的0day漏洞被勒索软件团伙利用 2.凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金 3.黑客积极利用Openfire漏洞来加密服务器 基于对360反勒索服务数据的分析研判，360数字安全集团高级威 胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比24.59%居首位，第二的是占比 13.11%的Makop，TellYouThePass家族以15.38%位居第三。 其中位居第三的TellYouThePass持续通过web漏洞利用发动攻击。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2008以及 Windows7。 2023年9月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当，偶有NAS 平台感染。勒索软件热点事件 Cisco警告称其VPN的0day漏洞被勒索软件团伙利用 思科警告称，思科自适应安全设备(ASA)和思科Firepower威胁防御系统(FTD)中存在编号为 CVE-2023-20269的0day漏洞，而勒索软件组织会利用该漏洞来获取对企业网络的访问权限。该漏洞允许 未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户，攻击者可以在受攻击的网络中建立 无客户端的SSLVPN会话，而根据受害者的具体网络配置差异这一攻击也会产生不同级别的威胁。 在今年8月，就有报道称Akira勒索软件团伙利用CiscoVPN设备的未知漏洞入侵企业网络。在这次攻 击发生的一周后，Rapid7报告称除了Akira之外，Lockbit勒索软件也利用了CiscoVPN设备的安全漏洞。 9月初，思科确认了这些勒索软件团伙利用的0day漏洞的存在，并在临时安全公告中提供了解决方法。但 目前尚未发布受漏洞影响的产品的安全更新。 香港数码港遭勒索攻击致400GB数据泄露 安全内参9月8日消息，香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒 索软件组织Trigona声称，已从数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元） 才能归还。周四，一位IT专家查阅了暗网相关材料，发现包括银行账户信息和身份证复印件在内的被窃数据正在 竞价售卖，起价定为30万美元。 香港网络安全公司VXResearch的安全专家AnthonyLaiCheuk-tung分析称，“假设一个人的信息是1GB， 那就至少有400名受害者。” 数码港商业园区有140名员工，是1900家初创企业和科技公司的运营基地。警方表示，已将此案移 交网络安全及科技罪案调查科进行调查，目前尚未有人被捕。 数码港在周三发布声明，谴责未经授权的第三方攻击者入侵其部分计算机系统，并表示他们在发现入 侵后迅速采取了行动。但是，声明并未点出谁是可能的肇事者。 凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金 美国最大的赌场连锁品牌凯撒娱乐表示：为避免近期的一次网络攻击中遭窃取的客户数据在网上泄露， 该公司已向黑客支付了赎金。 凯撒娱乐于9月7日发现有攻击者窃取了其“忠诚度计划”数据库，该数据库中存储了许多客户的驾照 号码和社会安全号码。在凯撒娱乐向美国证券交易委员会提交的一份8-K表格中显示：“我们仍在调查攻击 者获得的文件中包含的敏感信息的范围。”……“到目前为止，没有证据表明任何会员的密码/PIN码、银行账 户信息或支付卡信息（PCI）已被攻击者获取。” 此外，表格内容中还暗示向攻击者支付赎金是为了防止被盗数据在网上泄露。据媒体透露，该娱乐公 司支付了大约1500万美元的赎金，这一金额大约是攻击者最初索要的3000万美元的一半。尽管如此，凯 撒明确表示，它无法就“应对事件负责的攻击者”的潜在行动提供任何保证，包括他们仍可能出售或泄露客 户被盗信息的可能性。 黑客积极利用Openfire漏洞来加密服务器 黑客正在积极利用Openfire的消息传递服务器中的一个高严重性漏洞传播勒索软件用以加密服务器并 部署加密挖矿程序。 Openfire是一种被广泛使用的基于Java的开源聊天服务器，此次被利用的漏洞编号为CVE-2023-32315， 是一种影响Openfire管理控制台的身份验证绕过方式，该漏洞允许未经身份验证的攻击者在易受攻击的服 务器上创建新的管理员帐户。攻击者通常使用这些帐户安装恶意Java插件。该漏洞影响几乎所有当前主流的Openfire版本，从3.10.0到4.6.7，以及4.7.x中的4.7.0到4.7.4版本。 尽管Openfire在5月发布的版本4.6.8、4.7.5以及最新的4.8.0中修复了该问题，根据统计：到8月中旬， 仍有超过3000台Openfire服务器仍运行着易受攻击的版本。 黑客信息披露 以下是本月收集到的黑客邮箱信息： henderson@cock.li decryptor@cyberfear.com mpfiledec@msgsafe.io ihavenobackup@gmail.com anna.brown.la.ca@gmail.com infohelper@onionmail.com 911files@onionmail.org f3d0r4@proton.me fileassistant@proton.me Django@onionmail.org dectokyo@onionmail.org savetime@cyberfear.com Django23@msgsafe.io dectokyo@cock.li savetime4u@outlook.com vilisol@msgsafe.io DataLock@onionmail.org EldritchTeam@proton.me vilisol@tutanota.com datalocked@nerdmail.co wang_fang@zohomail.com recoveryanti@gmail.com Blackbit_sup@mailfence.com wang.fang@onionmail.org ransupport@onionmail.org blackbit.sup@onionmail.org nowil24701@armablog.com protexdamaraij5@gmx.de azadibtc1@elizamail.site cryptonic@onionmail.org shonpen@mailfence.com azadi3@keemail.me captain-america@tuta.io decryptmenow@onionmail.org Zero.Cool2000@onionmail.org cyber34229@gmail.com helpdecrypt@dnmx.org Zero.Cool2000@skiff.com malloxxhelp@cock.li datacentreback@msgsafe.io Eliberansmoware@outlook.com malloxxhelp@proton.me moriartydata@onionmail.org recoveryfile7@gmail.com Recoverifiles@gmail.com submarine@cyberfear.com reopenran2023@firemail.de Recoverifiles@protonmail.com submarine2@cyberfear.com backbackup@onionmail.org nightcrowsupport@protonmail.com vpsadminmain12@onionmail.org databackup@msgsafe.io venolockdate1@rape.lol vpsadminmain13@onionmail.org edcvbghjikm@protonmail.com Alexdec23@aol.com loki@decoperator.org decryption38@gmail.com Alexdec23@cock.li decoperator@cock.li decryption38@gmail.com gotis@tuta.io deep_77@tutanota.com exezez@420blaze.it gotis@onionmail.org cp00pc1@proton.me dompio@privatemail.com returnback@cyberfear.com datarecoverycenterOPG@onionmail.org dompio@msgsafe.io returnbac@onionmail.org datarecoverycenter