勒索软件流行态势分析 2023年4月近年来，随着新型勒索软件的快速蔓延，企业的数据泄露风险不断 上升，高额勒索案件频繁出现。可以说，勒索软件的影响范围越来 越广，给企业和个人带来的危害性也越来越大。360全网安全大脑 可以对勒索软件进行全方位的监测与防御，能够为需要帮助的用户 提供反勒索服务。目前，360反勒索服务已累计接收、处理上万起 勒索软件感染求助。 2023年4月，全球新增的活跃勒索软件家族有:CrossLock、UNIZA、 RTMLocker、DarkAngels、MoneyMessage等。其中DarkAngels 是一款双重勒索软件，但尚未在其数据泄露网站公开过受害者信息； RTMLocker是一款以企业为目标的勒索软件，其Linux加密器疑似 专门为攻击VmwareESXi系统而创建。 以下是本月值得关注的部分热点： 1.近期新发现针对Mac设备的LockBit勒索软件。 2.Google广告推送被勒索软件团伙使用的BumbleBee恶意软件。 3.新型勒索软件MoneyMessage索要百万美元赎金。 基于近期对360反勒索服务数据的分析研判，360数字安全集团高 级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）特发布 本报告。感染数据分析 针对本月勒索软件受害者所中病毒家族进行统计：TargetCompany(Mallox)家族占比21.85%居首位，phobos 家族占比19.87%位居第二，BeijingCrypt家族占比15.89%位居第三。 本月针对NAS设备进行攻击的eCh0Raix勒索软件家族有明显上升。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2012以及 WindowsServer2008。 2023年4月受攻击的系统类型仍以桌面系统为主。 勒索软件疫情分析 近期新发现针对Mac设备的LockBit勒索软件 LockBit勒索组织首次创建了针对Mac平台的勒索软件，很可能成为第一个专门针对MacOS的主流勒索软 件。 从历史数据上看，LockBit组织曾创建使用过专门针对Windows、Linux和VMwareESXi服务器等平台的勒 索软件。近期发现该组织还创建了之前未在野外攻击中出现的，针对MacOS、FreeBSD等系统以及ARM、 MIPS和SPARC指令集的勒索软件。此次发现的新勒索软件中还存在一款名为locker_Apple_M1_64的勒索软件。经分析，该软件运行于Apple Silicon最新的Mac系统中。此外，该研究人员还发现了针对旧版PowerPC平台Mac系统的样本。 Google广告推送被勒索软件团伙使用的BumbleBee恶意软件 以企业为攻击目标的Bumblebee恶意软件正通过GoogleAds和SEO污染手段进行传播，攻击者以推广 Zoom、CiscoAnyConnect、ChatGPT和CitrixWorkspace等流行软件为诱饵进行诱导扩散。 Bumblebee是一款恶意软件加载器，首次捕获时间为2022年4月。根据研究，有理由认为其是由Conti 勒索软件团队主导，用于替代BazarLoader后门软件来获取网络的初始访问权限，并为后续的勒索攻击进 行铺垫。2022年9月，研究人员发现了该软件的在野攻击案例，主要利用PowerSploit框架将反弹DLL注 入到内存当中发动攻击。 近期，安全人员发现了该软件利用GoogleAds的新动向——通过宣传流行应用程序的钓鱼版本来将自身恶 意软件加载器传播给毫无防备的受害者。新型勒索软件MoneyMessage索要百万美元赎金 3月底，一款名为“MoneyMessage”的新勒索软件出现在互联网中，该勒索软件针对全球受害者发动攻击并 要求支付数百万美元的赎金以防止泄露数据及换取数据解密。 目前，攻击者在其勒索网站上列出了6名受害者，其中包括微电子制造商MSI及航空公司BimanAirlines。 攻击者在其数据泄露网站上列出了MSI的CTMS和ERP数据库以及包含软件源代码、私钥以及BIOS固件 等文件的屏幕截图。MoneyMessage威胁称要在五天内公布被盗1.5T大小的数据文件，除非MSI满足其 高达400万美元的赎金要求。 黑客信息披露 以下是本月收集到的黑客邮箱信息： MonaharDecryption@airmail.cc mallox.resurrection@onionmail.org lockbitdecrypt@msgsafe.io lockbitdecrypt@onionmail.org malloxdata@mailfence.com malloxdata@tutanota.com torresproxytg@proton.me sleepdb@my.com Sleepdb@tutanota.com buydecoder@nerdmail.co @data_decrypt lockdata@mailfence.com smbppt@tutanota.com xhermes@rambler.ru Johnatannielson@protonmail.com charlefletcher@onionmail.org support2022@cock.li buybackdate@nuke.africa jackie.ma@tuta.io xhermes@rambler.ru falcondal@horsefucker.org falcondal@tuta.io D4nte@onionmail.org Backup@cyberfear.com bestway4u@mailfence.com bestway4u@onionmail.com crypter@firemail.de helper@firemail.de dschen010203@gmail.com baseus0906@goat.sicarlosrestore2020@aol.com criptoman@mailfence.com gizmo12@tutanota.com warthunder089@mailfence.com warthunder089@tutanota.de help_havaneza@cryptolab.net mrbroock@msgsafe.io carabas1337@proton.me quickstep@tuta.io @Stop_24 backjohn131@gmail.com backjohn@tutanota.com RavenRestore@yandex.com fastwindglobe@cock.li @decryptfastwind fastwindGlobe@mail.ee pbs@ciptext.com pbs24@tutanota.com lockdata@tutanota.com lockdata@cyberfear.com unlockhelppk@xmpp.jp mallox@onionmail.org savetime@cyberfear.com icanrestore@onionmilorg syntaxerror@firemail.cc @decryptfastwind fastwindglobe@cock.li inter_hunter@tuta.io jerd@420blaze.it filesupport@airmail.cc recoverdata@onionmail.org recoverlokidata@gmail.com umbrage@onionmail.org filesupport@airmail.cc decgodloki@tutanota.com decgodloki@onionmail.com decryptyourfileenvi@onionmail.orgunlockerhelp@onionmail.org contact03@tutanota.com trust03@onionmail.org endevecsupp@tutanota.com unlockloki@onionmail.org unlockloki@mailfence.com vulcanteam@onionmail.org vulcanteam@mail2tor.com decryption.helper@aol.com antilock@keemail.me lokiloki@mailfence.com lokisupp0rt@yandex.com lokihelp@onionmail.org lokihelp@mail2tor.com emeraldcrypt@onionmail.org decrliv@aol.com emeraldcrypt@tutanota.com antilock@cock.li go.ahead@tutanota.com anylock@cock.li anylock@keemail.me sirhirad@cock.li sirboz@onionmail.org main642@tutanota.com everythingwillbeok@onionmail.org winston01@msgsafe.io winston01@onionmail.org supporting@firemail.cc lokisupport@onionmail.org ghosttm@zohomail.co