2022年7月勒索病毒态势分析

 

0x01   简述

勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金 额在数百万到近亿美元的勒索案件不断出现。勒索病毒给政府机关、企 业和个人带来的影响越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为需要帮助的用户提供了360反勒索服务。

2022年7月,全球新增的活跃勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族,其中RedAlert、Lilith、BianLian、0mega均为双重勒索家族;Checkmate为针对NAS设备发起攻击的勒索病毒;yanluowang勒索病毒虽不是本月新增,但该勒 索病毒家族在本月开始公开发布受害者数据。

以下是本月最值得关注热点:

1. 新型勒索病毒Checckmate针对NAS设备发起攻击。

1. 万代南梦宫在受到AlphV勒索病毒攻击后数据遭泄露。

1. LockBit勒索病毒通过虚假的版权侵权邮件传播。

1. 通过外挂程序进行传播的SafeSound勒索病毒已被破解。

基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析 中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

 

0x02   感染数据分析

针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比20.45%居首位,其次是占比13.10%的TargetCompany(Mallox),BeijingCrypt家族以11.50%位居第三。

进入TOP10的几个家族中,Rook勒索病毒再次变种,修改文件后缀为.lock,勒索提示信息内容也不再使用中文;Magniber勒索病毒不再通过伪装成msi文件进行传播,而是伪装成杀毒的更新程序进行传播,同时主要传播目标也改为中国香港和中国台湾两地区;RoBaj勒索病毒是本月新增的一款勒索病毒,目前发现该家族主要通过暴力破解远程桌面密码后手动 投毒。

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10 、Windows 7、以及Windows Server 2008。

2022年7月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。

 

0x03   勒索病毒疫情分析

新型勒索病毒Checkmate针对NAS进行攻击

NAS设备供应商QNAP警告用户称:要警惕Checkmate勒索病毒对QNAP的NAS设备发动攻击。这些攻击主要集中在启用了SMB服务且暴露在互联网中的设备上,且主要是一些登录口令较弱的帐户——这些帐户很容易在弱口令 暴力破解的攻击中沦陷。

Checkmate是最近新发现的勒索病毒。其首次出现在5月28日左右的攻击 中,该病毒会将被加密的文件添加扩展名.checkmate并放置一个名为“!CHECKMATE_DECRYPTION_README”的勒索文件。向受害者索要价值15000美元的比特币来解密。

继6月披露威联通连续遭遇eCh0raix和DeadBolt两款勒索病毒后,国内被勒索病毒感染的NAS设备量有所上涨,同时这已是第五款针对NAS设备发 起攻击的流行勒索病毒。

万代南梦宫在受到AlphV勒索病毒攻击后数据遭泄露

本月初,BlackCat勒索病毒(又名AlphV)声称在一起攻击事件中攻陷了万代南梦宫的服务器并窃取了该公司的数据,并破坏了除日本以外的亚 洲地区办事处的内部系统。

虽然万代南梦宫没有提供有关网络攻击的任何技术细节,但根据BlackCat数据泄漏网站所公布的数据条目及相关声明来看,万代南梦宫极有可能就是遭到了BlackCat的攻击。从公开显示的数据来看,万代南梦宫被窃 取了13.5GB数据,但尚未被公开发布。

虽在7月的被公开数据中尚未有出现国内受害者,但360安全大脑监控到 该家族在本月已成功攻击两个公司/组织。

LockBit勒索病毒通过虚假的版权侵权邮件传播

LockBit勒索病毒正通过将恶意软件伪装成版权声明邮件来传播自身。这些电子邮件会警告收件人侵犯版权,声称收件人在未经创作者许可的情 况下使用了某些媒体文件。邮件要求收件人从其网站中删除侵权内容, 否则将面临法律诉讼。

目前分析人员捕获到的电子邮件内容中,并没有具体指出是哪些文件发 生了侵权行为,而只是告诉收件人下载并打开附件以查看侵权内容。附 件是一个受密码保护的ZIP存档,其中包含一个压缩文件,而该文件又是一个伪装成PDF文档的可执行文件(NSIS安装程序)。

这种层层压缩和密码保护的手法主要是为了逃避电子邮件安全工具的检 测。而一旦受害者打开所谓的“PDF”以了解具体的“侵权原因”,恶意软件便会释放LockBit 2.0勒索病毒对设备进行加密。

SafeSound勒索病毒已被破解

本月一款国产勒索病毒通过“穿越火线”、“绝地求生”等外挂进行传播, 被加密文件后缀会被修改为.SafeSound,并弹出勒索提示信息,需要受害者扫描微信二维码向黑客支付100元人民币作为赎金。

由于该勒索病毒制作存在缺陷,经过360政企安全集团高级威胁研究分析中心分析确认,可以进行技术破解。目前360解密大师已支持对该勒索病毒的解密。

 

0x04   黑客信息披露

以下是本月收集到的黑客邮箱信息:

StephenJoffe@tutanota.com StephenJoffe@protonmail.com 15010050@tutamail.com
17042102@tutamail.com 17042102@tutamail.com 43rgwe723E94@tutanota.com
LoryEstside@protonmail.com henderson@cock.li agares_helpdesk@tutanota.com
technopc@tuta.io Angelbkup@protonmail.com wixawm@gmail.com
helpshadow@india.com helprecovery@gnu.gr cyborgyarraq@protonmail.cn
webroothooks@tutanota.com kardon@firemail.cc henderson@cock.li
Trebaler@goat.si Forbitlog@privatemail.com ferguson@cock.li
sacipaws@tutanota.com st3v3njansen@onionmail.org justdoit@onionmail.org
okyd.dtt@mailfence.com okyddd@protonmail.com gtimph@protonmail.com
cupermate@elude.in cupermate@protonmail.com blefbeef@elude.in
vinilblind@protonmail.com imperial755@protonmail.com imperial@mailfence.com
jj.greemsy@mailfence.com greemsy.jj@protonmail.ch johny3@mailfence.com
johny2recoveryusa@protonmail.com finbdodscokpd@privatemail.com jorge.smith@mailfence.com
mally@mailfence.com mallyrecovery@protonmail.ch recoverfiles@ctemplar.com
recoverfilesquickly@ctemplar.com primethetime@protonmail.com ssdfsdfsdf@protonmail.com
ssdfsdfsdf@mailinfence.com rickowens@onionmail.org rickowens@mailfence.com
john.blues3i7456@protonmail.com mario.jolly@mailfence.com niss.brook@onionmail.org
niss.brandon@mailfence.com Juli1992@mailfence.com Juli1990@mailfence.com
stephenjoffe@privatemail.com henderson@cock.li helprecovery@gnu.gr
energyhack@cock.li Trebaler@goat.si recoverlokidata@gmail.com
yourecoverdatda@proton.me yourecoverdata@proton.me energyhack@cock.li
metro777@cock.li arenotto@tutanota.com henderson@cock.li
stop@onionmail.com microd3c@tuta.io dataappip@tutanota.com
mkpdec@hotmail.com BluemanTeam@my.com goodbooom@tutanota.com
gotocompute@tutanota.com AntiLock@keemail.me AntiLock@cock.li
rdecrypt@mailfence.com Rdecrypt@yandex.com Kardon@firemail.cc
NormanBaker1929@gmx.com world2022decoding@jabb.im world2022decoding@onionmail.com
yourecoverdata@proton.me yourecoverdata@proton.me alco2022decoding@onionmal.com
kat6.l6st6r@tutanota lordcracker@protonmail.com CoronaCrypt[u.contact@aol.com
support@bestyourmail.ch henderson@cock.li nooli492@gmail.com
dqsupport@protonmail.com sacipaws@tutanota.com ferguson@cock.li
Juli1990@mailfence.com energyhack@cock.li selivrecovery@mail.ee
Forbitlog@privatemail.com dagsdruyt@onionmail.org dagsdruyt@cumallover.me
irishman@tutanota.de irishman@onionmail.com Nordteam@mail.ee
Nordtalk@tutanota.com KingMail7@cock.li LordCracker2@aol.com
top65hun@tuta.io microd3c@xmpp.jp microd3c@proton.me

表格1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒 索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露 获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳 赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中) 。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存 在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备, 采取补救措施。

本月总共有246个组织/企业遭遇勒索攻击,其中包含中国7个组织/企业 在本月遭遇了双重勒索/多重勒索。

BAFNAGROUP.COM get.es AI Supercomputer
TLSBZ Babylou Destinigo
FPT Education DISTRICT MUNICIPALITY OF HUACHAC vytelle.com
emunworks.com Creos Luxembourg autoliv.com
Hong Kong Special Care Dentistry Association Limited fruca.es armassist.ie
tnq.co.in herc.com.br correounir.com.ar
Gage Brothers coarc.org JOHN A. BODZIAK ARCHITECT AIA
Fandeli CIMEX groupe-helios.com
Weidmueller CUCA FRESCA WAYAN NATURAL WEAR
Artistic Stairs & Railings Baltholding OÜ studioteruzzi.com
cheungwoh.com.sg ymaunivers.com sieam.fr
Empress EMS APPLEXUS.COM ginko.com.tw
eclipse-print.com OptiProERP agenziaentrate.gov.it
legacy-hospitality.com SRM Technologies riken.co.jp
daytonsuperior.com KKJM Lawfirm roedeanschool.co.za
Hometrust Mortgage Company thep**.com sppc.com.sa
WARTSILA.COM Yong Mao Environmental Tech. Co.,Ltd laneprint.com.au
Baliwag Maritime Academy osde.com.ar taylorstafford.com
lanormandise.fr townofstmarys.com bizebra.com
Fairfax Crum & Forster CHDE POLSKA
HANDLER Bau GmbH CREMO a2-pas.fr
Site-technology ocrex.com mwd.digital
Chen Moore and Associates Edenfield lexingtonnational.com
mec.com Tom Barrow LaVan & Neidenberg
COS2000 MAI The Minka Group
SPINNEYS.COM competencia.com.ec addconsult.nl
coastalmedps.com XQUADRAT GmbH San Luis Coastal Unified School District
GENSCO Inc. An Insurance Company hcp***.com
keystonelegal.co.uk cpicfiber.com madcoenergi.com
rovagnati.it clestra.com crbrandsinc.com
christianaspinecenter.com columbiagrain.com fedefarma.com
Turnberry Associates Delon Hampton & Associates, Chartered Autohaus
Broshuis | Driving innovation Fedfina FederalBank
bizframe.co.za integrate.ch aresfoods.ca
An British Financial Company Eka(Business/Productivity Software) sig.id
Oklahoma Ordnance Works Authority ryanhanley.ie ISGEC Heavy Engineering
VERITAS Solicitors Conway Electrics M
Carrolls Irish Gifts Metropolitan Associates C2CORP
KNAUF ttdwest WALLWORKINC
augustacoop paradise Montmorency College
Rain the Growth Agency Unisuper S.A. Behavioral Health System
FMT RALLYE-DOM CITY-FURNITURE
frederickco.gov ZEUS Scientific etgworld.com
RTVCM Exela Technologies APETITO
Epec.PL AdaptIT Van Ausdall & Farrar, inc
Biothane usa Gresco GROUP4 AUSTRALIA
Authentic Brands Group SANDO Waskaganish
dudafresh.com duda.com viera.com
vierabuilders.com Podhurst Orseck iis.ac.uk
Mackenzie Medical Anderson Insurance Associates High Power Technical Services
Mooresville Schools American International Industries Makeready
Shanghai Hanbell Precise Machinery Co Ltd Summit Care Uppco
PSA vlp.nl Maxey Moverley
The Royal Commission for Riyadh City (RCRC) Bandai Namco Hydraelectric
Pontal Engineering Meritus vahanen.com
An International Shipping Company Trade-Mark Industrial Inc. lapostemobile.fr
Rewash John Moore Services Stm.com.tw
carnbrea.com.au The Wiener Zeitung media group LOKALTOG
RENZEL Wagstaff Piling Wipro HealthPlan Services
Sierra Pacific Industries Jinny Beauty Supply LOSSEWERK
BOERNER-GRUPPE Jakob Becker RBBUSA
SCHMIDT Gruppe Service GmbH WENZEL + WENZEL TMI
DEKIMO BAUER Young & Pratt
Gatewayrehab LYDECKERLAW OLYMPIATILE
Dusit D2 Kenz Hotel Dubai Lamoille Health Assura Group
DPP alpachem.com cabbageinc.com
idex.fr Sinclair Wilson syredis.fr
Solví Group Adler Display Pontal Engineering Constructions and Developments
V-Soft Consulting Wis-Pak, Inc Vectalia group
Goodwill industries The Green Factory The Janesville Gazette
A Lord Brasil é DIRECTFERRIES Hamlyns Limited
Sappi Holland CPA NETWORK4CARS
WWSTEELE CAN.COM AUM
KDE Yurtiçi Kargo Massy Distribution Limited
MHIRE Montrose Environmental Group, Inc CAPSONIC
V2 Logistics Corp OLDPALMGOLFCLUB plravocats.fr
slpcolombus.com axelcium.com faacgroup.com
lesbureauxdelepargne.com bosco-avocats.com expeditors.com
inces.com Timios Inc. boxerproperty
Shorr.com tmsw.com havi.com
various organizations Walmart Cincinnati bell
HANSA KONTAKT Amalfitana Gas Srl Continental Management

表格2. 受害组织/企业

 

0x05   系统安全防护数据分析

360系统安全产品,针对服务器进行全量下发系系统安全防护功能,针对非服务器版本的系统仅在发现被攻击时才下发防护。在本月被攻击的系 统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。

对2022年7月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的 主要对象。

通过观察2022年7月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动.

 

0x06   勒索病毒关键词

以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。

– devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而 成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播 方式为:通过暴力破解远程桌面口令成功后手动投毒。

– 360:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改 为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒,本月新增通过数据库弱口令攻击进行传播。

– mkp:属于Makop勒索病毒家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成 功后手动投毒。

– RoBaj:属于RoBaj勒索病毒家族,由于被加密文件后缀会被修改为.RoBaj而成为关键词,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

– eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

– lockbit:属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。被该家族加密还可能涉及数据泄露的风险,该家族有一个大型团伙,其攻击手法多样化,不仅仅局限于弱口令爆破,还 包括漏洞利用,钓鱼邮件等方式进行传播。

– encrypt:属于eCh0raix勒索病毒家族,由于被加密文件后缀会被修改为.encrypt而成为关键词。该家族是一款针对NAS设备进行攻击的勒索病毒,主要通过漏洞攻击威联通设备,同时还曾对群辉设备采取桌面弱口 令攻击。

– consultraskey: 属于TargetCompany(Mallox)勒索病毒家族,由于被 加密文件后缀会被修改为consultraskey-id。该家族传播渠道有多个, 包括匿隐僵尸网络、横向渗透以及数据库弱口令爆破。

– makop:Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破 解远程桌面口令成功后手动投毒。

– fagro2:同consultraskey。

 

0x07   解密大师

从解密大师本月解密数据看,解密量最大的是Crysis,其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备 ,其次是被Crysis家族加密的设备。

其中SafeSound、Yanluowang和7Locker为本月新增解密家族。

 

0x08   时间线

2022-08-10 360高级威胁研究分析中心发布通告

(完)