勒索软件流行态势分析 2023年1月勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感 染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件 给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮 助的用户提供360反勒索服务。 2023年1月，全球新增的活跃勒索软件家族有:SUnSafe、Nokoyawa、 Mimic、SickFile、Upsilon、BetterCallSaul等家族。其中UnSafe和 Nokoyawa是本月新增的双重勒索软件，Minic勒索软件利用合法软 件Everything来快速过滤需要加密的文件。 以下是本月值的关注的部分热点： Lorenz勒索软件团伙会在入侵后部署后门长达数月。 BitDefender免费放出MegaCortex勒索软件解密工具，360解 密大师同步跟进。 ViceSociety勒索软件发动多起勒索攻击。 基于对360反勒索数据的分析研判，360数字安全集团高级威胁研 究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。感染数据分析 针对本月勒索软件受害者所中病毒家族进行统计：phobos家族占比22.83%居首位，其次是占比20.29%的 BeijingCrypt，TargetCompany(Mallox)家族以15.94%位居第三。 Standby和RCRU64虽并非本月新增的勒索家族，但是首次进入月度排行TOP10。这两个家族目前在国内 较为活跃，其传播方式采用了最为常见的暴力破解远程桌面口令成功后手动投毒。 图1.本月受害者感染勒索软件所属家族占比对本月受害者所使用的操作系统进行统计，位居前三的分别是：Windows10、WindowsServer2008以及 WindowsServer2012。 图2.本月受害者所使用操作系统占比 2023年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主。 图3.本月受害者所使用操作系统类型占比勒索软件疫情分析 Lorenz勒索软件团伙会在入侵后部署后门长达数月 安全研究人员警告，在对Lorenz勒索软件的攻击事件展开分析研究的过程中发现，黑客在开始横向移动、 窃取数据和加密系统之前五个月，就已经侵入了受害者网络。经分析确认，黑客是利用CVE-2022-29499 （Mitel电话基础设施中的一个重要漏洞，允许远程代码执行）获得了初始访问权限。 研究人员发现，Lorenz勒索软件的幕后黑客行动非常迅速，在掌握漏洞利用方法后第一时间进行了实际运 用。其在受害用户修复漏洞的前一周，便已经成功入侵了其网络系统并安装了PHPWebShell后门。同时， 黑客试图隐藏后门，将其命名为“twitter_icon_<勒索字符串>”，并将其放置在系统的合法位置目录中。 而在成功安装后门的五个月后，当黑客准备继续攻击时，他们才启用了该后门并在48小时内部署了Lorenz 勒索软件。 图4.Lorenz勒索信息 BitDefender免费放出MegaCortex勒索软件解密工具 反病毒公司BitDefender对外发布了MegaCortex家族勒索软件的解密工具，使这个“曾经臭名昭著的勒索 软件家族”的受害者可以免费恢复他们的数据。 MegaCortex勒索软件首次被发现于2019年5月，该家族软件会通过QBot、Emotet和CobaltStrike等渠 道传播，并针对企业网络发起攻击。2019年7月，MegaCortex运营者发起了多起攻击，并根据受害者的企业规模调整赎金要求。2019年11月，MegaCortex运营者则进一步开始采用双重勒索策略，威胁受害者 如果不满足他们的赎金要求，就会公布他们窃取到的数据。 2021年10月，欧洲刑警组织宣布逮捕了12名发起勒索软件攻击的人员，其中就包含了MegaCortex家族 的相关人员。 在该解密公布后，360解密大师已经第一时间同步添加了对该勒索家族的解密功能。 图5.360解密大师同步加入对MegaCortex的解密功能 ViceSociety勒索软件发动多起勒索攻击 据澳大利亚维多利亚州消防救援局（FRV）公布的消息，该局于去年12月遭到ViceSociety勒索软件攻击， 对其多台内部服务器及邮件系统造成了影响，直接导致其内部大面积的IT系统瘫痪。此外，FRV还表示， 黑客在其内部网络中窃取了多种数据——包括有关现任及前任员工、承包商、借调人员和求职者的信息。 与该攻击类似，ViceSociety自己也公布了去年11月时针对德国杜伊斯堡-埃森大学（UDE）的攻击事件。 这一攻击迫使该大学重建其IT基础设施，截止目前，重建仍未完成。同样的，攻击者还发布了自称是在网 络入侵期间从学校设备中窃取到的文件，内容涉及到有关大学运营、学生和人员的敏感细节。受到IT基础 设施损坏所带来的影响影响，医院已取消了部分手术。此外，据法国卫生与预防部消息，受IT基础设施遭 勒索软件攻击的影响，法国一些医院被迫取消了部分手术，甚至导致多名患者不得不从这些医院的重症监 护室转移到其他医疗机构。