2022年6月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到数万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额高达数百万到近亿美元的勒索案 件也不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360 安全大脑针对勒索病毒进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2022年6月，全球新增的活跃勒索病毒家族有:BlueSky、CrimsonWalrus、SiegedSec、 Agenda、Kawaii、DamaCrypt、RedTeam等家族，其中CrimsonWalrus和SiegedSec均为双 重勒索，勒索病毒家族。 本月最值得关注的有三个热点： 1.LockBit3.0来袭，首个推出勒索病毒漏洞赏金计划以及首个在数据泄露网站添加 对受害组织/企业数据购买/销毁/延期的支付通道。 2.多款“新型”勒索软件在本月活跃。包括使用全中文勒索提示信息的Rook，通过 SQLGlobeImposter渠道传播的BlueSky新型勒索病毒以及通过僵尸网络和远程桌 面协议进行传播的Pipikaki勒索病毒。 3.针对威联通设备的勒索攻击持续活跃，eCh0Raix勒索病毒攻击尚未停止，又新增 DeadBolt勒索病毒攻击。 基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索病毒受害者所感染勒索病毒家族进行统计，Magniber家族占比32.59%居 首位，其次是占比11.38%的phobos，Rook家族以10.49%位居第三。 本月上旬消失数月的Rook勒索病毒家族，携全新后缀名与勒索提示信息卷土重来，本 月下旬利用匿影僵尸网络以及RDP暴破进行传播的Pipikaki在国内异常活跃。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2008、以及WindowsServer2012。 2022年6月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，无较大波动。 勒索病毒疫情分析 LockBit3.0来袭 本月,Lockbit勒索病毒团伙正式发布3.0版本，并在其数据泄露网站发布公告，邀请 全球所有的安全研究员参与该团伙的漏洞赏金计划——根据漏洞的严重程度可换取1000至 100万美元的奖金。 该勒索团伙还在其数据泄露网站发布一篇长文，详细描述该团伙能为病毒运营及投放者提供的支持，其中包括：安全软件的绕过、网络资源检测、域内自动分发、数据窃取等。同 时详细罗列哪些类型的企业不允许实施加密，但可窃取重要数据，例如：核电站、火力发电 站、水力发电站等关键基础设施；石油、天然气等能源行业；可能会影响生命的医疗机构等。 并鼓励病毒运营及投放者对警察局和任何从事寻找逮捕黑客的执法机构发动攻击。 在已被公布受害组织/企业的链接中，能直接看到该团伙索要的赎金金额。目前该团伙 为针对被窃取到数据的受害组织/企业提供以下三个选项（黑客会根据受害组织/企业窃取到 的数据进行估值，因此每个受害组织/企业被勒索的赎金并不相同，以下为一个受害企业示 例）： 4.提供1000美元对数据泄露倒计时进行24小时的延时。 5.提供40000美元赎金对窃取到的数据进行销毁。 6.提供40000万美元的数据对窃取到的数据进行购回。 多款“新型”勒索病毒在本月活跃 360安全大脑监测到本月有三款勒索病毒异常活跃。其中第一款是在本月上旬消失数月 的Rook勒索病毒再次回归公众视野。在消失之前，该家族曾短暂想要通过模仿LockBit和 BlackCat两款流行的双重勒索病毒来混淆视听，失败后便销声匿迹。此次回归使用的勒索 提示信息采用全中文版，对每个受害者索要价值4000人民币的比特币。同时还提醒受害者 可通过淘宝和勒索病毒贴吧去获取解密协助。 第二款是在本月中旬出现的一款自称为BlueSky的勒索病毒。根据360安全大脑监测到 的数据分析，该家族通过SQLGlobeImposter渠道进行传播（该渠道的传播方式为：黑客通 过暴力破解方式获取到数据库密码后向被攻陷设备投放各类型病毒木马）。受害者通常会被 索要0.1比特币作为赎金（截至报告撰写时，约合人民币13291元）。第三款则是本月下旬开始活跃的Pipikaki勒索病毒家族。该家族虽然4月份已在国外 被发现，但本月才开始在国内流行传播。通过360安全大脑监控到的数据分析到，该家族不 仅利用暴力破解远程桌面弱口令后手动投毒，还通过匿影僵尸网络进行传播。被攻击的设备 通常是在收到攻击前运行过AutoDesk注册机、CAD注册机、KMS注册机等工具软件。而这些 程序通常带有恶意代码，会向受害者机器内写入计划任务，定时启动达到长期驻留在受害者 系统的目的，而后由僵尸网络控制者决定向其下发什么类型的病毒木马。也正因这种先感染 后受控中毒的特性，导致受害者运行这类工具后文件并不会马上被加密，也给事后分析病毒 来源带来了一定的难度。NAS设备迎来新对手 本月初，有威联通设备遭遇eCh0raix勒索病毒攻击。eCh0raix（也称为QNAPCrypt） 从2019年夏天开始，便多次大规模对QNAP的NAS设备发动攻击并成功入侵，直至2020 年5月该家族依然有攻击活动，并于2021年12月中旬开始针对NAS设备发动了新一轮的大 量弱口令攻击，而这一波攻势在2022年2月初才逐步放缓。 此次eCh0raix的新一轮攻击出现在6月8日前后，目前已经捕获到数十个eCh0raix 的变种样本，预估实际成功攻击量会更高。此外，QNAP于6月17日再次警告其用户要当心他们的设备遭到另一款勒索病毒—— DeadBolt的新一轮攻击。根据威联通产品安全事件响应小组（QNAPPSIRT）的调查，这两 次的勒索病毒攻击针对使用QTS4.3.6和QTS4.4.1的NAS设备，受影响的机型主要是TS-x51 系列和TS-x53系列。“此次警告是在该公司自2022年初以来发布的第四次相关警报信息， 所有这些警报都建议用户保持其设备最新状态，且不要将设备其暴露在互联网中。” 黑客信息披露 以下是本月收集到的黑客邮箱信息： return@email.tg bleepbloopbop@criptext.combleepbloopbop@protonmail.com back23@vpn.tg for_recovery@privatemail.comData_recovery_asia@mailfence.com recoverservice5@onionmail.orgrestaurera@rbox.co recuper@smime.ninja blockzsupport@protonmail.com@PIPIKAKI pipikaki@onionmail.org irvesely17@onionmail.org yourcyanide.help@gmail.comencoderdecryption@yandex.ru encoderdecryption@gmail.com@EAF_SUPPORT_BOT d3add@privatemail.com supportx@privatemail.com yoshihama@privatemail.comariakei@protonmail.com ariakei@protonmail.com xats@privatemail.com teamdecrypt@disroot.org snowbox@tuta.io helpforyou@gmx.com @Ransomware_Decrypt d3add@privatemail.com tomas1991goldberg@medmail.chbuybackdate@privatemail.com r3wuq@tuta.io Starmoon@my.com rebackteam@mail.eereback01@tutanota.com bsupport@email.tg woodpeker@tutanota.com dealinfrm@cock.li brendasrivera@tutanota.cometernalnightmare@tutanota.com qkhooks0708@protonmail.compoolhackers@tutanota.com shadowghosts@tutanota.com fortihooks@protonmail.comshadowghosts@tutanota.comrsaecho@tutanota.com securityaccounts@tutanota.comtakunoya@tutanota.com etira@tutanota.com payorleak@cock.li JulioErick@tutanota.com payorleak@cock.li Just4money@TUTANOTA.COM bsupport@email.tg marcosroxana@aol.com sikfotrisd@tutanota.com khgurwte@tutanota.com apolo1000@protonmail.com sacipaws@tutanota.com jiminok31@cock.li for_recovery@privatemail.com hudson