2022年11月勒索软件态势分析 勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒 索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2022年11月，全球新增的活跃勒索软件家族有:Royal、BlackBit、Play、PCOK、Somnia 等家族。其中Royal勒索软件不仅是本月新增，还是本月双重勒索软件中受害者数量最高的 一个家族；PCOK为本月国内新增家族；Somnia勒索软件被俄罗斯黑客用于攻击乌克兰。本 月，360解密大师新增对Coffee最新变种的解密支持。 以下是本月值的关注的部分热点： 一、LockBit组织正利用AmadeyBot恶意软件进行传播，并对Continental汽车公司 发起网络攻击。 二、Coffee新变种重出江湖，袭击国内高校与研究机构 三、新型Azov数据擦除器试图陷害安全研究人员 四、Keralty遭受勒索攻击导致哥伦比亚医疗系统受到影响 五、加拿大食品零售巨头Sobeys遭到BlackBasta勒索软件攻击 基于对360反勒索数据的分析研判，360数字安全集团高级威胁研究分析中心（CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者所中勒索软件家族进行统计，phobos家族占比28.57%居首位， 其次是占比15.53%的TargetCompany(Mallox)，BeijingCrypt家族以8.70%位居第三。 本月phobos勒索家族重回首位，传播方式并未改变，仍采用暴力破解远程桌面，主要 流行版本变为后缀为faust的变种。 PCOK勒索软件是本月在国内新增的一款勒索软件，和phobos家族一样通过获取远程桌 面密码后手动投毒传播。 Coffee勒索软件在本月底再次活跃，与之前360安全大脑年初捕获该病毒时的传播渠 道相同，通过QQ群文件与邮件针对高校师生进行传播。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer 2012以及Windows7。 2022年11月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。勒索病毒疫情分析 LockBit组织正利用AmadeyBot恶意软件进行传播，并对 Continental汽车公司发起网络攻击 目前，LockBit3.0勒索软件组织正在使用安装AmadeyBot的钓鱼电子邮件来入侵设 备并在受害设备中投放勒索软件并加密。 据分析，在当前版本的攻击中，攻击者会使用经混淆的PowerShell脚本或命令行来 在线加载并执行LockBit3.0攻击载荷，使其在主机上运行以加密文件。 AmadeyBot恶意软件是一种能够执行系统侦察、数据过滤和执行载荷加载的旧病毒。 据研究人员研究，2022年AmadeyBot的活动有所增加，并在其最新版本中增加了对抗病毒 检测和自动回避的功能，使其的入侵及载荷投放行为更加隐蔽。 本月LockBit勒索软件组织还对德国跨国汽车集团Continental发起网络攻击。据称， 在此次攻击中LockBit还窃取了Continental系统中的一些数据。攻击者还威胁说，如果该 公司在未来22小时内不服从他们的要求，他们就将在数据泄露网站上公布这些数据。目前， 该团伙尚未公布其从Continental网络中窃取的数据及其他细节。 由于LockBit表示将公布“所有可用”数据，这可能说明Continental尚未与勒索软 件团伙进行谈判或已经拒绝了对方的勒索要求。新型Azov数据擦除器试图陷害安全研究人员 一款新型名为Azov的数据擦拭器正在通过盗版软件、密钥生成器和广告软件大量传 播，同时该软件试图通过虚假消息谎称某安全研究员为其幕后黑手。 该软件的了勒索信息文件名为“RESTORE_FILES.txt”。在信息中，该软件宣称之所 以攻击当前设备是为了抗议克里米亚被占领，也是因为西方国家在帮助乌克兰对抗俄罗斯方 面做得不够。 此外，由于无法联系攻击者支付赎金，该勒索软件被归类为数据清除器，而不是通常 的加密型勒索软件。Keralty遭受勒索攻击导致哥伦比亚医疗系统受到影响 11月底，Keralty跨国医疗机构遭遇勒索软件攻击，扰乱了该公司及其子公司的网站 和运营。 Keralty是一家哥伦比亚医疗保健提供商，在拉丁美洲、西班牙、美国和亚洲运营着 12家医院和371家医疗中心的国际网络。该集团拥有24000名员工和10000名医生，为600 多万名患者提供医疗服务。该公司通过其子公司Colsanitas、SanitasUSA和EPSSanitas 提供具体的医疗保健服务。 过去几天，Keralty及其子公司EPSSanitas和Colsanitas的IT运营、医疗预约及 其网站都受到了此次勒索攻击事件的影响。而信息系统的中断直接影响了哥伦比亚的医疗保 健系统。当地媒体报道称，患者排队等候治疗超过12个小时，一些患者因缺乏医疗护理而晕倒。 11月28日，Keralty表示他们遇到了技术问题，但没有透露原因。而根据Keralty 在29日发布了另一份声明证实，此次系统问题是由其网络受到勒索攻击造成的，导致其IT 系统出现技术故障。 而根据一位名为亚历克斯·兰德（Alexánder）的推特用户在推特上发布了一张VMware ESXi服务器的截图，并附有一张显示“目前已确认这份勒索信息来自于RansomHouse家族 的勒索软件。 加拿大食品零售巨头Sobeys遭到BlackBasta勒索软件攻 击 加拿大食品零售巨头Venus旗下的杂货店和药店自11月初以来一直存在IT系统问题。 而在11月7日发布的新闻中称，Venus的母公司Empire透露：尽管其杂货店仍在营业，但 一些服务受到了这些IT问题的影响。 该零售商透露：“公司的杂货店仍在营业并为顾客提供服务，目前没有出现严重的中 断。然而，一些店内服务出现了间断或延迟……此外，公司的某些药房在开具处方等方面遇 到了技术问题。然而，公司仍致力于为所有患者提供医护服务。”该公司还补充称，正在努 力解决影响其IT系统的问题，以减少门店收到的影响。 据Sobeys在其官网上发表的另一份单独声明中补充称所有商店都保持营业，且“没 有受到严重干扰”。然而，根据其员工的说法：所有电脑都受到了Venus勒索软件影响而被 锁定，只有POS机和支付系统由于工作在独立网络中而幸免遇难。 黑客信息披露 以下是本月收集到的黑客邮箱信息： milovski@onionmail.org milovski@tutanota.com ekingm2023@outlook.com ryzen@cyberfear.com quick.connect@zohomail.eu quick.connect@beeble.com return_the_job@privatemail.co m back2restore@tutanota.comback2restore@neomainbox.c h rastcorp@securetalks.biz 360recover@gmail.com 2mh3k@onionmail.org lokilocker@onionmail.org hpsupport@cyberfear.com hell0s@tutanota.com hel.b22@tutanota.com support@fishmail.top backup@waifu.clu faragont18@cock.li admin@encryption-support.comcuba_support@thesecure.bi z back2restore@neomailbox.chback2datten@tutanota.com jony_recovery@proton.me @BloodyPandora jony_recovery@proton.me @RecoverBlackBit BlackBitSupport@onionmail.orgdatatest777@mailfence.com datatest777@airmail.cc barabarabere22@outlook.comalexgod5566@xyzmailpro.com godgood55@tutanota.com HashTreep@waifu.club RastCorp@securetalks.biz WARING@cyberfear.comcyberpunk2077@libertymail.netcyberpunk2077@firemail.cc @cyberpunk2077devos cris_nickson@xmpp.jpdiamondprotonmail.com@proton.m e ryzen@cyberfear.com pcokdata@tutanota.com pcokdata@cock.li DecodeMDR@Outlook.com Decodemdr@aol.com Nergontr96@cyberfear.com localfix@waifu.club poshix@tfwno.gf barabarabere22@outlook.com backshow@my.com nooli492@gmail.com no