2021年12月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供360反勒索服务。 2021年12月，全球新增的活跃勒索病毒家族有:CarckVirus、Miner、Razer、Youneedtopay、 Bl@ckt0r、Karakurt等家族，其中Bl@ckt0r、Karakurt为本月新增的双重勒索病毒家族。在本 月消失很长一段时间的TellYouThePass勒索病毒家族,利用Log4j2漏洞卷土重来。 感染数据分析 针对本月勒索病毒受害者,所中勒索病毒家族进行统计，Magniber家族占比43.64%居首 位，其次是占比11.01%的TellYouThePass，phobos家族以9.87%位居第三。 根据360安全大脑监控到的数据显示，12月初，攻击者开始利用最新的Log4j2RCE漏 洞（CVE-2021-44228）传播TellYouThePass勒索病毒家族，使用某OA用户受灾严重。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows7、Windows10、 以及WindowsServer2008。2021年12月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，无较大波动。 勒索病毒疫情分析 Log4j2漏洞被勒索病毒广泛利用 本月Apache的Log4j2组件被发现重大漏洞(CVE-2021-44228,远程代码执行漏洞)，该 漏洞在12月9日被披露，在12月11日便出现大量针对Log4j2进行的恶意攻击行为。360 安全大脑监控到，曾消失了很长一段时间的TellYouThePass勒索病毒，在12月17日携 Log4j2漏洞利用卷土重来，对某OA系统发起针对性攻击(该系统使用到了Log4j2组件)。 该家族在传播时并没有像传统的勒索病毒一样选择持续性攻击，而是间断性的攻击。其在 12月27日出现最大攻击量，单日被攻击设备超600台。由于Log4j2漏洞利用方式简单、危害严重，在本月还曾被多个勒索病毒家族使用。本 月勒索病毒相关案件还有： 本月中旬，研究人员发现新型勒索病毒Khonsari尝试利用Log4Shell进行传播。攻击 者利用Log4Shell远程执行代码漏洞从远程服务器下载.NET二进制文件，该二进制文 件对目标机器上的文件进行加密，并将扩展名.khonsari添加到每个文件中。该病毒还 会发出勒索信息，要求以比特币支付赎金。 本月下旬，著名勒索病毒家族Conti勒索病毒开始使用Log4J的相关漏洞来快速攻击 VMwarevCenterServer实例并加密虚拟机中的数据。 微软提醒自托管的Minecraft服务器管理员升级到最新版本，以抵御利用Log4J2漏洞 进入系统的Khonsari勒索攻击。 越南最大的加密交易平台之一ONUS因其支付系统使用了带有漏洞Log4j导致遭到网络 攻击。随后便找到攻击者威胁说已窃取其将近200万用户的数据，并索要500万美元的 赎金。 洛杉矶计划生育协会遭遇勒索病毒攻击 数据泄露带来的危害越来越明显，不仅影响企业/组织的正常运营，还将其负面影响逐 步渗透到大众的生活。在本月，根据洛杉矶计划生育协会(PPLA)发送给患者的通知中透露的 消息：该协会在2021年10月9日至17日之间遭受勒索病毒攻击(攻击者在其内网中潜伏了 长达一周，通过这段时间在内网中寻找并窃取高价值信息数据)，导致40万名患者数据被黑 客窃取，其中包含患者的地址、保险信息、出生日期、临床信息等。黑客在后续的勒索中， 不仅向洛杉矶计划生育协会索要赎金，同时也将魔爪伸向了个人信息泄露的40万名患者。 参考此前类似案例，黑客可能会利用这些会影响患者的名誉或工作的特点私密信息，以泄露 给患者朋友或雇主为名，对患者本人勒索赎金。 Hive勒索病毒组件大联盟，四个月内攻击数百个目标 通过安全研究员直接从Hive的管理小组收集到的信息发现，Hive勒索病毒团伙可能比其泄密站点显示的更加活跃，自该行动于6月下旬曝光以来，其下属组织平均每天攻击3家 公司，其下属组织在四个月的事件入侵了超过350个企业或组织。 该团伙的数据泄露站点目前仅列出了71家未支付赎金的公司，表明有大量Hive勒索病 毒受害者支付了赎金。保守估计，仅在10月到11月之间，Hive勒索病毒团伙的利润就高 达数百万美元。 Rook勒索病毒是Babuk泄露代码的新一代衍生品 Babuk勒索病毒家族在2021年4月攻击华盛顿警方后，因对从警方窃取到的250GB数 据处理意见始终无法达成一致，最终内部分裂。在6月份其生成器被恶意泄露，在9月其完 整的源代码被公开发布在暗网。 近期的网络攻击中出现的一款名为Rook的新型勒索病毒，其技术细节、传播链条以及 方式，都与Babuk勒索病毒非常相似。该团伙自称急需通过破坏公司网络和加密设备来赚取 “大量资金”。截止2021年12月31日，该家族已在其数据泄露网站公开发布过6名受害企 业/组织信息。同时，从该家族的数据泄露网站发布的信息看，该家族陈，如果发现其网站 不能被正常访问，将会立即发布受害者信息，企图通过威胁的手段阻止第三方（网络安全公 司、执法部门等）攻击其基础设备。黑客信息披露 以下是本月收集到的黑客邮箱信息： albertpattisson1981@protonmail.comdecryptionx@inboxhub.netrook@securityrook.com steven1973parker@libertymail.netrecover520@mailfence.comsorryneedbtc@gmx.com yourlovelysupport@mailfence.com johnwilliams1887@gmx.commalloxx@tutanota.com helprestoremanager@airmail.cc karenkhonsari@gmail.comecrypt24@nerdmail.co securityrook@securityrook.com bothelper@mailfence.comcr0prop@firemail.cc decryptyourfiles@firemail.cc GoodDay@privatemail.comfilemanager@cock.li Victorcrou@privatemail.com Helper@privatemail.com kingbo@tutanota.com grejkugulik@onionmail.org makopsupp@tutanota.com code1024@keemail.me decryptionx@onionmail.org arnoldgladys88@gmx.com 2021@onionmail.org yourlovelysupport@xmpp.jp dr.helper@tutamail.com encrypt11@cock.li tSupport@privatemail.com Dekrypt24@tutanota.com fileback@tuta.io edljackson@onionmail.org webweb321@firemail.cc fileback@cock.li JimThompson@ctemplar.com file-manager@email.tg rpd@keemail.me willettamoffat@yahoo.com rapid@aaathats3as.com 表格1.黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多，勒索病毒所带来的 数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅 为没有第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在 这个清单中）。以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企 业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。本月总共有258个组 织/企业遭遇勒索攻击，其中中国仅有1个组织/企业在本月遭遇了双重勒索/多重勒索。 DFL THONIALUTEC jpbdselangor.gov.my LAVI wagstaff.com benlineagencies.com Finq ytlcement.com Strataworldwide.com RCMS CHRSolutions urbandevelop.com.au RKPT Unexca.edu.ve lipinskilogging.com LAVA g1group.co.uk Economosproperties HOULE robroelaw.com BerndSiegmundGmbH Ruwac rbauction.com DecoratorIndustries Saand tt-network.dk hp.icon-institute.de MEETH ValleyRealty proximitysystems.com Leuze PursellFarms NordicChoiceHotels DENSO PROFILALSA