2022年3月勒索病毒态势分析
勒索病毒传播至今, 360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒
索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件
不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。 360安全
大脑针对勒索病毒进行了全方位的监测与防御,为需要帮助的用户提供 360反勒索服务。
2022年3月, 全球新增的活跃勒索病毒家族有 :FarAttack 、Venus、Sojusz、KalajaTomorr 、
GoodWill 、Pandora、AntiWar、IceFire、Acepy等家族,其中 Pandora 是由双重勒索勒索
Rook家族演变而来目前已有 4名受害者。
本月最值得关注的有三个热点:
一、TellYouThePass 近期多次活跃,并新增利用 Spring漏洞和向日葵漏洞发起攻击
二、双重勒索 Cuba开始攻击国内用户
三、三星、英伟达、微软等大型企业遭遇 LAPSU$数据勒索团伙攻击,大量数据遭遇泄
漏。
基于对360反勒索数据的分析研判, 360政企安全集团高级威胁研究分析中心 (CCTGA勒
索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计, Mallox(TargetCompany) 家族占
比15.52%居首位, 其次是占比 13.53%的phobos,TellYouThePass 家族以12.42%位居第三。
从2月份开始 Mallox(TargetCompany) 将内网横向渗透加入到攻击模式中,其感染量开
始不断上升,在本月跃升到 TOP 1。
TellYouThe Pass家族因本月多次间断性发起攻击,其感染量相比以往也有大幅度的上
涨。
对本月受害者所使用的操作系统进行统计,位居前三的是: Windows 10 、Windows 7 、
以及Windows Server 20 12。
2022年3月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以
桌面系统为主。与上个月相比,无较大波动。
勒索病毒疫情分析
近期多次活跃的 TellYouThePass 勒索病毒家族
360安全大脑监测到,从 2022年2月底到3月,TellYouThePass 间歇性发起过多 次勒
索攻击。本月该家族继续使用 Log4j2发动攻击,同时还新增了使用 Spring boot 漏洞和利
用向日葵漏洞 (CNVD-2022-10270 远程代码执行 )的攻击。
TellYouThePass 能够同时感染 Windows和Linux操作系统,也使这个家族的危害大大
增加,在下发攻击代码时,攻击者并不区分当前被攻击的操作系统。在本月, 360安全大
脑也监测到有多个 Linux设备也被该家族攻陷。
双重勒索 Cuba开始攻击国内用户
本月监测到多个国内用户遭遇 Cuba勒索病毒攻击事件。 Cuba勒索团伙又被称作 UNC2596
勒索团伙,最早出现于 2019年,采用双重模式 (加密被攻击设备的同时,也窃取有价值的数
据作为勒索赎金的重要筹码 )。其最为出名的攻击方式为与恶意软件的垃圾邮件运营商
Hancitor 合作针对企业进行攻击,滥用 Microsoft Exchange 漏洞来收集数据、部署各种
Webshell 、远程访问木马 (RAT)等恶意程序。其受害企业 /组织有80%都来自北美,其中美国
最为严重,至少有 49个组织/企业遭遇该家族攻击。而该团伙则从这些 受害者身上谋利近
4400万美元。通过跟踪发现,该家族并未将所有受害者名单全数发布到数据泄露网站中,
因此可以推断其受害者数量远高于 49个。
LAPSUS$频繁作案,天才少年被捕
Lapsus$是一个来自多个国家组合而成的数据勒索团伙,首次出现于 2021年12月,曾
对巴西卫生部发起勒索。近期该团伙又多次发起数据勒索攻击,其成功攻击对象包括英伟达
(NVIDIA) 、三星、微软以及 Okta等大型企业,还将 Ubisoft、电信公司 Vodafone 和电子商
务巨头Mercado作为攻击目标,发起攻击。
在本月末, 已有7名与该团伙有关的人员(年龄在 16岁至21岁之间,其中一名 16岁
人员来自英国牛津,是 Lapsus$领导人之一,据信他从黑客活动中积累了 300 多个比特币
——按今天的价值计算,约为 1300 万美元)被逮捕。
以下是近期该团伙发起的攻击中广受瞩目的案件:
2月26日,该组织宣称已盗取知名显卡厂商 NVIDIA的服务器,并成功窃取了超过 1TB
的内部数据。但不久后该组织又表示遭到了 NVIDIA的反向入侵,并称对方将通过技术
手段将被窃取的数据进行了加密 ——这一行动主要是为了防止这些敏感数据遭到泄露。
但窃取到的数 据被该团伙已是先备份,目前已有两个数字签名证书被泄漏, 目前已经出
现了使用泄露证书签名的在野恶意软件。
3月4日,在该组织对外发布新一轮数据,泄露了韩国消费电子巨头三星电子的大量机
密数据。其声称,在其发布的代码中包括:三星 TrustZone 环境中安装的所有受信应用
源代码,可被用于各种敏感操作;所有生物特征解锁操作的算法;所有最新三星设备的
引导加载程序源码;来自高通的机密源码;三星激活服务器的源码;用于授权和验证三
星帐户的技术的完整源代码,包括所有 API和服务。
3月20日,LAPSUS$黑客组织在其 Telegram频道上发布了一张截图,表明其成功入侵
了微软的 Azure DevOps 服务器。并获取了其中包含 Bing、Cortana及其他各种内部项
目的源码。随后的 21日,该组织发布了一个大小为 9GB的7zip压缩包的种子文件,其
中包含了 250多个项目的源码。发布时, LAPSUS$还表示其中包含 90%的被盗Bing源码
以及约45%的被盗Bing Maps 及Cortana源码。并声称全部源码大小约为 37GB。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
explus@tutanota.com devicZz@mailfence.com Dec_youfile1986@mailfence.com
@Ransome_Decrypters recohelper@cock.li jerry@onionmail.org
blackrose786@disroot.org asgardmaster5@protonmail.com asgardmaster5@protonmail.com
christian1986@tutanota.com hello_company@protonmail.com j.jasonm@yandex.com
melling@confidential.tips r19nar0k@airmail.cc ragnar0k@ctemplar.com
ragnar0k@tutanota.com ragnarok@rape.lol ragnarok_master@protonmail.com
ragnarok_master@protonmail.com ragnarok_recover@secmail.pro yawkyawkyawk@cock.li
emcryptsupport@msgsafe.io Decryptfiles@goat.siIn Decoder@firemail.cc
venom@privatemail.com AcepyRansom@protonmail.com contact@pandoraxyz.xyz
ust29@aol.com divevecufa@firemail.cc prismchigo@tutanota.com
supportsys@airmail.cc consultransom@tutanota.com consultransom@protonmail.com
erinalexralf@aol.com happy2022@tutanota.com curiosity08@tutanota.com
itlab@techmail.info antich154@privatemail.com rikyrank113@protonmail.com
backmydata@mail.ua jujumba@tuta.io jokers777@tutanota.com
itlab@keemail.me crypt2022@aol.com antistress.ir@yandex.ru
antistress.ir@keemail.me oslapisavkusna@onionmail.org anticrypto@tutanota.com
file.decrypt@onionmail.org file.decrypt@yahoo.com crypt22@aol.com
3ncrypter.m4n@gmail.com 3ncryptionfile@gmail.com fileback@cock.li
help.encryptor@gmail.com help.encryptorr@gmail.com ba
360 2022年03月勒索病毒流行态势分析
安全报告 >
360 >
文档预览
中文文档
12 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-11-29 01:36:57上传分享