2022年12月勒索软件流行态势分析
勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。
随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万
到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越
广,危害性也越来越大。360安全大脑针对勒索软件进行了全方位的监测与防御,
为需要帮助的用户提供360反勒索服务。
2022年12月,全球新增的活跃勒索软件家族有:Seoul、Lucknite、Blocky、
HentaiLocker等家族。本月没有新增双重勒索软件家族,但Mallox勒索软件家族
从本月开始在暗网公布受害者数据,目前已对外公布5个受害组织或企业的数据。
以下是本月值的关注的部分热点:
一、TellYouThePass勒索软件再次对国内OA服务器发起攻击。
二、以比利时市政部门为目标的勒索软件团伙实际攻击了警察系统。
三、勒索软件攻击迫使法国医院转移病人。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中
心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者所中病毒家族进行统计:TellYouThePass家族占
比22.14%居首位,其次是占比20.61%的phobos,而TargetCompany(Mallox)家
族则以12.72%位居第三。
TellYouThePass勒索软件在最近一年异常活跃,本月中旬,其再次使用高
危漏洞,攻击国内OA服务器。攻击共持续约16小时,造成大量安全防护不当,
未打补丁的机器感染该家族勒索软件。
TargetCompany(Mallox)勒索软件今年也动作频频,近期我们监测到,该家
族开始在其网站公开被攻击者数据,目前已公布了5个受害组织或企业的数据。
若受害者收到的勒索提示信息中包含暗网地址,那么可能遭到了数据窃取攻击。
若只是邮箱,则有较大概率未被窃取数据。
本月TOP10家族中的CryLock家族,我们监测到其传播团伙已将它重命名为
Trigona,并建立了独立的赎金谈判网站。对本月受害者所使用的操作系统进行统计,位居前三的是:Windows10、
WindowsServer2012以及Windows2008。
2022年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系
统类型仍以桌面系统为主。勒索软件疫情分析
TellYouThePass勒索软件再次对国内OA服务器发起攻击
本月,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对
工作组成员)监测到Tellyouthepass勒索软件利用多个漏洞进行入侵攻击,包括
AtlassianConfluenceOGNL注入漏洞CVE-2022-26134、用友(Yonyou)GRP-U8
/UploadFileData接口任意文件上传漏洞、用友(Yonyou)NCaccept接口文件
上传漏洞、用友(Yonyou)NCNCInvokerServlet接口任意代码执行漏洞、致远
OA漏洞等。
攻击者在12月12日至13日持续发起批量攻击。最早监测到的攻击是在2022
年12月12日凌晨02:31:43,而最近一次攻击则是发生在2022年12月13日18:47。
利用Web漏洞入侵后,攻击者直接利用Web宿主进程(如java.exe)进行对系
统进行加密并提出勒索。该勒索软件家族通常通过漏洞利用批量扫描进行攻击,
受影响较大的是存在Web漏洞且对外网映射的服务器。
Tellyouthepass勒索软件已经不是第一次利用高危漏洞发起攻击:早在
2020年该家族就已利用永恒之蓝漏洞攻击多个目标,而2021年其再次利用
ApacheLog4j2远程代码执行高危漏洞(CVE-2021-44228)攻击了多个目标。以比利时市政部门为目标的勒索软件团伙实际攻击了警察
系统
RagnarLocker勒索软件团伙发布了他们认为是窃取自比利时兹维因德雷赫
特市的数据,但事实证明是从比利时安特卫普警察部门兹维因德利赫特警察局所
窃取到的数据。
据报道,泄露的数据暴露了数千辆汽车牌照、罚款、犯罪报告文件、人员详
情、调查报告等信息。而这类数据可能会暴露举报犯罪或虐待的举报人员隐私信
息,并可能危及正在进行的执法及调查行动。
比利时媒体称此次数据泄露是此类事件中影响该国公共服务的最大事件之
一,暴露了兹维因德利赫特警方从2006年至2022年9月保存的所有数据。勒索软件攻击迫使法国医院转移病人
位于巴黎郊区的安德雷·米格诺教学医院因12月3日晚发生的勒索软件攻
击,不得不关闭其电话和电脑系统。
据称,这起勒索软件事件背后的攻击者已经要求赎金。但院方并不打算支付。
目前,医院已取消了部分手术。据法国卫生与预防部长弗朗索瓦·布劳恩表
示,院方还被迫将6名患者从新生儿和重症监护室转移到其他医疗机构。
负责数字转型和电信的部长代表让·诺埃尔·巴罗表示,医院已隔离了受感
染的系统来限制勒索软件向其他设备的传播,并向法国国家信息系统安全与防御
局(ANSSI)发出了警报。黑客信息披露
以下是本月收集到的黑客邮箱信息:
textmeforhelp@tutanota.com localfix@waifu.club hell0s1@tutanota.com
hell0s@tutanota.com Trustmebb@keemail.me Falcon360@cock.li
Forbitlog@privatemail.com rast@airmail.cc HashTreep@waifu.club
acbc@tutanota.com hel.b22@tutanota.com d0ntw0rry@cyberfear.com
midnight@email.tg hel.b22@tutanota.com hell0s@0day.im
acbc@tutanota.com WARNING@cyberfear.com sunhuyvchay@messagesafe.io
leonardoboss@onionmail.org gichugre@tfwno.gf ekingm2023@outlook.com
back2restore@tutanota.com back2restore@neomainbox.chekingm2023@onionmail.org
dark_day@cyberfear.com midnight@email.tg guan_yu@zohomail.com
writehelp@privatemail.com gardex_recofast@zohomail.euhell0s@0day.im
ingnatnat@tutanota.com annawong@onionmail.org service@hellowinter.online
datarecoveryasia@msgsafe.ninjaslect@tutanota.com Create0day@proton.me
create0day@onionmail.org hpsupport@privatemail.comKOK08@QQ.COM
表格1.黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软
件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软
件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎
金的企业或个人,可能不会出现在这个清单中)。以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄
露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有239个组织/企业遭遇勒索攻击,其中包含中国5个组织/企业在
本月遭遇了双重勒索/多重勒索。其中有12个组织/企业未被标明,因此不再以
下表格中。
sickkids.ca hacla.org QUT
CentroMédicoVirgenDeLa
Caridad AONTTAGL presco.com
CamstGroup amundson.co.nz IowaPublicTelevision
WaterlooWellingtonFlight
Centre CPTM St.RoseHospital
MITCONConsultancy&
EngineeringServices PANOLAM portodelisboa.pt
ELOTECH JAKKSPacific,Inc. SUMITOMOBAKELITEUSA
NOLIMITMARINE EmoneyAOAL-AziendaOspedalieradi
Alessandria
EinatecCentroTuristico
Giovanile ETGLOBAL
SquareYards TCLChineseTheatres Trubee,Collins&Co
www.buildersmutual.com INTRADO Inforlandia
HELMAEigenheimbauAG GrupoIbiapinaLtda pu.edu.lb
FARMS.COM CR&R Meyer&MeyerHoldingSE&Co.KG
SSISchäferShopEmpresasPúblicasde
Medellín FantasySpringsResortCasino
RobinsonPharma STRESSERASSOCIATESCPABroadvisionGroup
AtlatecSAdeCV Rep
360 2022年12月勒索软件流行态势分析
安全报告 >
360 >
文档预览
中文文档
12 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-01-18 17:30:55上传分享