2022年10月勒索软件态势分析 勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒 索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2022年10月，全球新增的活跃勒索软件家族有:SexyPhotos、Prestige、RansomCartel、 Azov等家族。其中SexyPhotos与Azov均为擦除器类勒索软件，他们分别借助色情网站和 广告程序进行有针对性的传播和攻击；RansomCartel勒索软件则被怀疑是REvil勒索软件 家族的最新变种；而Prestige则是较为传统的文件加密行勒索软件，据研究人员分析发现 该软件与此前流行一时的HermeticWiper擦除器勒索软件的攻击目标高度重叠。此外 OldGremlin黑客组织在本月的攻击中加入了针对Linux系统的勒索软件部署，该组织曾在 今年早些时候的攻击活动中向受害者开出了高达1690万美元的高额赎金。 以下是本月值的关注的部分热点： 一、白宫召集第二届国际反勒索攻击峰会，37国共同参与 二、BlackByte勒索软件利用合法驱动程序禁用安全产品 三、勒索软件攻击导致某些德国报纸停刊 基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者所中勒索软件家族进行统计，TargetCompany(Mallox)家族占 比20.25%居首位，其次是占比14.11%的phobos，Stop家族以11.04%位居第三。 前两个月较为流行的TellYouThePass在本月已经销声匿迹，取而代之的则是 TargetCompany(Mallox)家族。虽然TargetCompany(Mallox)并没有出现较大规模的爆发， 但其流行度的增长势头也需要企业管理员提起重视。 而phobos作为国内老牌勒索家族，流行热度一直比较高，主要通过暴破远程桌面传播。 Stop勒索软件虽然近期传播量有所下降，但始终保持传播热度，再其它家族未有明显 攻势情况下，该家族再次进入前三，目前尚属于正常的浮动范围。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer 2008以及Windows7。 2022年10月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。勒索软件疫情分析 白宫召集第二届国际反勒索攻击峰会，37国共同参与 美国当地时间10月31日至11月1日，美国协同其他36个国家以及13家企业及组织， 在华盛顿白宫举行了第二届国际勒索软件倡议（CRI）峰会，以研究如何更好地打击勒索软 件攻击。会议再次强调，勒索是一个全球性问题，在信息化之路上，没有一个国家能独善其 身。 在会后的联合声明中，成员国共同表示，将提升对勒索威胁的共同抵抗能力，行动包括： 打击勒索相关的虚拟货币及其服务商施行反洗钱和打击资助恐怖主义措施，打击勒索软 件攻击者从中获得非法利益，以及制定和实施反洗钱和打击资助恐怖主义加密标准。。 跨国合作，共同打击勒索犯罪，不为勒索攻击者提供庇护。 分享有关勒索的相关情报信息，帮助盟友应对勒索威胁。 BlackByte勒索软件利用合法驱动程序禁用安全产品 BlackByte勒索软件团伙正在使用白驱动利用的技术来协助传播，该技术通过正常驱动 程序来禁用各种安全软件驱动程序，干扰安全软件运行，以此绕过保护系统。 该组织最近的攻击涉及MSIAfterburnerRTCore64.sys驱动程序的一个版本，该版本 存在CVE-2019-16098漏洞的代码执行攻击。利用该安全问题，BlackByte尝试禁用了数千 个安全软件驱动。近期另外两个值得注意的此类攻击案例包括Lazarus滥用有漏洞的Dell 驱动程序和未知黑客滥用GenshinImpact游戏的反作弊驱动程序。勒索软件攻击导致某些德国报纸停刊 德国报纸《HeilbronnStimme》于10月15日遭到勒索软件攻击并被破坏了印刷系统后， 其以电子版形式发布了后续的期刊。 10月16日，该报发布了一个“紧急”六页版公告，所有原本要发行的报纸均改为线上 发布。16、17日两天，其电话和电子邮件通信均仍处于离线状态。该报纸的发行量约为75000 份，但由于此次攻击事件引发的印刷问题，其已暂时取消了官网的付费渠道。而其网站每月 约有200万访问者。 报社主编UweRalfHeer表示：此次攻击影响了整个StimmeMediengruppe媒体集团， 包括旗下的“Pressedruck”、“Echo”和“RegioMail”等公司。而发行量为25.4万份的 Echo也受到了网络攻击的影响，导致读者在其网站中访问电子文件时出现了问题。不过其 在线新闻门户网站Echo24.de目前仍在正常运行。 Heer主编还表示攻击者已经留下了勒索信息，但尚未提出具体的赎金金额。 黑客信息披露 以下是本月收集到的黑客邮箱信息： ryzen@cyberfear.com MyFile@waifu.club datanewsok@tutanota.com elmoreno1an@tutanota.com nergontr96@cyberfear.com alco2022decoding@onanmal.com xats@privatemail.com idemitsu122@cyberfear.com helprequest@techmail.info integra2022@tutanota.com rast@airmail.cc dupuisangus@aol.com regyhny@tutanota.com sikfotrisd@tutanota.com WrwLx3jZaG@proton.me decryp@tutanota.com idemitsu122@cyberfear.com tomas1991goldberg@cock.li st3v3njansen@onionmail.org tugruldams@onionmail.org idemitsu122@cyberfear.com dataservice@nigge.rs datahelp112233@mailfence.com eonardoboss@onionmail.org sunhuyvchay@messagesafe.io backshow@my.com Backshow@tutanota.com integra2022@tutanota.com recoverydata@onionmail.org ryzen@yberfear.com hope2honest@aol.com 表格1.黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的 数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅 为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在 这个清单中）。 以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企 业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。 本月总共有220个组织/企业遭遇勒索攻击，其中包含中国5个组织/企业在本月遭遇了 双重勒索/多重勒索。 GenesysAerosystems Bitron VarGroup thalesgroup.com HENSOLDTFrance santimuni.com coopavegra.fi.cr will-b.jp happmobi.com.br bellettiascensori.it exco.fr cacula.comaaanchorbolt.com seamlessglobalsolutions.com close-upinternational.com.uy macrotel.com.ar zurifurniture.com byp-global.com sociedadbilbaina.com gruposanford.com hoosierco.com lincare.com railway.gov.tw saurer.com KolasLawFirm NetworkCommunicationsInc AsahiGroup fvsra.org greenstamp.co.jp KujalleqMunicipality TheBishopofHereford'sBluecoat School Rankam AT&T R1Group QualifiedStaffing BergamoMetal MedilifeHastanesi ipbBaggenstosMontagen Miracapopizzacompany steelesolutions.com unipiloto.edu.co tiffinmetal.com DURAVITA.G.ComandoConjuntodelasFuerzas ArmadasDelEcuador CCLint MunicipiodeChihuahua Vercity ÖzelGözAkademiHastanesi AssociatedLighting Representatives