0x01 简述
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金 额在数百万到近亿美元的勒索案件不断出现。勒索病毒给政府机关、企 业和个人带来的影响越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为需要帮助的用户提供了360反勒索服务。
2022年7月,全球新增的活跃勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族,其中RedAlert、Lilith、BianLian、0mega均为双重勒索家族;Checkmate为针对NAS设备发起攻击的勒索病毒;yanluowang勒索病毒虽不是本月新增,但该勒 索病毒家族在本月开始公开发布受害者数据。
以下是本月最值得关注热点:
1. 新型勒索病毒Checckmate针对NAS设备发起攻击。
1. 万代南梦宫在受到AlphV勒索病毒攻击后数据遭泄露。
1. LockBit勒索病毒通过虚假的版权侵权邮件传播。
1. 通过外挂程序进行传播的SafeSound勒索病毒已被破解。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析 中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
0x02 感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比20.45%居首位,其次是占比13.10%的TargetCompany(Mallox),BeijingCrypt家族以11.50%位居第三。
进入TOP10的几个家族中,Rook勒索病毒再次变种,修改文件后缀为.lock,勒索提示信息内容也不再使用中文;Magniber勒索病毒不再通过伪装成msi文件进行传播,而是伪装成杀毒的更新程序进行传播,同时主要传播目标也改为中国香港和中国台湾两地区;RoBaj勒索病毒是本月新增的一款勒索病毒,目前发现该家族主要通过暴力破解远程桌面密码后手动 投毒。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10 、Windows 7、以及Windows Server 2008。
2022年7月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。
0x03 勒索病毒疫情分析
新型勒索病毒Checkmate针对NAS进行攻击
NAS设备供应商QNAP警告用户称:要警惕Checkmate勒索病毒对QNAP的NAS设备发动攻击。这些攻击主要集中在启用了SMB服务且暴露在互联网中的设备上,且主要是一些登录口令较弱的帐户——这些帐户很容易在弱口令 暴力破解的攻击中沦陷。
Checkmate是最近新发现的勒索病毒。其首次出现在5月28日左右的攻击 中,该病毒会将被加密的文件添加扩展名.checkmate并放置一个名为“!CHECKMATE_DECRYPTION_README”的勒索文件。向受害者索要价值15000美元的比特币来解密。
继6月披露威联通连续遭遇eCh0raix和DeadBolt两款勒索病毒后,国内被勒索病毒感染的NAS设备量有所上涨,同时这已是第五款针对NAS设备发 起攻击的流行勒索病毒。
万代南梦宫在受到AlphV勒索病毒攻击后数据遭泄露
本月初,BlackCat勒索病毒(又名AlphV)声称在一起攻击事件中攻陷了万代南梦宫的服务器并窃取了该公司的数据,并破坏了除日本以外的亚 洲地区办事处的内部系统。
虽然万代南梦宫没有提供有关网络攻击的任何技术细节,但根据BlackCat数据泄漏网站所公布的数据条目及相关声明来看,万代南梦宫极有可能就是遭到了BlackCat的攻击。从公开显示的数据来看,万代南梦宫被窃 取了13.5GB数据,但尚未被公开发布。
虽在7月的被公开数据中尚未有出现国内受害者,但360安全大脑监控到 该家族在本月已成功攻击两个公司/组织。
LockBit勒索病毒通过虚假的版权侵权邮件传播
LockBit勒索病毒正通过将恶意软件伪装成版权声明邮件来传播自身。这些电子邮件会警告收件人侵犯版权,声称收件人在未经创作者许可的情 况下使用了某些媒体文件。邮件要求收件人从其网站中删除侵权内容, 否则将面临法律诉讼。
目前分析人员捕获到的电子邮件内容中,并没有具体指出是哪些文件发 生了侵权行为,而只是告诉收件人下载并打开附件以查看侵权内容。附 件是一个受密码保护的ZIP存档,其中包含一个压缩文件,而该文件又是一个伪装成PDF文档的可执行文件(NSIS安装程序)。
这种层层压缩和密码保护的手法主要是为了逃避电子邮件安全工具的检 测。而一旦受害者打开所谓的“PDF”以了解具体的“侵权原因”,恶意软件便会释放LockBit 2.0勒索病毒对设备进行加密。
SafeSound勒索病毒已被破解
本月一款国产勒索病毒通过“穿越火线”、“绝地求生”等外挂进行传播, 被加密文件后缀会被修改为.SafeSound,并弹出勒索提示信息,需要受害者扫描微信二维码向黑客支付100元人民币作为赎金。
由于该勒索病毒制作存在缺陷,经过360政企安全集团高级威胁研究分析中心分析确认,可以进行技术破解。目前360解密大师已支持对该勒索病毒的解密。
0x04 黑客信息披露
以下是本月收集到的黑客邮箱信息:
StephenJoffe@tutanota.com
StephenJoffe@protonmail.com
15010050@tutamail.com
17042102@tutamail.com
17042102@tutamail.com
43rgwe723E94@tutanota.com
LoryEstside@protonmail.com
henderson@cock.li
agares_helpdesk@tutanota.com
technopc@tuta.io
Angelbkup@protonmail.com
wixawm@gmail.com
helpshadow@india.com
helprecovery@gnu.gr
cyborgyarraq@protonmail.cn
webroothooks@tutanota.com
kardon@firemail.cc
henderson@cock.li
Trebaler@goat.si
Forbitlog@privatemail.com
ferguson@cock.li
sacipaws@tutanota.com
st3v3njansen@onionmail.org
justdoit@onionmail.org
okyd.dtt@mailfence.com
okyddd@protonmail.com
gtimph@protonmail.com
cupermate@elude.in
cupermate@protonmail.com
blefbeef@elude.in
vinilblind@protonmail.com
imperial755@protonmail.com
imperial@mailfence.com
jj.greemsy@mailfence.com
greemsy.jj@protonmail.ch
johny3@mailfence.com
johny2recoveryusa@protonmail.com
finbdodscokpd@privatemail.com
jorge.smith@mailfence.com
mally@mailfence.com
mallyrecovery@protonmail.ch
recoverfiles@ctemplar.com
recoverfilesquickly@ctemplar.com
primethetime@protonmail.com
ssdfsdfsdf@protonmail.com
ssdfsdfsdf@mailinfence.com
rickowens@onionmail.org
rickowens@mailfence.com
john.blues3i7456@protonmail.com
mario.jolly@mailfence.com
niss.brook@onionmail.org
niss.brandon@mailfence.com
Juli1992@mailfence.com
Juli1990@mailfence.com
stephenjoffe@privatemail.com
henderson@cock.li
helprecovery@gnu.gr
energyhack@cock.li
Trebaler@goat.si
recoverlokidata@gmail.com
yourecoverdatda@proton.me
yourecoverdata@proton.me
energyhack@cock.li
metro777@cock.li
arenotto@tutanota.com
henderson@cock.li
stop@onionmail.com
microd3c@tuta.io
dataappip@tutanota.com
mkpdec@hotmail.com
BluemanTeam@my.com
goodbooom@tutanota.com
gotocompute@tutanota.com
AntiLock@keemail.me
AntiLock@cock.li
rdecrypt@mailfence.com
Rdecrypt@yandex.com
Kardon@firemail.cc
NormanBaker1929@gmx.com
world2022decoding@jabb.im
world2022decoding@onionmail.com
yourecoverdata@proton.me
yourecoverdata@proton.me
alco2022decoding@onionmal.com
kat6.l6st6r@tutanota
lordcracker@protonmail.com
CoronaCrypt[u.contact@aol.com
support@bestyourmail.ch
henderson@cock.li
nooli492@gmail.com
dqsupport@protonmail.com
sacipaws@tutanota.com
ferguson@cock.li
Juli1990@mailfence.com
energyhack@cock.li
selivrecovery@mail.ee
Forbitlog@privatemail.com
dagsdruyt@onionmail.org
dagsdruyt@cumallover.me
irishman@tutanota.de
irishman@onionmail.com
Nordteam@mail.ee
Nordtalk@tutanota.com
KingMail7@cock.li
LordCracker2@aol.com
top65hun@tuta.io
microd3c@xmpp.jp
microd3c@proton.me
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒 索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露 获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳 赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中) 。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存 在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备, 采取补救措施。
本月总共有246个组织/企业遭遇勒索攻击,其中包含中国7个组织/企业 在本月遭遇了双重勒索/多重勒索。
BAFNAGROUP.COM
get.es
AI Supercomputer
TLSBZ
Babylou
Destinigo
FPT Education
DISTRICT MUNICIPALITY OF HUACHAC
vytelle.com
emunworks.com
Creos Luxembourg
autoliv.com
Hong Kong Special Care Dentistry Association Limited
fruca.es
armassist.ie
tnq.co.in
herc.com.br
correounir.com.ar
Gage Brothers
coarc.org
JOHN A. BODZIAK ARCHITECT AIA
Fandeli
CIMEX
groupe-helios.com
Weidmueller
CUCA FRESCA
WAYAN NATURAL WEAR
Artistic Stairs & Railings
Baltholding OÜ
studioteruzzi.com
cheungwoh.com.sg
ymaunivers.com
sieam.fr
Empress EMS
APPLEXUS.COM
ginko.com.tw
eclipse-print.com
OptiProERP
agenziaentrate.gov.it
legacy-hospitality.com
SRM Technologies
riken.co.jp
daytonsuperior.com
KKJM Lawfirm
roedeanschool.co.za
Hometrust Mortgage Company
thep**.com
sppc.com.sa
WARTSILA.COM
Yong Mao Environmental Tech. Co.,Ltd
laneprint.com.au
Baliwag Maritime Academy
osde.com.ar
taylorstafford.com
lanormandise.fr
townofstmarys.com
bizebra.com
Fairfax
Crum & Forster
CHDE POLSKA
HANDLER Bau GmbH
CREMO
a2-pas.fr
Site-technology
ocrex.com
mwd.digital
Chen Moore and Associates
Edenfield
lexingtonnational.com
mec.com
Tom Barrow
LaVan & Neidenberg
COS2000
MAI
The Minka Group
SPINNEYS.COM
competencia.com.ec
addconsult.nl
coastalmedps.com
XQUADRAT GmbH
San Luis Coastal Unified School District
GENSCO Inc.
An Insurance Company
hcp***.com
keystonelegal.co.uk
cpicfiber.com
madcoenergi.com
rovagnati.it
clestra.com
crbrandsinc.com
christianaspinecenter.com
columbiagrain.com
fedefarma.com
Turnberry Associates
Delon Hampton & Associates, Chartered
Autohaus
Broshuis | Driving innovation
Fedfina
FederalBank
bizframe.co.za
integrate.ch
aresfoods.ca
An British Financial Company
Eka(Business/Productivity Software)
sig.id
Oklahoma Ordnance Works Authority
ryanhanley.ie
ISGEC Heavy Engineering
VERITAS Solicitors
Conway Electrics
M
Carrolls Irish Gifts
Metropolitan Associates
C2CORP
KNAUF
ttdwest
WALLWORKINC
augustacoop
paradise
Montmorency College
Rain the Growth Agency
Unisuper S.A.
Behavioral Health System
FMT
RALLYE-DOM
CITY-FURNITURE
frederickco.gov
ZEUS Scientific
etgworld.com
RTVCM
Exela Technologies
APETITO
Epec.PL
AdaptIT
Van Ausdall & Farrar, inc
Biothane usa
Gresco
GROUP4 AUSTRALIA
Authentic Brands Group
SANDO
Waskaganish
dudafresh.com
duda.com
viera.com
vierabuilders.com
Podhurst Orseck
iis.ac.uk
Mackenzie Medical
Anderson Insurance Associates
High Power Technical Services
Mooresville Schools
American International Industries
Makeready
Shanghai Hanbell Precise Machinery Co Ltd
Summit Care
Uppco
PSA
vlp.nl
Maxey Moverley
The Royal Commission for Riyadh City (RCRC)
Bandai Namco
Hydraelectric
Pontal Engineering
Meritus
vahanen.com
An International Shipping Company
Trade-Mark Industrial Inc.
lapostemobile.fr
Rewash
John Moore Services
Stm.com.tw
carnbrea.com.au
The Wiener Zeitung media group
LOKALTOG
RENZEL
Wagstaff Piling
Wipro HealthPlan Services
Sierra Pacific Industries
Jinny Beauty Supply
LOSSEWERK
BOERNER-GRUPPE
Jakob Becker
RBBUSA
SCHMIDT Gruppe Service GmbH
WENZEL + WENZEL
TMI
DEKIMO
BAUER
Young & Pratt
Gatewayrehab
LYDECKERLAW
OLYMPIATILE
Dusit D2 Kenz Hotel Dubai
Lamoille Health
Assura Group
DPP
alpachem.com
cabbageinc.com
idex.fr
Sinclair Wilson
syredis.fr
Solví Group
Adler Display
Pontal Engineering Constructions and Developments
V-Soft Consulting
Wis-Pak, Inc
Vectalia group
Goodwill industries
The Green Factory
The Janesville Gazette
A Lord Brasil é
DIRECTFERRIES
Hamlyns Limited
Sappi
Holland CPA
NETWORK4CARS
WWSTEELE
CAN.COM
AUM
KDE
Yurtiçi Kargo
Massy Distribution Limited
MHIRE
Montrose Environmental Group, Inc
CAPSONIC
V2 Logistics Corp
OLDPALMGOLFCLUB
plravocats.fr
slpcolombus.com
axelcium.com
faacgroup.com
lesbureauxdelepargne.com
bosco-avocats.com
expeditors.com
inces.com
Timios Inc.
boxerproperty
Shorr.com
tmsw.com
havi.com
various organizations
Walmart
Cincinnati bell
HANSA KONTAKT
Amalfitana Gas Srl
Continental Management
表格2. 受害组织/企业
0x05 系统安全防护数据分析
360系统安全产品,针对服务器进行全量下发系系统安全防护功能,针对非服务器版本的系统仅在发现被攻击时才下发防护。在本月被攻击的系 统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。
对2022年7月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的 主要对象。
通过观察2022年7月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动.
0x06 勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
– devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而 成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播 方式为:通过暴力破解远程桌面口令成功后手动投毒。
– 360:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改 为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。
– mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成 功后手动投毒。
– RoBaj:属于RoBaj勒索病毒家族,由于被加密文件后缀会被修改为.RoBaj而成为关键词,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
– eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
– lockbit:属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。被该家族加密还可能涉及数据泄露的风险,该家族有一个大型团伙,其攻击手法多样化,不仅仅局限于弱口令爆破,还 包括漏洞利用,钓鱼邮件等方式进行传播。
– encrypt:属于eCh0raix勒索病毒家族,由于被加密文件后缀会被修改为.encrypt而成为关键词。该家族是一款针对NAS设备进行攻击的勒索病毒,主要通过漏洞攻击威联通设备,同时还曾对群辉设备采取桌面弱口 令攻击。
– consultraskey: 属于TargetCompany(Mallox)勒索病毒家族,由于被 加密文件后缀会被修改为consultraskey-id。该家族传播渠道有多个, 包括匿隐僵尸网络、横向渗透以及数据库弱口令爆破。
– makop:Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破 解远程桌面口令成功后手动投毒。
– fagro2:同consultraskey。
0x07 解密大师
从解密大师本月解密数据看,解密量最大的是Crysis,其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备 ,其次是被Crysis家族加密的设备。
其中SafeSound、Yanluowang和7Locker为本月新增解密家族。
0x08 时间线
2022-08-10 360高级威胁研究分析中心发布通告
文章原文链接:https://www.anquanke.com/post/id/277768
