2021年12月勒索病毒态势分析
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒
索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件
不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全
大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年12月,全球新增的活跃勒索病毒家族有:CarckVirus、Miner、Razer、Youneedtopay、
Bl@ckt0r、Karakurt等家族,其中Bl@ckt0r、Karakurt为本月新增的双重勒索病毒家族。在本
月消失很长一段时间的TellYouThePass勒索病毒家族,利用Log4j2漏洞卷土重来。
感染数据分析
针对本月勒索病毒受害者,所中勒索病毒家族进行统计,Magniber家族占比43.64%居首
位,其次是占比11.01%的TellYouThePass,phobos家族以9.87%位居第三。
根据360安全大脑监控到的数据显示,12月初,攻击者开始利用最新的Log4j2RCE漏
洞(CVE-2021-44228)传播TellYouThePass勒索病毒家族,使用某OA用户受灾严重。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows7、Windows10、
以及WindowsServer2008。2021年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以
桌面系统为主。与上个月相比,无较大波动。
勒索病毒疫情分析
Log4j2漏洞被勒索病毒广泛利用
本月Apache的Log4j2组件被发现重大漏洞(CVE-2021-44228,远程代码执行漏洞),该
漏洞在12月9日被披露,在12月11日便出现大量针对Log4j2进行的恶意攻击行为。360
安全大脑监控到,曾消失了很长一段时间的TellYouThePass勒索病毒,在12月17日携
Log4j2漏洞利用卷土重来,对某OA系统发起针对性攻击(该系统使用到了Log4j2组件)。
该家族在传播时并没有像传统的勒索病毒一样选择持续性攻击,而是间断性的攻击。其在
12月27日出现最大攻击量,单日被攻击设备超600台。由于Log4j2漏洞利用方式简单、危害严重,在本月还曾被多个勒索病毒家族使用。本
月勒索病毒相关案件还有:
本月中旬,研究人员发现新型勒索病毒Khonsari尝试利用Log4Shell进行传播。攻击
者利用Log4Shell远程执行代码漏洞从远程服务器下载.NET二进制文件,该二进制文
件对目标机器上的文件进行加密,并将扩展名.khonsari添加到每个文件中。该病毒还
会发出勒索信息,要求以比特币支付赎金。
本月下旬,著名勒索病毒家族Conti勒索病毒开始使用Log4J的相关漏洞来快速攻击
VMwarevCenterServer实例并加密虚拟机中的数据。
微软提醒自托管的Minecraft服务器管理员升级到最新版本,以抵御利用Log4J2漏洞
进入系统的Khonsari勒索攻击。
越南最大的加密交易平台之一ONUS因其支付系统使用了带有漏洞Log4j导致遭到网络
攻击。随后便找到攻击者威胁说已窃取其将近200万用户的数据,并索要500万美元的
赎金。
洛杉矶计划生育协会遭遇勒索病毒攻击
数据泄露带来的危害越来越明显,不仅影响企业/组织的正常运营,还将其负面影响逐
步渗透到大众的生活。在本月,根据洛杉矶计划生育协会(PPLA)发送给患者的通知中透露的
消息:该协会在2021年10月9日至17日之间遭受勒索病毒攻击(攻击者在其内网中潜伏了
长达一周,通过这段时间在内网中寻找并窃取高价值信息数据),导致40万名患者数据被黑
客窃取,其中包含患者的地址、保险信息、出生日期、临床信息等。黑客在后续的勒索中,
不仅向洛杉矶计划生育协会索要赎金,同时也将魔爪伸向了个人信息泄露的40万名患者。
参考此前类似案例,黑客可能会利用这些会影响患者的名誉或工作的特点私密信息,以泄露
给患者朋友或雇主为名,对患者本人勒索赎金。
Hive勒索病毒组件大联盟,四个月内攻击数百个目标
通过安全研究员直接从Hive的管理小组收集到的信息发现,Hive勒索病毒团伙可能比其泄密站点显示的更加活跃,自该行动于6月下旬曝光以来,其下属组织平均每天攻击3家
公司,其下属组织在四个月的事件入侵了超过350个企业或组织。
该团伙的数据泄露站点目前仅列出了71家未支付赎金的公司,表明有大量Hive勒索病
毒受害者支付了赎金。保守估计,仅在10月到11月之间,Hive勒索病毒团伙的利润就高
达数百万美元。
Rook勒索病毒是Babuk泄露代码的新一代衍生品
Babuk勒索病毒家族在2021年4月攻击华盛顿警方后,因对从警方窃取到的250GB数
据处理意见始终无法达成一致,最终内部分裂。在6月份其生成器被恶意泄露,在9月其完
整的源代码被公开发布在暗网。
近期的网络攻击中出现的一款名为Rook的新型勒索病毒,其技术细节、传播链条以及
方式,都与Babuk勒索病毒非常相似。该团伙自称急需通过破坏公司网络和加密设备来赚取
“大量资金”。截止2021年12月31日,该家族已在其数据泄露网站公开发布过6名受害企
业/组织信息。同时,从该家族的数据泄露网站发布的信息看,该家族陈,如果发现其网站
不能被正常访问,将会立即发布受害者信息,企图通过威胁的手段阻止第三方(网络安全公
司、执法部门等)攻击其基础设备。黑客信息披露
以下是本月收集到的黑客邮箱信息:
albertpattisson1981@protonmail.comdecryptionx@inboxhub.netrook@securityrook.com
steven1973parker@libertymail.netrecover520@mailfence.comsorryneedbtc@gmx.com
yourlovelysupport@mailfence.com johnwilliams1887@gmx.commalloxx@tutanota.com
helprestoremanager@airmail.cc karenkhonsari@gmail.comecrypt24@nerdmail.co
securityrook@securityrook.com bothelper@mailfence.comcr0prop@firemail.cc
decryptyourfiles@firemail.cc GoodDay@privatemail.comfilemanager@cock.li
Victorcrou@privatemail.com Helper@privatemail.com kingbo@tutanota.com
grejkugulik@onionmail.org makopsupp@tutanota.com code1024@keemail.me
decryptionx@onionmail.org arnoldgladys88@gmx.com 2021@onionmail.org
yourlovelysupport@xmpp.jp dr.helper@tutamail.com encrypt11@cock.li
tSupport@privatemail.com Dekrypt24@tutanota.com fileback@tuta.io
edljackson@onionmail.org webweb321@firemail.cc fileback@cock.li
JimThompson@ctemplar.com file-manager@email.tg rpd@keemail.me
willettamoffat@yahoo.com rapid@aaathats3as.com
表格1.黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的
数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅
为没有第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在
这个清单中)。以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企
业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。本月总共有258个组
织/企业遭遇勒索攻击,其中中国仅有1个组织/企业在本月遭遇了双重勒索/多重勒索。
DFL THONIALUTEC jpbdselangor.gov.my
LAVI wagstaff.com benlineagencies.com
Finq ytlcement.com Strataworldwide.com
RCMS CHRSolutions urbandevelop.com.au
RKPT Unexca.edu.ve lipinskilogging.com
LAVA g1group.co.uk Economosproperties
HOULE robroelaw.com BerndSiegmundGmbH
Ruwac rbauction.com DecoratorIndustries
Saand tt-network.dk hp.icon-institute.de
MEETH ValleyRealty proximitysystems.com
Leuze PursellFarms NordicChoiceHotels
DENSO PROFILALSA
360 2021年12月勒索病毒流行态势分析
安全报告 >
360 >
文档预览
中文文档
11 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共11页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-11-29 01:37:51上传分享