2022年2月勒索病毒态势分析 勒索病毒传播至今， 360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升， 勒索金额在数百万到近亿美元 的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。 360安全 大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供反勒索服务。 2022年2月，全球新增 的活跃勒索 病毒家族 有:Sutur、D3adCrypt、Sojusz、Unlock、 IIMxT等家族。本月最值得关注的有 三个热点： 一、Coffee勒索病毒先后采用 蠕虫和钓鱼邮件 的传播方式对高校 及科研院所发起针对 性攻击。 二、勒索病毒 的假旗攻击 在俄乌战争 中发挥重要作用，乌克兰连番遭遇多轮“擦除器” 攻击，多个政府网站受 到影响。 三、俄乌战争爆发 后，Conti勒索团伙 ，疑似内部分裂，大量 内部数据 被公开发布 。 四、国内多家企业 遭BlackCat攻击，存在数据泄露风险 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计， Coffee家族占比 20.84%居首位， 其次是占比 13.47%的phobos，Rook家族以12.00%位居第三。 根据360安全大脑监控到的数据 显示：  通过QQ蠕虫以及钓鱼邮件进行传播的 Coffee在本月集中发作 ，导致感染Coffee家族 的受害者数量 上涨。  本月大量Rook勒索病毒 受害者， 因下载了带有恶意代码的 AutoCAD注册机导致中招。 该注册机 会先通过在 powershell 的计划任务实现长期驻留 ，之后不断投递勒索病毒 。 同时该传播渠道也与匿影僵尸网络紧密相关 。  Mallox在本月新增多个变种，包括 avasr、consultransom 、DevicZz,其传播方式多样 化，主要攻击目标为中大型企业，在 拿下企业入口终端后，利用横向渗透的方式攻击企业 内网其他设备。 2022年2月被感染的系统中 ,桌面系统和服务器系统占比显示 :受攻击的系统 类型仍以 桌面系统 为主。与上个月相比，无较大波动。 勒索病毒疫情分析 乌克兰连番遭遇多轮 “擦除器” 攻击 俄乌战争爆发后， 出现了多轮 针对乌克兰以破坏为目的的国家级网络战攻击，攻击活动 包括分布式拒绝服务 (DDoS) 攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的 恶意数据擦除攻击等。 经分析， 这些网络攻击可能旨在造成乌克兰的混乱、阻碍通信、削弱 乌克兰的政府、民间和军事机构，是一场策划已久的网络战。 而2月底，更是出现了多轮针 对乌克兰的数据擦除恶意软件 大规模传播事件。 第一轮攻击由 WhisperGate 数据擦除器 发起，该软件在 1月就已经出现，而随着俄乌战 争的进行，其传播量力度和感染规模也随之大量增加。该病毒会先 覆盖 MBR 并销毁所有分 区，再通过Discord服务托管的 CDN下载攻击载荷，最终执行文件擦除攻击。 而在WhisperGate 获得成功后，同为“擦除器”的 HermeticWiper 及IsaacWipe r则紧 随其后，分别发动了第二、三轮擦除器攻击。 这些攻击中， 部分是由计划任务启动的，疑似 通过控制内网域控和不同网络服务的漏洞利用进行投递植入。 根据360高级威胁研究院的分析推演，在网络战中所实施的大规模破坏攻击行动，极有 可能因为不受攻击者控制的情况而波及全球，相关组织机构需要提高警惕。 Conti内部分裂，大量内部数据 被公开发布 俄乌战争爆发后， Conti勒索团伙 因支持国家不同， 引发内部分裂。一名 Conti组织的 内部成员（ 也有消息称是 一名乌克兰安全研究员） 将 Conti组织的内部对话以及勒索病毒软 件、控制面板等源代码等信息公开发布出来。 2月底，有人以@ContiLeaks 的账号名义泄露了 393份JSON文件，其中包括 Conti和 Ryuk勒索病毒组织的私人聊天记录。本 三月初，此人进一步发布而更多数据 ——这次共有 148各JSON文件，其中包括 107000余条内部消息。 随后，这位名为 @ContiLeaks 的账号继续发布了更多的消息，包括 Conti的管理面板源 码、BazarBackdoor API、数据服务器的截屏等。其中最重要的是一个包含了 Conti勒索病 毒加密器、解密器、构造器源码的存档。但该存档收到密码保护，目前尚没有被破解。 随着俄乌冲突持续， 不少网络安全相关 组织和勒索病毒团伙 开始表明立场 ，例如：  Lockbit 家族表示，该 团伙成员来自多个国家，包括俄罗斯人也包括乌克兰人，他们不 会卷入任何国际冲突，只专心 进行勒索。  Stormous 勒索病毒团伙正式宣布支持俄罗斯政府 。  出现勒索病毒对乌克兰 进行数据擦除攻击。  知名黑客论坛 Raidforums 则发出通知：禁止任何来自俄罗斯的访问。该论坛的一名成 员甚至对“俄罗斯人”发出了警告，声称掌握了包含有俄罗斯联邦安全局的电子邮件及 散列密码的数据库。  安全厂商 Emsisoft 也在twitter中公开表示站在乌克兰一方。 Coffee潜伏期高达百日 本月，360安全大脑监控 到国产勒索病毒 Coffee针对高校教师和科研人员发起勒索攻 击，其中最早一次攻击 通过软件捆绑和 QQ群钓鱼传播 且危害极大， 不仅具备蠕虫性质， 且 潜伏期还高达数百日。 该病毒的 第二轮攻击选择伪装成学校邮箱 (jcc@eudumail.cloud) 向各高校老师发送名 为《2021年度本单位职工个税补缴名单》的钓鱼 邮件，通过对受害者分析发现 受害者主要 来自今年和去年申请《国家自然科学基金》项目的 高校教师 与科研院人员 。 虽然Coffee病毒有愈演愈烈的趋势，不过可喜的是 360解密大师已经 在第一时间支持 了该勒索病毒解密 。受到Coffee勒索病毒影响的用户，可尝试使用 360解密大师解密 或联 系360安全中心寻求帮助 。 瞄准中大型企业的 Blackcat勒索病毒 BlackCat勒索病毒家族最早出现于 2021年11月，又被称作 ALPHV勒索病毒家族 ，采 用RaaS（勒索软 件即服务）模式运营，其目标为中大型企业。该家族还在暗网论坛宣传： 附 属机构勒索到的赎金，附属机构 自身可分得80%~90%。这比之前任何一个勒索组织 提供的分 成都要高，从而得到大量攻击者的吹捧，迅速融入勒索市场。在成功部署勒索病毒后，向受 害者索要价值 40万至2千万美元不等的比特币或门罗币作为赎金。 该勒索病毒能迅速融入勒索病毒市场，还因为其存在以下多个特征：  高定制性： 攻击者可根据自己的喜好进行定制， 包括受害者公钥、 被加密文件后缀、 勒索提示信息文 件名、每个文件加密大小、加密算法选择等。  高危害性：不仅会加密受害者文件，还会窃取数据、对未支付赎金受害企业 /组织 的基础设施采取分布式拒绝服务 (DDOS)攻击、羞辱受害者等。  多平台性：该勒索病毒采用 Rust语言编写，加密文件快，可在 Windwos 和Linux 等主流平台 运行。  攻击方式多样性：不仅收集被攻击企业 /组织的登录凭据 (远程桌面 RDP的登录凭 据、VPN的登录凭据等 )，还利用不同漏洞进行攻击。  私密性高：访问其谈判页面需要提供受害企业 /组织对应的 token,否则无妨访问。 避免被非受害者人员访问，接受无效沟通或恶意谈判 。 目前该家族 数据泄露网站已有 52个受害者名单，其中有 5个来自中国 。其中包含 本月 被攻击的 某新能源企业 。攻击者宣称 在此次攻击事件中 ，窃取了多 达4TB的数据，包括 太 阳能组件详细制造信息 3D图纸、数百万太阳能模块图像、客户建筑信息、制造执行系统源 码、过去 3年完整财务信息等 ，并公布了相应信息。 疑似遭泄露的 部分数据 Puma再次因勒索病毒 攻击面临数据泄露 运动服装制造商 Puma最早在2021年8月曾被Marketo 攻击，被窃取 包括其应用程序 源码在内的1GB数据。在2021年12月，其北美人力管理服务提供商之一的 Kronos被勒索 病毒攻击后， Puma相关数据再次 遭到了泄露。 本月早些时候， Kronos在向几家司法部长办公室提交的数据泄露通知称，攻击者在加 密数据之前，从 Kronos私有云(KPC)云环境中窃取了属于 Puma员工及其家属的个人信息。 Kronos将KPC描述为使用防火墙、多因身份验证和加密传输保护免受攻击的安全存储。它 用作托管 Workforce Central 、Workforce TeleStaff 、Enterprise Archive、TeleTime IP 、 医疗保健扩展 (EHC)和FMSI环境的服务器设施。 虽然通知中并没有提到有多少 Puma员工的信息在攻击期间被盗，但提供给缅因州总检 察长办公室的信息显示，勒索病毒运营者可能已经掌握了 6632份个人相关数据。 黑客信息披露 以下是本月收集到的黑客邮箱信息： writeme@onionmail.org Wingate@onionmail.org aLPoint@privatemail.com raincry@dr.com restaurera@safeswiss.com