2022年11月勒索软件态势分析
勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒
索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件
不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全
大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2022年11月,全球新增的活跃勒索软件家族有:Royal、BlackBit、Play、PCOK、Somnia
等家族。其中Royal勒索软件不仅是本月新增,还是本月双重勒索软件中受害者数量最高的
一个家族;PCOK为本月国内新增家族;Somnia勒索软件被俄罗斯黑客用于攻击乌克兰。本
月,360解密大师新增对Coffee最新变种的解密支持。
以下是本月值的关注的部分热点:
一、LockBit组织正利用AmadeyBot恶意软件进行传播,并对Continental汽车公司
发起网络攻击。
二、Coffee新变种重出江湖,袭击国内高校与研究机构
三、新型Azov数据擦除器试图陷害安全研究人员
四、Keralty遭受勒索攻击导致哥伦比亚医疗系统受到影响
五、加拿大食品零售巨头Sobeys遭到BlackBasta勒索软件攻击
基于对360反勒索数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA
勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者所中勒索软件家族进行统计,phobos家族占比28.57%居首位,
其次是占比15.53%的TargetCompany(Mallox),BeijingCrypt家族以8.70%位居第三。
本月phobos勒索家族重回首位,传播方式并未改变,仍采用暴力破解远程桌面,主要
流行版本变为后缀为faust的变种。
PCOK勒索软件是本月在国内新增的一款勒索软件,和phobos家族一样通过获取远程桌
面密码后手动投毒传播。
Coffee勒索软件在本月底再次活跃,与之前360安全大脑年初捕获该病毒时的传播渠
道相同,通过QQ群文件与邮件针对高校师生进行传播。对本月受害者所使用的操作系统进行统计,位居前三的是:Windows10、WindowsServer
2012以及Windows7。
2022年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以
桌面系统为主。勒索病毒疫情分析
LockBit组织正利用AmadeyBot恶意软件进行传播,并对
Continental汽车公司发起网络攻击
目前,LockBit3.0勒索软件组织正在使用安装AmadeyBot的钓鱼电子邮件来入侵设
备并在受害设备中投放勒索软件并加密。
据分析,在当前版本的攻击中,攻击者会使用经混淆的PowerShell脚本或命令行来
在线加载并执行LockBit3.0攻击载荷,使其在主机上运行以加密文件。
AmadeyBot恶意软件是一种能够执行系统侦察、数据过滤和执行载荷加载的旧病毒。
据研究人员研究,2022年AmadeyBot的活动有所增加,并在其最新版本中增加了对抗病毒
检测和自动回避的功能,使其的入侵及载荷投放行为更加隐蔽。
本月LockBit勒索软件组织还对德国跨国汽车集团Continental发起网络攻击。据称,
在此次攻击中LockBit还窃取了Continental系统中的一些数据。攻击者还威胁说,如果该
公司在未来22小时内不服从他们的要求,他们就将在数据泄露网站上公布这些数据。目前,
该团伙尚未公布其从Continental网络中窃取的数据及其他细节。
由于LockBit表示将公布“所有可用”数据,这可能说明Continental尚未与勒索软
件团伙进行谈判或已经拒绝了对方的勒索要求。新型Azov数据擦除器试图陷害安全研究人员
一款新型名为Azov的数据擦拭器正在通过盗版软件、密钥生成器和广告软件大量传
播,同时该软件试图通过虚假消息谎称某安全研究员为其幕后黑手。
该软件的了勒索信息文件名为“RESTORE_FILES.txt”。在信息中,该软件宣称之所
以攻击当前设备是为了抗议克里米亚被占领,也是因为西方国家在帮助乌克兰对抗俄罗斯方
面做得不够。
此外,由于无法联系攻击者支付赎金,该勒索软件被归类为数据清除器,而不是通常
的加密型勒索软件。Keralty遭受勒索攻击导致哥伦比亚医疗系统受到影响
11月底,Keralty跨国医疗机构遭遇勒索软件攻击,扰乱了该公司及其子公司的网站
和运营。
Keralty是一家哥伦比亚医疗保健提供商,在拉丁美洲、西班牙、美国和亚洲运营着
12家医院和371家医疗中心的国际网络。该集团拥有24000名员工和10000名医生,为600
多万名患者提供医疗服务。该公司通过其子公司Colsanitas、SanitasUSA和EPSSanitas
提供具体的医疗保健服务。
过去几天,Keralty及其子公司EPSSanitas和Colsanitas的IT运营、医疗预约及
其网站都受到了此次勒索攻击事件的影响。而信息系统的中断直接影响了哥伦比亚的医疗保
健系统。当地媒体报道称,患者排队等候治疗超过12个小时,一些患者因缺乏医疗护理而晕倒。
11月28日,Keralty表示他们遇到了技术问题,但没有透露原因。而根据Keralty
在29日发布了另一份声明证实,此次系统问题是由其网络受到勒索攻击造成的,导致其IT
系统出现技术故障。
而根据一位名为亚历克斯·兰德(Alexánder)的推特用户在推特上发布了一张VMware
ESXi服务器的截图,并附有一张显示“目前已确认这份勒索信息来自于RansomHouse家族
的勒索软件。
加拿大食品零售巨头Sobeys遭到BlackBasta勒索软件攻
击
加拿大食品零售巨头Venus旗下的杂货店和药店自11月初以来一直存在IT系统问题。
而在11月7日发布的新闻中称,Venus的母公司Empire透露:尽管其杂货店仍在营业,但
一些服务受到了这些IT问题的影响。
该零售商透露:“公司的杂货店仍在营业并为顾客提供服务,目前没有出现严重的中
断。然而,一些店内服务出现了间断或延迟……此外,公司的某些药房在开具处方等方面遇
到了技术问题。然而,公司仍致力于为所有患者提供医护服务。”该公司还补充称,正在努
力解决影响其IT系统的问题,以减少门店收到的影响。
据Sobeys在其官网上发表的另一份单独声明中补充称所有商店都保持营业,且“没
有受到严重干扰”。然而,根据其员工的说法:所有电脑都受到了Venus勒索软件影响而被
锁定,只有POS机和支付系统由于工作在独立网络中而幸免遇难。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
milovski@onionmail.org milovski@tutanota.com ekingm2023@outlook.com
ryzen@cyberfear.com quick.connect@zohomail.eu quick.connect@beeble.com
return_the_job@privatemail.co
m back2restore@tutanota.comback2restore@neomainbox.c
h
rastcorp@securetalks.biz 360recover@gmail.com 2mh3k@onionmail.org
lokilocker@onionmail.org hpsupport@cyberfear.com hell0s@tutanota.com
hel.b22@tutanota.com support@fishmail.top backup@waifu.clu
faragont18@cock.li admin@encryption-support.comcuba_support@thesecure.bi
z
back2restore@neomailbox.chback2datten@tutanota.com jony_recovery@proton.me
@BloodyPandora jony_recovery@proton.me @RecoverBlackBit
BlackBitSupport@onionmail.orgdatatest777@mailfence.com datatest777@airmail.cc
barabarabere22@outlook.comalexgod5566@xyzmailpro.com godgood55@tutanota.com
HashTreep@waifu.club RastCorp@securetalks.biz WARING@cyberfear.comcyberpunk2077@libertymail.netcyberpunk2077@firemail.cc @cyberpunk2077devos
cris_nickson@xmpp.jpdiamondprotonmail.com@proton.m
e ryzen@cyberfear.com
pcokdata@tutanota.com pcokdata@cock.li DecodeMDR@Outlook.com
Decodemdr@aol.com Nergontr96@cyberfear.com localfix@waifu.club
poshix@tfwno.gf barabarabere22@outlook.com backshow@my.com
nooli492@gmail.com no
360 2022年11月勒索软件流行态势分析
安全报告 >
360 >
文档预览
中文文档
12 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-01-18 17:30:55上传分享