勒索软件流行态势分析 2023年11月勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感 染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件 给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮 助的用户提供360反勒索服务。 2023年11月，全球新增的活跃勒索软件家族有MEOWLEAKS和 Lambda，其中MEOWLEAKS家族采用多重勒索方式运营，而Lambda 则采用较为传统的加密勒索方式运营。 以下是本月值的关注的部分热点： 1.LockBit勒索软件肆虐网络，多家知名企业中招 2.Cerber新变种L0CK3D勒索软件借助漏洞多平台传播 3.TellYouThePass借助Web服务漏洞卷土重来 基于对360反勒索服务数据的分析研判，360数字安全集团高级威 胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比20%居首位，第二是占比18%的 TellYouThePass，TargetCompany(Mallox)家族以12%位居第三。其中位居第二的TellYouThePass本月再度利用web应用类漏洞进行大范围传播。 需要特别指出的是：虽然并未跻身Top10榜单，但一款名为Lambda的新兴勒索软件于本月首次被检测到 在国内活跃。该家族主要针对组织/企业进行攻击，受害者可使用勒索提示信息中的暗网地址和ID,与黑客 进行赎金谈判。该家族向受害组织/企业索要价值$2250的比特币(超过72小时将上涨至$8750)，且仅支持 比特币交易。 对本月受害者所使用的操作系统进行统计，位居前三的是：WindowsServer2012、Linux以及Windows10。 Linux平台受害者激增且受多个活跃家族影响，需Linux管理员加强漏洞修复与安全管理。 2023年11月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型服务器系统占比远高于 桌面系统，偶有NAS平台感染。服务器系统占比超过桌面系统，主要是受到TellYouThePass活跃家族影响， 该家族目前主要通过服务器部署的web应用漏洞传播。 勒索软件热点事件 LockBit勒索软件肆虐网络，多家知名企业中招 进入11月，当下主要活跃勒索软件家族之一的LockBit再度肆虐网络，并导致多家国内外知名企业中招。 航空航天巨头波音公司也成为了本轮攻击的受害者。波音自称正在调查一场影响其零部件和分销业务的网 络攻击，之前LockBit勒索软件团伙便声称他们攻入了该公司的网络系统并窃取到了数据。 波音公司表示此次事件并未影响其飞行安全，并称已经与执法和监管机构合作展开调查。目前，波音的服 务网站已关闭，并在页面上展示消息称页面关停是由“技术问题”引起的。 虽然波音公司方面并未证实LockBit的说法，但该团伙在暗网搭建的数据泄露页面已删除了波音的相关数据。 而LockBit团伙则在删除数据前表示：“如果波音公司不在最后期限内与团伙联系，便会泄露和发布大量敏 感数据。”……“目前为了保护该公司数据，我们不会公布详细列表或样例，但在截止日期之后，我们便不会 再有所保留。” 此外，国内某大型跨国公司在美的金融分支机构也受到了本轮LockBit攻击的影响。据英国《金融时报》报 道：有市场参与者于11月9日透露中国某公司的金融服务部门遭到勒索软件攻击，这次攻击导致其金融服 务公司代理的美国国债结算业务被阻断，一些股票交易也受到影响。另据交易消息人士称：包括对冲基金 和资产管理公司在内的市场参与者，因为此次系统中断而被迫改变了交易途径。此次攻击对美国国债市场 的流动性产生了一些影响，但并未损害市场的整体运作。以上消息也得到了证券业和金融市场协会的印证。安全研究组织表示“该公司目前无法连接到DTCC/NSCC系统。该问题正影响其所有清算客户。”由于此次攻 击，该公司无法代理其他市场参与者进行美国国债结算交易。 有安全专家表示，这家中国公司的Citrix服务器在周一最后一次上线，并且未针对已被披露的NetScaler安 全漏洞（又称“CitrixBleed”漏洞）进行修补，而该服务器现在已离线。 目前，该公司在国内的母公司回应称，遭受攻击的是其金融服务业务，该业务独立于集团主体业务之外。 同时强调总公司及其他境内外关联机构的系统没有受到此次事件的影响，其纽约分部也没有受到影响。 Cerber新变种L0CK3D勒索软件借助漏洞多平台传播 近期，接到大量Linux系统用户反馈，电脑中的文件被勒索软件加密，被加密后的文件后缀均为.L0CK3D。 经分析，这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence数据中心 和服务器中的不当授权漏洞进行传播（漏洞编号为CVE-2023-22518）。受该漏洞影响而遭到攻击的平台， 覆盖了Linux与Windows等主流服务器操作系统。 根据360安全大脑捕获的攻击信息显示，攻击者会通过该Confluence漏洞调起cmd进程并创建powershell 进程来加载攻击载荷。最终，从193.176.179.41服务器上下载Cerber勒索软件的主体功能文件，并将其保 存到临时文件夹中，进而命名为svcPrvinit.exe。完成后，附加参数“-b9”以达到静默执行该进程而不显示窗 口的目的。 根据相关数据扫描，目前暴露于互联网中并运行有带漏洞的Confluence服务的设备约有20万台，但受到 攻击的数量目前不详。根据以往经验推算被入侵的设备量级目前应该在数千台左右。而国内受影响情况总 体来说目前并不严重。 TellYouThePass借助Web服务漏洞卷土重来 一直以来TellYouThePass勒索软件都是借助各类网络服务的漏洞入侵系统后实施勒索攻击。本月 TellYouThePass再次借助ApacheActiveMQ服务的关键远程代码执行漏洞发动攻击入侵网络。被利用的漏 洞编号为CVE-2023-46604，是由ActiveMQ可扩展开源消息代理中的一个严重错误导致，该漏洞允许未经 身份验证的攻击者在存在漏洞的服务器上执行任意Shell命令。 虽然Apache于10月27日便发布了安全更新来修复该漏洞，但依然有网络安全公司发现至少从10月10 日起便有攻击者已经开始利用其作为0day漏洞部署远控类恶意软件。而在Apache发布了针对该漏洞的更 新补丁后，又有安全机构发现攻击者利用该漏洞部署HelloKitty和TellYouThePass两款勒索软件来加密受 害者设备，本轮漏洞攻击也带来了“自Log4Shell漏洞被曝出后，TellYouThePass活跃量的再度激增”。此外，TellYouThePass的这一波猛攻同时还利用了国内某安防管理平台的漏洞。其所涉及的漏洞基本可以 锁定为该公司部分安防管理平台产品所带有的安全漏洞。这些漏洞均为任意文件上传漏洞。由于这些综合 安防管理平台对上传文件接口校验不足，导致攻击者可以利用漏洞将恶意文件上传到平台，并最终获取服 务权限或引发服务异常。不过这些漏洞已被该公司于2023年6月进行修复，并发布相关公告对其用户进行 安全提示。 黑客信息披露 以下是本月收集到的黑客邮箱信息： datarestore@cock.lu nyrgios@airmail.cc backup20email@tutanota.com 7Rnn7AvDNk@onionmail.org nyrgios@onionmail.org xavax@tutanota.com yourlovelysupp@mail2tor.com nergal@xmpp.jp lealir@tutanota.com yourlovelysupp@xmpp.jp shanova@mailfence.com keishagrey994@outlook.com drebtips@gmx.com banuda@skiff.com sn.tchnews.top@protonmail.me findithere@disroot.org banuda@tuta.io funny385@swisscows.email Deep_in_Deep@tutanota.com decryptprof@proton.me funny385@proton.me fileopen@onionmail.org service@helloworldtom.online russellrspeck@seznam.cz openfile@firemail.at jrpvwqnnud@onionmail.org russellrspeck@protonmail.com Detpyrcne@Cyberfear.com TwoHearts911@protonmail.com Mailz13MoraleS@proton.me decryptors@cocaine.ninja recoverymanager@cock.li datasto100@tutanota.com antidata@tuta.io pcabcd@countermail.com snatch.vip@protonmail.com teligent@onionmail.org abcd-help@countermail.com unlock@rsv-box.com ithelp0