2022年3月勒索病毒态势分析 勒索病毒传播至今， 360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。 360安全 大脑针对勒索病毒进行了全方位的监测与防御，为需要帮助的用户提供 360反勒索服务。 2022年3月， 全球新增的活跃勒索病毒家族有 :FarAttack 、Venus、Sojusz、KalajaTomorr 、 GoodWill 、Pandora、AntiWar、IceFire、Acepy等家族，其中 Pandora 是由双重勒索勒索 Rook家族演变而来目前已有 4名受害者。 本月最值得关注的有三个热点： 一、TellYouThePass 近期多次活跃，并新增利用 Spring漏洞和向日葵漏洞发起攻击 二、双重勒索 Cuba开始攻击国内用户 三、三星、英伟达、微软等大型企业遭遇 LAPSU$数据勒索团伙攻击，大量数据遭遇泄 漏。 基于对360反勒索数据的分析研判， 360政企安全集团高级威胁研究分析中心 (CCTGA勒 索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计， Mallox(TargetCompany) 家族占 比15.52%居首位， 其次是占比 13.53%的phobos，TellYouThePass 家族以12.42%位居第三。 从2月份开始 Mallox(TargetCompany) 将内网横向渗透加入到攻击模式中，其感染量开 始不断上升，在本月跃升到 TOP 1。 TellYouThe Pass家族因本月多次间断性发起攻击，其感染量相比以往也有大幅度的上 涨。 对本月受害者所使用的操作系统进行统计，位居前三的是： Windows 10 、Windows 7 、 以及Windows Server 20 12。 2022年3月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，无较大波动。 勒索病毒疫情分析 近期多次活跃的 TellYouThePass 勒索病毒家族 360安全大脑监测到，从 2022年2月底到3月，TellYouThePass 间歇性发起过多 次勒 索攻击。本月该家族继续使用 Log4j2发动攻击，同时还新增了使用 Spring boot 漏洞和利 用向日葵漏洞 (CNVD-2022-10270 远程代码执行 )的攻击。 TellYouThePass 能够同时感染 Windows和Linux操作系统，也使这个家族的危害大大 增加，在下发攻击代码时，攻击者并不区分当前被攻击的操作系统。在本月， 360安全大 脑也监测到有多个 Linux设备也被该家族攻陷。 双重勒索 Cuba开始攻击国内用户 本月监测到多个国内用户遭遇 Cuba勒索病毒攻击事件。 Cuba勒索团伙又被称作 UNC2596 勒索团伙，最早出现于 2019年，采用双重模式 (加密被攻击设备的同时，也窃取有价值的数 据作为勒索赎金的重要筹码 )。其最为出名的攻击方式为与恶意软件的垃圾邮件运营商 Hancitor 合作针对企业进行攻击，滥用 Microsoft Exchange 漏洞来收集数据、部署各种 Webshell 、远程访问木马 (RAT)等恶意程序。其受害企业 /组织有80%都来自北美，其中美国 最为严重，至少有 49个组织/企业遭遇该家族攻击。而该团伙则从这些 受害者身上谋利近 4400万美元。通过跟踪发现，该家族并未将所有受害者名单全数发布到数据泄露网站中， 因此可以推断其受害者数量远高于 49个。 LAPSUS$频繁作案，天才少年被捕 Lapsus$是一个来自多个国家组合而成的数据勒索团伙，首次出现于 2021年12月，曾 对巴西卫生部发起勒索。近期该团伙又多次发起数据勒索攻击，其成功攻击对象包括英伟达 (NVIDIA) 、三星、微软以及 Okta等大型企业，还将 Ubisoft、电信公司 Vodafone 和电子商 务巨头Mercado作为攻击目标，发起攻击。 在本月末， 已有7名与该团伙有关的人员（年龄在 16岁至21岁之间，其中一名 16岁 人员来自英国牛津，是 Lapsus$领导人之一，据信他从黑客活动中积累了 300 多个比特币 ——按今天的价值计算，约为 1300 万美元）被逮捕。 以下是近期该团伙发起的攻击中广受瞩目的案件：  2月26日，该组织宣称已盗取知名显卡厂商 NVIDIA的服务器，并成功窃取了超过 1TB 的内部数据。但不久后该组织又表示遭到了 NVIDIA的反向入侵，并称对方将通过技术 手段将被窃取的数据进行了加密 ——这一行动主要是为了防止这些敏感数据遭到泄露。 但窃取到的数 据被该团伙已是先备份，目前已有两个数字签名证书被泄漏， 目前已经出 现了使用泄露证书签名的在野恶意软件。  3月4日，在该组织对外发布新一轮数据，泄露了韩国消费电子巨头三星电子的大量机 密数据。其声称，在其发布的代码中包括：三星 TrustZone 环境中安装的所有受信应用 源代码，可被用于各种敏感操作；所有生物特征解锁操作的算法；所有最新三星设备的 引导加载程序源码；来自高通的机密源码；三星激活服务器的源码；用于授权和验证三 星帐户的技术的完整源代码，包括所有 API和服务。  3月20日，LAPSUS$黑客组织在其 Telegram频道上发布了一张截图，表明其成功入侵 了微软的 Azure DevOps 服务器。并获取了其中包含 Bing、Cortana及其他各种内部项 目的源码。随后的 21日，该组织发布了一个大小为 9GB的7zip压缩包的种子文件，其 中包含了 250多个项目的源码。发布时， LAPSUS$还表示其中包含 90%的被盗Bing源码 以及约45%的被盗Bing Maps 及Cortana源码。并声称全部源码大小约为 37GB。 黑客信息披露 以下是本月收集到的黑客邮箱信息： explus@tutanota.com devicZz@mailfence.com Dec_youfile1986@mailfence.com @Ransome_Decrypters recohelper@cock.li jerry@onionmail.org blackrose786@disroot.org asgardmaster5@protonmail.com asgardmaster5@protonmail.com christian1986@tutanota.com hello_company@protonmail.com j.jasonm@yandex.com melling@confidential.tips r19nar0k@airmail.cc ragnar0k@ctemplar.com ragnar0k@tutanota.com ragnarok@rape.lol ragnarok_master@protonmail.com ragnarok_master@protonmail.com ragnarok_recover@secmail.pro yawkyawkyawk@cock.li emcryptsupport@msgsafe.io Decryptfiles@goat.siIn Decoder@firemail.cc venom@privatemail.com AcepyRansom@protonmail.com contact@pandoraxyz.xyz ust29@aol.com divevecufa@firemail.cc prismchigo@tutanota.com supportsys@airmail.cc consultransom@tutanota.com consultransom@protonmail.com erinalexralf@aol.com happy2022@tutanota.com curiosity08@tutanota.com itlab@techmail.info antich154@privatemail.com rikyrank113@protonmail.com backmydata@mail.ua jujumba@tuta.io jokers777@tutanota.com itlab@keemail.me crypt2022@aol.com antistress.ir@yandex.ru antistress.ir@keemail.me oslapisavkusna@onionmail.org anticrypto@tutanota.com file.decrypt@onionmail.org file.decrypt@yahoo.com crypt22@aol.com 3ncrypter.m4n@gmail.com 3ncryptionfile@gmail.com fileback@cock.li help.encryptor@gmail.com help.encryptorr@gmail.com ba