勒索软件流行态势分析 2023年5月勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感 染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件 给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮 助的用户提供360反勒索服务。 2023年5月，全球新增的活跃勒索软件家族有:BlackSuit、Zhong、 AlphaWare、EXISC等家族。其中BlackSuit会修改被勒索设备的桌 面壁纸；EXISC是本月新增的一款以企业为目标的勒索软件。 以下是本月值得关注的部分热点： 1.Linux版RTMLocker勒索软件将VMwareESXi服务器作为攻击目 标 2.跨国科技公司ABB遭到BlackBasta勒索软件攻击 3.以Zimbra服务器为目标的新型勒索软件MalasLocker，要求受害 者进行“慈善捐款” 基于对360反勒索服务数据的分析研判，360数字安全集团高级威 胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。感染数据分析 针对本月勒索软件受害者所中病毒家族进行统计：Phobos家族占比25.42%居首位，占比15.25%的 BeiJingCrypt家族和占比14.41%的TellYouThePass家族分居二三位。 对本月受害者所使用的操作系统进行统计，位居前三的是：WindowsServer2012、Windows10以及 WindowsServer2008。 2023年5月被感染的系统中桌面系统和服务器系统占比显示，受攻击的服务器设备再次超过桌面终端。经 分析推测——这与近期针对部署了Java环境的服务器进行定向投毒的Tellyouthepass勒索软件的活跃有很 大关系。 勒索软件疫情分析 Linux版RTMLocker勒索软件将VMwareESXi服务器作为攻击目标 RTMLocker团伙自2015年以来一直活跃于金融欺诈领域，一度以传播用于金融诈骗的木马而著称。在今 年4月底，安全研究人员发现RTMLocker勒索软件推出了一项新的勒索软件即服务(Raas)活动，并开始招 募附属机构————这其中也包括了来自前Conti集团的附属机构。 据称，RTM目前已将其目标扩展到了Linux系统和VMwareESXi服务器。在过去几年中，很多企业已越来 越多的将服务系统转向虚拟机。因此，各类组织的服务器通常分布在专用设备和运行多个虚拟服务器的 VMwareESXi服务器上。而勒索软件也顺应了这一趋势————创建了专门针对ESXi服务器的Linux版勒 索软件，以成功加密企业的所有重要数据。研究人员分析发现，RTMLocker的Linux版本是基于现已解散的Babuk勒索软件的泄露源代码改写的。而 且其似乎是专门为攻击VMwareESXi系统而编写的————因为它包含了大量用于管理虚拟机的命令。此 外，目前已知该版本的RTM使用ECDH算法进行非对称加密，同时使用ChaCha20进行对称加密。 跨国科技公司ABB遭到BlackBasta勒索软件攻击 瑞士跨国电气化和自动化技术供应商ABB，遭到了BlackBasta勒索软件攻击，据报道此次攻击已经影响了 其业务运营。该公司与众多客户和地方政府合作，包括沃尔沃、日立、DSSmith、纳什维尔市政府和萨拉 戈萨市政府等重要客户。 5月7日，该公司遭到BlackBasta勒索软件团伙发动的网络攻击。据悉本次勒索软件攻击主要针对该公司 的WindowsActiveDirectory，影响了数百台设备。而作为对此次攻击的安全响应，ABB终止了与客户的VPN 连接以防止勒索软件传播到其他网络。 目前，ABB发表声明称其“最近检测到了一个直接影响某些位置和系统的IT安全事件。为了解决这种情况， ABB已经并将继续采取措施来控制这一事件，而这种控制措施对其运营造成了一些干扰”……但同时也表示 其“绝大多数系统和工厂现在都在运行，ABB将继续以安全的方式为其客户服务。” 以Zimbra服务器为目标的新型勒索软件MalasLocker，要求受害者进行“慈善捐 款” 据报道，一款针对Zimbra服务器进行入侵之后窃取电子邮件，并加密文件的新型勒索软件MalasLocker出 现。与以往勒索软件不同的是——该勒索软件攻击者并没有要求受害者，直接向他们支付赎金，而是要求 向慈善机构捐款以提供解密工具并防止数据泄露。 该勒索软件于2023年3月底开始针对Zimbra服务器发起攻击并进行加密，受害者均表示发现上传到一下 两个路径中存在可疑的JSP文件。 /opt/zimbra/jetty_base/webapps/zimbra/ /opt/zimbra/jetty/webapps/zimbra/public/而相关的jsp文件名可能有如下几个： info.jsp noops.jsp heartbeat.jsp 与常规的勒索软件最大的区别，该家族的赎金诉求：其会要求受害者向他们“批准”的非营利慈善机构捐款。 并称“只是不喜欢公司和经济不平等”“这是双赢的，如果您愿意，您可能可以从捐款中获得减税和良好的公 关形象” 黑客信息披露 以下是本月收集到的黑客邮箱信息： antilock@cock.li draculakink99@outlook.com xmaster22@tutanota.com antilock@keemail.me willbeok1234@tutanota.com xmagic22@tutanota.com anylock@cock.li everythingwillbeok@mailfence.comhelprecoverdata@aol.com anylock@keemail.me sirsilent1@onionmail.org rrdata@aol.com Backup@cyberfear.com loki_supp@outlook.com recovertwilightdata@gmail.com bestway4u@mailfence.com trust003@protonmail.com payfordecryption@gmail.com bestway4u@onionmail.com trust03@tutanota.com recovertwilightdata@gmail.com carabas1337@proton.me data2022@aol.com MonaharDecryption@airmail.cc contact03@tutanota.com lokiguide@yahooweb.co torresproxytg@proton.me criptoman@mailfence.com rdpmanager@onionmail.org baseus0906@goat.si crypter@firemail.de sirsilent2@onionmail.org carlosrestore2020@aol.com D4nte@onionmail.org data2022@onionmail.org savetime@cyberfear.com decgodloki@onionmail.com vpsran1fat@cyberfear.com syntaxerror@firemail.ccdecgodloki@tutanota.com vpsran1fat@tutanota.com mallox.resurrection@onionmail.org decrliv@aol.com recoverdata@mail2tor.com malloxdata@mailfence.com decryption.helper@aol.com dr.dcrypter@mailfence.com malloxdata@tutanota.com decryptyourfileenvi@onionmail.orgd4rkw4ve@tutanota.com mallox@onionmail.org emeraldcrypt@onionmail.org irishman@onionmail.com Johnatannielson@protonmail.com emeraldcrypt@tutanota.com irishman@tutanota.de charlefletcher@onionmail.org endevecsupp@tutanota.com advanceloki@mailfence.com lockdata@mailfence.com everythingwillbeok@onionmail.orgadvanceloki@tutanota.com smbppt@tutanota.com falcondal@horsefucker.org roxlock@keemail.me xhermes@rambler.ru falcondal@tuta.io minioncrypt@tutanota.com support2022@cock.li filesupport@airmail.cc minioncrypt@bingzone.net buybackdate@nuke.africa filesupport@airmail.cc rdecrypt@yandex.com xhermes@rambler.ru ghost