360 2022年8月勒索病毒态势分析

36 0C ER T https://cert.360.cn 勒索病毒流行态势分析 2022 年 8 月勒索病毒态势分析 360CERT 北京奇虎科技有限公司 https://cert.360.cn 报告信息 2022 年 8 月勒索病毒态势分析 36 0C ER T 报告名称报告类型勒索病毒流行态势分析报告编号 B6‐2022‐090801 报告版本 1 报告日期 2022‐09‐08 报告作者 360CERT 联系方式 g‐cert‐report@360.cn 提供方接收方三六零数字安全科技集团有限公司‐360CERT 报告修订记录报告版本日期修订审核描述 1 2022‐09‐08 360CERT 360CERT 撰写报告 1 报告事件: g‐cert‐report@360.cn https://cert.360.cn 目录简述 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2 感染数据分析 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4 3 勒索软件疫情分析 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 6 TellYouThePass 针对中小微企业用户发起大规模勒索攻击 · · · · · · · · · · · · · · 6 LockBit 勒索软件家族采用三重勒索模式运营 · · · · · · · · · · · · · · · · · · · · · · · · · 6 勒索软件买一赠一？新型勒索软件 RoBaj 还未传播先被感染。 · · · · · · · · · · 7 Cisco 遭阎罗王勒索软件攻击，2.8TB 数据被窃取。 · · · · · · · · · · · · · · · · · · · 8 36 0C ER T 1 3 4 黑客信息披露 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 10 5 系统安全防护数据分析 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 21 6 勒索软件关键词 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 23 7 解密大师 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 25 8 时间线 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 26 2 报告事件: g‐cert‐report@360.cn https://cert.360.cn 1 简述勒索软件传播至今，360 反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来 36 0C ER T 越大。360 安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供 360 反勒索服务。 2022 年 8 月，全球新增的活跃勒索软件家族有: Moishsa、Filerec、D0N#T ﴾Donut Leaks﴿、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP 等家族，其中 D0N#T ﴾Donut Leaks﴿、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP 均为双重勒索勒索软件家族。其中 VSOP 勒索软件是 Onyx 勒索软件演变而来，加密大于 2MB 文件时，将使用垃圾数据进行覆盖，因此被该家族加密的文件，购买解密器也只能恢复小于等于 2MB 的文件。以下是本月最值得关注热点： 1. TellYouThePass 针对中小微企业用户发起大规模勒索攻击。 2. LockBit 勒索软件家族采用三重勒索模式运营。 3. 勒索软件买一赠一？新型勒索软件 RoBaj 还未传播先被感染。 4. Cisco 遭阎罗王勒索软件攻击，2.8TB 数据被窃取。基于对 360 反勒索数据的分析研判，360 政企安全集团高级威胁研究分析中心 ﴾CCTGA 勒索软件防范应对工作组成员）发布本报告。 3 报告事件: g‐cert‐report@360.cn https://cert.360.cn 2 感染数据分析针对本月勒索软件受害者所中勒索软件家族进行统计，TellYouThePass 家族占比 50.18% 居首位，其次是占比 10.73% 的 phobos，BeijingCrypt 家族以 5.45% 位居第三。 36 0C ER T 本月 TellYouThePass 利用安全漏洞，对中小微企业发起攻击，短时间的大量传播导致其占比超过了 50%。TellYouThePass 多次对国内用户发起攻击，善于利用各类 nday 漏洞，发起快速攻击。对该家族应该提高警惕。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2012 以及 Windows Server 2008。 4 报告事件: g‐cert‐report@360.cn 36 0C ER T https://cert.360.cn 2022 年 8 月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主。与上个月相比，本月因突发事件影响，导致被勒索软件感染的服务器系统占比上涨近 18%。 5 报告事件: g‐cert‐report@360.cn https://cert.360.cn 3 3.1 勒索软件疫情分析 TellYouThePass 针对中小微企业用户发起大规模勒索攻击 360 安全大脑监测到，TellYouThePass 勒索软件家族利用安全漏洞针对国内中小微 36 0C ER T 企业用户发起攻击，此次攻击从 8 月 28 日 21 时开始，一直持续到 8 月 29 日 1 时左右，短时间内有较多设备被加密。被攻击设备中的大部分文件被加密，后缀被添加“.locked”扩展名，并留下勒索信息 READ_ME.html，内容为支付 0.2 比特币，并留下联系邮箱。通过与攻击者邮件沟通，对方能够熟练使用中文，对该勒索病毒的分析显示，病毒依然沿用三层加密技术，在没有攻击者私钥的情况下，无法大规模技术破解。黑客或许是为了躲避追踪，没过多久便不再使用勒索提示信息中留下的邮箱和钱包地址。除此之外黑客索要的赎金也降低至 0.08BTC。有消息称，黑客与第三方协议只需 0.05BTC 即可解密一台设备，这很大可能是黑客降价的原因。 3.2 LockBit 勒索软件家族采用三重勒索模式运营 LockBit 勒索软件团伙宣布，它正在改善对分布式拒绝服务（DDoS）攻击的防御能力。同时，他们也受此启发，准备将 DDoS 作为新增的“第三重”勒索手段。近期，该团伙遭受了来自安全公司 Entrust 的 DDoS 攻击，该攻击的目的是为了阻止外界对该团伙在其泄漏网站上发布的 Entrust 公司相关数据的访问。 6 报告事件: g‐cert‐report@360.cn https://cert.360.cn 36 0C ER T 而就在 8 月底，LockBit 勒索软件团伙便通过自家的 LockBitSupp 对外宣布，该团伙已通过改进网络设备重新恢复业务，使其泄露能力免受 DDoS 攻击的影响。与此同时，勒索软件运营者现在还寻求在加密数据并泄漏数据的基础上再添加 DDoS 作为新的第三重勒索策略。 3.3 勒索软件买一赠一？新型勒索软件 RoBaj 还未传播先被感染。近日 360 安全大脑监测到一款新型勒索软件 RoBaj。该勒索软件使用 C# 编写，通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。文件被加密后不仅扩展名会被修改为.RoBaj，文件图标会被修改为一个红色的骷髅头。该勒索软件家族是比较少有的支持中英双语的勒索软件，值得注意的是，该勒索软件开发者的环境似乎被 Neshta 蠕虫感染，勒索软件释放的所有可执行程序均感染 7 报告事件: g‐cert‐report@360.cn https://cert.360.cn Neshta 蠕虫。这让受害者面临更大的威胁。目前 360 高级威胁研究分析中心目前已 3.4 36 0C ER T 完成对该病毒的破解，若有用户不幸中招，可第一时间提交反勒索服务寻求解密帮助。 Cisco 遭阎罗王勒索软件攻击，2.8TB 数据被窃取。思科公司于 8 月 10 日证实，阎罗王勒索软件组织在 5 月下旬入侵了其公司网络，入侵者试图在网上泄露被盗文件用以勒索他们。该公司透露，攻击者只是从受入侵员工帐户所关联的共享文件夹中收集和窃取到一些非敏感数据。阎罗王攻击者是在劫持了员工的个人 Google 帐户（其中包含从其浏览器同步的登录凭据）后，使用被盗的凭据访问了思科的网络。而该组织也在 8 月初时发声，表示已窃取了思科 2.75GB 的数据，其中包括大约 3100 个文件，文件中还包含了许多保密协议、数据转储及工程图纸。 8 报告事件: g‐cert‐report@360.cn