勒索软件流行态势分析 2023年8月勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感 染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件 给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮 助的用户提供360反勒索服务。 2023年8月，全球新增的活跃勒索软件家族有INCRansom、 RansomedVC、Cloak、PeaceTaxAgency、Metaencryptor等家族。 以下是本月值的关注的部分热点： 1.TellYouThePass再度来袭，集中攻击OA及财务类系统平台 2.Rhysida勒索软件被锁定为近期针对医保系统的攻击事件幕后黑 手 3.日本钟表制造商精工遭BlackCat勒索软件团伙攻击 基于对360反勒索服务数据的分析研判，360数字安全集团高级威 胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比18.18%居首位，第二的是占比 16.78%的TellYouThePass，BeijingCrypt家族以15.38%位居第三。 其中，位居第二的TellYouThePass，在8月最后一个周末，利用web漏洞发动大面积攻击。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2008以及 WindowsServer2012。 2023年8月被感染的系统中，桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当。勒索软件热点事件 TellYouThePass再度来袭，集中攻击OA及财务类系统平台 8月27日，发生一起针对OA、财务类系统平台的勒索投毒攻击事件，攻击目标主要为畅捷通财务管理软 件，投递病毒为“TellYouThePass”勒索病毒。此次攻击的范围波及大约1000台服务器，目前攻击所使用的 载荷已下线，但攻击本身仍在自动执行中。 攻击现场如下： 目前已发现的攻击载荷如下（目前均已下线）： hxxp://45.95.174.125/logout.htahxxp://45.95.173.29/a “TellYouThePass”勒索病毒家族是一种勒索软件，最早于2019年3月出现。由于其背后始终是由单一黑客 组织运营，因此该黑客组织也同样被称为TellYouThePass。根据现有线索推断，该组织为国内黑客团伙， 其惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对暴露于网络上并存在有漏洞的机器发起 攻击。 其曾经使用过的代表性漏洞有：“永恒之蓝”系列漏洞、WebLogic应用漏洞、Log4j2漏洞、用友OA漏洞、 畅捷通漏洞等。而一旦攻击成功后，便会投递勒索病毒实施加密，并向被加密的文件添加后缀名为“.locked”。 该家族在去年发动了几轮攻击后，已经逐渐销声匿迹。但今年6月初，TellYouThePass再次卷土重来，利 用畅捷通T+财务管理系统中存在的命令执行漏洞发起攻击发起了一波较为强势的攻击。而本轮攻击是今年 其“重出江湖”后的第二次大规模勒索攻击。希望广大政企单位对各类网络服务、OA及财务类应用的安全问 题提起重视，及时修补漏洞并进行有效的安全监控和管理。 Rhysida勒索软件被锁定为近期针对医保系统的攻击事件幕后黑手 近期针对医疗机构的一波攻击迫使美国政府机构和网络安全公司更加密切地关注Rhysida勒索软件。在美 国卫生与公众服务部(HHS)发布安全公告后，CheckPoint、思科Talos和趋势科技均发布了有关Rhysida的 报告，对其攻击者进行密切关注。今年6月，Rhysida在其数据泄露网站上泄露了从智利陆军（EjércitodeChile） 窃取的文件后首次进入公众视野。在当时，安全人员对Rhysida的初步分析表明，该勒索软件正处于早期 开发阶段，缺少大多数病毒株中常见的标准功能。如持久性机制、卷影复制擦除、进程终止等。 而近期Rhysida在暗网数据泄露网站列出了澳大利亚的一家医疗机构，并在对外宣称这些数据被盗之前曾 给对方一周的时间支付赎金。根据美国卫生与公众服务部(HHS)8月初发布的一份公告警告称：虽然Rhysida 仍在使用较为基础的加密程序，但其扩散规模已发展到了非常危险的程度。最近，攻击者更是表现出对医 疗保健相关机构的特别关注。 据消息人士透露，Rhysida是近期ProspectMedicalHoldings遭受网络攻击的幕后黑手。该公司的系统目前 仍然因受到攻击而中断，并已影响了美国各地的17家医院和166家诊所。但Rhysida尚未宣布对此次攻 击负责，PMH也没有公布有关勒索软件团伙是否是此次攻击幕后黑手的电子邮件。日本钟表制造商精工遭BlackCat勒索软件团伙攻击 2023年8月10日，精工公司曾发布了一份数据泄露通知，通知称未经授权的第三方获得了对其IT基础设 施至少是部分的访问权限，并可能窃取了内部数据。精工的声明中写道：“似乎在2023年7月28日，一股 身份不明的团体在未经授权的情况下获得了对我们至少一台服务器的访问权限。”……“随后的8月2日，我 们委托外部网络安全专家团队对情况进行调查和评估。”……“因此，我们现在可以合理地确定存在被入侵的 情况，并且我们公司及集团公司存储的一些信息可能已遭到泄露。”据此，精工向可能受影响的客户及业务 合作伙伴道歉，并敦促他们警惕可能冒充精工的电子邮件或其他信息。 而在8月21日，BlackCat勒索软件组织声称是精工遭到攻击事件的幕后黑手，并发布了他们声称在攻击期 间窃取到的数据样本。在发布页中，攻击者一并嘲笑了精工的IT安全性，并泄露了疑似是生产计划、员工 护照扫描件、新型号发布计划和专项实验室测试结果等内容。最令人担忧的是，攻击者泄露了他们声称是 机密技术原理图和精工手表设计的数据样本。 目前，精工方面尚未对当前发生的数据泄露事件发表回应。 黑客信息披露 以下是本月收集到的黑客邮箱信息： nztz@tuta.io bob1997marley@firemail.cc decvvv110@tutanota.com datukraine@tuta.io bob1997marley@zohomail.eu criptor@tutanota.com datukr@onionmail.org cris_nickson@xmpp.jp bitencrypt@mailfence.com kazinbekdutch@tutanota.com piltecheesig1973@protonmail.com bkpsvr@firemail.cc kazinbekdutch@cock.li NoLock@keemail.me pcsupport@skiff.com kazinbekdutch@protonmail.com NoLock@mailfence.com pctalk01@tutanota.com BM-2cT72URgs1AWGV6Wy6KBu2yuj3 ychN5vxC@bitmessage.ch WoundedOwl@onionmail.org legion@tfwno.gf krize@onionmail.com WoundedOwl@cyberfear.com henderson@cock.li globalkrize@proton.me leejohn@inboxhub.net myfile@waifu.com support.antimalware@onionmail.comleejohn@cryptolab.net shonpen@mailfence.com upport.antimalware@msgden.com network@outlookpro.net taxasfshwkasjfbuwbsja@protonmail.com haymaker@qq.com networks@onionmail.org a_princ@aol.com medusa.support@onionmail.org mallox.ressurection@onionmail.orghelp@assistrecovery.pw aisaragpt@tuta.io RealWorld44@Tutanota.com unrasolo1970@proton.me aisaragpt@proton.me MerlinWebster@aol.com solo@proton.me toridastford@zohomail.com topcorp@usa.com teodorcarrida@tuta.io LettoIntago@onionmail.org topcorp24@mail.com cybcyb123@tutanota.comprotec5@onionmail.org freeworld7001@gmail.com 3cfxg@onionmail.org goodwork2020@mailfence.com decrypt2023@cock.li quvn5llxk@mailfence.com protonis2023@tuta.io decrypt2023@cyberfear.com emcrvpts@msgsafe.io DoraRec@onionmail.org ware_house@tuta.io helpsend