2022年4月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索病毒进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2022年4月，全球新增的活跃勒索病毒家族有:Onyx、IndustrialSpy、BlackBasta、 Pipikaki、BlockZ、Phantom、Blaze等家族，其中Onyx、IndustrialSpy、BlackBasta均 为双重勒索勒索病毒家族。 本月最值得关注的有三个热点： 一、Magniber勒索病毒再次活跃，大量用户因下载伪装成windows10的更新程序导致 文件被加密。 二、新型勒索病毒Onyx勒索病毒对大文件进行直接销毁。 三、风力涡轮机公司Nordex、Snap-on遭遇Conti勒索团伙攻击，同时发现已经黑客利 用泄露的Conti源码攻击俄罗斯公司。 四、美国牙科协会受到BlackBasta勒索病毒攻击。 基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计，TargetCompany(Mallox)家族占 比14.95%居首位，其次是占比14.71%的Rook，phobos家族以12.99%位居第三。 本月传播排名前五的家族，分别采用了不同的传播方式。勒索病毒多样化的同时，传播 渠道也在多元化。其中： TargetCompany(Mallox)通过暴力破解成功获取数据库口令后、下发远程工具投毒或直 接下发勒索病毒，同时具备内网横向移动能力。 Rook利用携带恶意代码的第三方软件进行传播， Phobos利用暴力破解远程桌面口令后投毒。 TellYouThePass利用多种Nday漏洞进行传播。 Magniber利用网页挂马，伪装成升级软件等方式进行传播。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2012以及Windows7。 2022年4月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，无较大波动。勒索病毒疫情分析 Magniber伪装成Windows10升级包进行传播 360安全大脑在4月底监控到Magniber再次活跃，此次传播不仅利用利用之前的网页 挂马，还通过伪装成Windows10升级包诱导用户下载运行。通常受害者是通过论坛、破解 软件网站等地方下载文件时跳转到第三方云盘。下载时通常会下载到一个Windows10升级 包，还可能会跳转到色情、广告、购物等网站。被该勒索病毒加密后，文件后缀为随机后缀，每个受害者会有一个独立的支付页面，若 不能在规定时间内支付赎金，该链接将失效。若受害者能在5天内支付赎金只需支付0.075 个比特币(约等于人民币18244元)，超过5天赎金将会翻倍。360安全大脑曾对受害者进行 采样跟踪，发现该家族的支付率极低，180个受害者中仅1个受害者支付赎金。 新型勒索病毒Onyx勒索病毒对大文件进行直接销毁。 新型勒索病毒Onyx目前正在广泛传播，其会直接对大文件进行破坏而非加密。这样， 即使受害者支付了赎金也无法解密这些被破坏的文件。 与目前大多数勒索病毒一样，Onyx作者会在加密文件之前从其设备中窃取数据。而这 些数据会被用于双重勒索计划——如果不支付赎金，他们便会威胁要公开发布这些敏感数据。 目前为止，该勒索病毒团伙已经在其网站上泄露了6所机构的数据，其中5所出自美国。但在加密方面，该勒索病毒的手段则比较“独特”。其会加密文件大小小于200MB的文 件，但会对大于200MB的文件用随机的垃圾数据覆盖其内容，而不是对其进行加密。由于这 只是随机创建的数据，因此包括攻击者在内，任何人都无法解密这些被破坏的大文件。即使 受害者支付赎金，也只有可能恢复较小的加密文件。 基于源码进行分析，该功能并非编程错误，而是病毒作者有意为之。因此，建议受害者 不要支付赎金。 美国牙科协会受到BlackBasta勒索病毒攻击 4月22日，美国牙科协会（ADA）遭受了网络攻击，迫使被攻击的服务器下线。此次攻 击严重干扰了其各种在线服务、电话、电子邮件和网络通信等功能。ADA网站目前仅显示一 条公式，表明他们的网站正在努力恢复系统运行。 目前，一个名为BlackBasta的新型勒索病毒团伙声称对此次攻击事件负责，并已经开 始泄露据称是在ADA攻击期间窃取到的数据。该团伙的数据泄露网站声称已经泄露了大约 2.8GB的数据，同时其还指出这是攻击中被盗数据的30%。这些数据包括W2表单、NDA、会 计电子表格以及数据泄漏页面上共享的屏幕截图中有关ADA的会员信息。Conti团伙未受源码泄露影响，对多个公司发起勒索攻击 Conti勒索团伙在俄乌冲突爆发后，内部数据遭到多次泄露，其中包括勒索病毒源代码。 近日一名为NB65的黑客组织利用Conti泄露的勒索病毒源代码创建了自己的勒索病毒，并 用于针对俄罗斯组织的网络攻击，窃取他们的数据并将其泄露到网上，并声称这些攻击是由 于俄罗斯入侵乌克兰造成的。目前声称受到黑客组织攻击的俄罗斯实体包括文件管理运营商 Tensor、俄罗斯航天局Roscosmos和国有的俄罗斯电视和广播电台VGTRK等。 Conti勒索团伙并并未受到数据泄露事件影响，仍在不停的发起勒索攻击，例如： 1.4月初，Conti勒索病毒声对风力涡轮机巨头Nordex发起勒索攻击，此次攻击时间导致 该公司被迫关闭其IT系统同时禁用了对其设备的远程访问权限。 2.2022年4月7日，Snap-on在其网络中检测到可疑活动后披露了此次数据泄露事件，这 导致他们关闭了所有系统一边进行检查和维护。在进行调查后，Snap-on发现攻击者在 2022年3月1日至3月3日期间就已经窃取了其员工的个人数据。 3.在线零售和摄影平台Shutterfly公布了一起数据泄露事件，其声称此次事件是在遭到 Conti勒索病毒攻击期间被后者窃取到了涉及员工信息的相关数据。据Shutterfly披 露，由于勒索病毒攻击，其网络于2021年12月3日遭到入侵。在勒索病毒攻击期间， 攻击者将获得了对公司网络的访问权，并成功窃取到了其中的数据和文件。黑客信息披露 以下是本月收集到的黑客邮箱信息： fcrecover@cock.li fcsupport@mailfence.commallox@stealthypost.net ironse2022@tutanota.com2022blue@mailfence.com sparemail@onionmail.org Starmoon@my.co starmoonio@tutanota.comdeviceZz@mailfence.com acookies@tutanota.comacookies@onionmail.org consult.raskey@tutanota.com Starmoon@my.com avos@thesecure.biz avos@mail2tor.com maxoll@tutanota.com maxoll@onionmail.org restoremanager22@onionmail.org Gotoworld@tutanota.comGotogoto2020@mailfence.comconsult.raskey@onionmail.org starmoonio@tutanota.com 表格1.黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多，勒索病毒所带来的 数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅 包括未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现 在这个清单中）。 以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企 业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。 本月总共有325个组织/企业遭遇勒索攻击，其中包含中国5个组织/企业在本月遭遇了 双重勒索/多重勒索。 SLH smp-corp.com fazenda.rj.gov.br IKPT CAEServices MaristesHermitage FCCH noll-law.com MAGNAR-EIKELAND.NO Jasec fec-corp.com TuckerDoor&Trim Fycis remar.com.ec eNoahitsolutions Sonae quito.gob.ec azcomputerlabs.com Dober EstEnsemble MARTINELLIGINETTOHenry AtticaGroup FavorisHoldingAG LACKS ElginCounty RagleIncorporated Axxes kdaponte.com PhoenixPackagingPA Jasec valoores.com multimmobiliare.ch NECSUM Metrobrokers produitsneptune.com ekz.de wilshire.com Morrie'sAutoGroup in2.ie NECSUMTRIS