记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

2021年08月勒索病毒流行态势分析

2021-09-10 16:21


赶紧点击上方话题进行订阅吧!

报告编号:B6-2021-091001

报告来源:360高级威胁分析中心

报告作者:360高级威胁分析中心

更新日期:2021-09-10


1
 简介



勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。

2021年8月,全球新增的活跃勒索病毒家族有:LockFile、MBC、Karma、Malki、GetYourFilesBack、Salma、AllDataStolen、GoodMorning等。其中LockFile准确地说是2021年7月出现的,但在7月仅发现一个受害者,但从8月20日开始已出现10多个受害者;Karma是本月新增的双重勒索软件;MBC在本月成功攻击伊朗伊斯兰共和国铁路系统 ,并拥有自己的数据泄露网站,但截止到该报告发布,尚未见到其泄露受害者数据。


2
 感染数据分析



针对本月勒索病毒受害者所中勒索病毒家族进行统计:phobos家族占比22.03%居首位,其次是占比19.13%的Stop,Makop家族以11.01%位居第三。

对比近三个月的感染数据,GlobeImposter家族呈持续下降的态势;已消失几月的BeiJingCrypt勒索软件再次活跃;通过长时间的观察发现,在国内传播的LockBit勒索软件并非都涉及数据泄露,受害设备数较少的企业/组织并未被该家族公开发布被窃取数据(但仍不排除有数据泄露风险)。

对本月受害设备中所运行的操作系统进行统计,位居前三的是:Windows 10、Windows 7以及Windows Server 2008。

2021年8月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主,与上月相比无较大波动。


3
 勒索病毒疫情分析



Ragnarok勒索团伙释放主密钥

本月底Ragnarok勒索软件团伙将其数据泄露站点中受害者名单以及窃取到的数据全部撤下,并在其数据泄露站点发布了一个免费的解密程序。分析发现该解密程序是通过主密钥来解密被加密文件,此次公开的解密工具具备通用性。目前该数据网站已被彻底关闭。

Ragnarok勒索团伙运营的Ragnar Locker勒索病毒最早出现于2019年,在2020年年底正式将双重勒索加入运营模式。该勒索病毒因利用Citrix ADC漏洞搜索易受EternalBlue漏洞攻击的计算机并部署勒索而成名,通过该攻击方式其至少盈利450万美元。

2020年12月23日Ragnarok团伙首次在数据泄露网站发布受害者信息,截止其关停网站,至少有44个组织/企业被该家族采用“双重勒索”模式进行攻击,以下为部分典型攻击案例:

- 葡萄牙能源巨头EDP遭遇该家族攻击,被窃取10TB数据。

- 意大利白酒巨头金巴利遭遇该家族攻击,索要赎金高达1500万美元。

- 日本视频游戏巨头Capcom遭遇该家族攻击,被窃取39万客户、业务合作伙伴等个人数据。

- ADATA遭遇该家族攻击,被窃取700GB数据

新型勒索软件LockFile利用多个漏洞进行传播

LockFile首次发现是在2021年7月20日,当时其攻击了美国一家金融机构。而该勒索病毒真正活跃是从本月20日该家族开始,目前为止至少已有10个组织或企业遭遇该家族攻击。其攻击目标所在地区主要为美国和亚洲,也有少量其它地区的组织/企业受到攻击。

LockFile首先利用Exchange服务器的ProxyShell漏洞入侵企业内部网络,再利用PetitPotam漏洞控制AD域服务器,并感染内网的计算机。

该勒索病毒的勒索提示信息与CryLock勒索病毒家族的高度相似,其赎金谈判页面则与LockBit勒索病毒家族高度相似。

其中ProxyShell是一组包含3个漏洞的漏洞组,属于高危漏洞,由于其漏洞编号比补丁晚出4个月,并未引起高度重视,导致部分设备仍未更新补丁。企业内部应及时更新补丁。该漏洞组涉及编号为:

- CVE-2021-34473 Exchange Server代码执行漏洞

- CVE-2021-34523 Exchange Server 权限提升漏洞

- CVE-2021-31207 Exchange Server安全功能绕过漏洞

Conti勒索集团内部核心资料泄露

2021年8月5日,Conti网络犯罪团伙因内部分赃不均导致其下属组织将其内部资料以及工具公开,其中部分已被上传至暗网论坛,而另一部分文件则仅展示了文件列表的截图。

从该下属组织发布的消息看,他之所以会发布这些资料,是因为在一次攻击事件中虽然收取了高达数百万美元的赎金,但该下属组织却仅得到了1500美元,其余部分则全部被Conti的核心团队占有。

在研究泄露的俄语攻击教程文档时,我们发现他们采用的攻击手法并不算新颖:会先通过扫描本地的口令、凭证等获取更多设备的权限。而对于黑客而言,最重要的是通过该设备去了解当前设备所在域的整体架构,并尽可能去尝试攻击IT部门的相关设备(这样更有可能拿到域管理员权限或是域控设备)。该攻击阶段,采用到了多个公开的漏洞,例如“永恒之蓝”、ZeroLogon、PrintNightmare等。而在成功获取到域控/域管理员权限后,攻击者就可以通过组策略向域内的所有设备进行下发恶意程序、窃取数据、部署勒索等一系列操作。

关于该事件的更多详情可阅读Conti勒索集团内部核心资料分析:

https://cert.360.cn/warning/detail?id=8d113d8786af993a847bfc2e98c92ac6

https://cert.360.cn/warning/detail?id=8d113d8786af993a847bfc2e98c92ac6

Marketo发布多个知名企业受害者名单

Marketo是一个2021年4月搭建的数据泄露平台,该平台将通过将勒索软件、网站漏洞等非法途径获取到的数据进行出售。其还会通过电子邮件将受害者部分数据发送给其竞争对手——给受害者施加压力的同时,也诱惑其竞争对手购买。该网站目前已有5164名注册用户,注册用户可参与出价。每个受害者名单下均有展示出价次数。

截止2021年8月28日,该平台已至少发布了57个企业或组织的数据。而在8月28日当天,Marketo则一次性公布了11个受害者名单,其中包含以下三家较为知名企业:

- 日本富士被窃取4GB数据

- 德国Puma 被窃取1GB数据

- 法国GigaTribe 被窃取5GB数据


4
 黑客信息披露



以下是本月收集到的黑客邮箱信息:

maz3@tuta.iorecovery.pc@aol.comransom1999@tutanota.com
in0x2@int.plkalitulz@yandex.comransom2000@tutanota.com
1bmx1@tuta.iojohnnylo@keemail.meransomwaree2020@cock.li
break@cock.liglobalbtc2@mein.gmxransomwaree2021@cock.li
jerjis@tuta.ioDecode@criptext.comsdjhf4df@potronmail.com
fata52@cock.limangerman@firemail.dunlockfile@criptext.com
fata54@cock.liholylolly@airmail.ccezfilesdec@tutanota.com
dtramp@tuta.iogluttony_001@aol.combasani400@mailfence.com
decphob@tuta.iomoon4x4@tutanota.comcoderunlocker@gmail.com
getmydata@bk.rucyvedira@firemail.cchowrecover@tutanota.com
supp0rt@cock.lifiledec@tutanota.comsharm777@protonmail.com
rantime@tuta.iochadmad@ctemplar.comrecoverman@tutanota.com
newera@tfwno.gffilesdecrypt@aol.commagicbox@outlookpro.net
mikolio@cock.liwugenaxu@firemail.cckalitulz@protonmail.com
mikolio@xmpp.jpdataback@firemail.cchighlvlservice@tfwno.gf
recofile@mail.eebtcunlock@airmail.ccchinadecrypt@msgsafe.io
pusheken91@bk.rughosttm@zohomail.comnullcipher@tutanota.com
pandabit@tuta.iodecrypt20@stealth.tgxdatarecovery@msgsafe.io
decrypt20@vpn.tglepuscrysupp@mail.eeGoodhack@privatemail.com
subik099@cock.lilepuscrysupp@cock.limydataback@mailnesia.com
trizvani@aol.commaykeljakson@cock.limymakopfile@tutanota.com
datashop@list.ruunlocker@firemail.cckingstonbtc@tutanota.com
fastwind@mail.ee958f895@tutanota.comserioussam@thesecure.biz
johnsonz@cock.lujohnlo@techmail.infodigistart@protonmail.com
pandora9@tuta.iophobos@mailfence.comtsec3x777@protonmail.com
files@restore.wszahary@techmail.infosavemyself1@tutanota.com
infoback@mail.eeHelp1999@tutanota.comHELPUNKNOWN@Tutanota.com
help4dec@cock.liassistant@firemail.deitambuler@protonmail.com
recover1@cock.lihublle@protonmail.comdcrptfile@protonmail.com
sharm777@aol.compaymantsystem@cock.liencrypted60@tutanota.com
tutik337@tuta.ioHubble77@tutanota.comjonneydep@protonmail.com
tutik337@cock.licrioso@protonmail.comsdx-20200@protonmail.com
covidv19@cock.lieleezcry@tutanota.comfastwind2@protonmail.com
globalbtc@gmx.dedozusopo@tutanota.comkeydecryption@airmail.cc
picklock@elude.insubik099@tutanota.comdatastore@outlookpro.net
greed_001@aol.comtrizvani@tutanota.comharpia2019@mailfence.com
pride_001@aol.combtcunlock@firemail.ccsacura889@protonmail.com
wiruxa@airmail.ccanticrypt2020@aol.comcoderunlockerr@gmail.com
happy@gytmail.comyongloun@tutanota.comransom19999@tutanota.com
falcon360@cock.lialonesalem@keemail.meemiliantor@mailfence.com
lexus@gytmail.comsdx-2020@tutanota.compaybackformistake@qq.com
getmydata@cock.lidragon.save@yahoo.comJohn.Muller@mailfence.com
basani400@aol.comcovidv19@tutanota.comJohnMuller88@tutanota.com
databankasi@bk.rudecrypt20@firemail.ccharmagedon0707@airmail.cc
gracia154@tuta.ioinfoback@criptext.compecunia0318@protonmail.ch
gracia154@cock.lighiedksjdh6hd@cock.lihinduism0720@tutanota.com
boomblack@cock.lianticrypt2021@aol.comyourfriendz@techmail.info
safetynet@mail.eecrashonlycash@gmx.comhelpmedecoding@airmail.cc
2magicbox@cock.lihelp4rec@tutanota.comreynoldmuren@tutanota.com
johnlo@keemail.meunlocker@criptext.commoonlight101@tutanota.com
decrypt20@xmpp.jpgener888@tutanota.comredsnow911@protonmail.com
indyan@airmail.ccvnhack@protonmail.comalonesalem@protonmail.com
riscattu@gmail.comHowtodecrypt@elude.inforumsystem@techmail.info
kabura@firemail.ccjohnnylo@techmail.inforansomsophos@tutanota.com
raboly@firemail.ccrecofile@mailfence.comdr.cryptor@protonmail.com
kubura@firemail.ccgetthekey@tutanota.commaykeljakson@criptext.com
dacowe@firemail.ccithelp02@decorous.cyourecovery.pc@mailfence.com
phobos2020@cock.lirans0me@protonmail.comransom199999@tutanota.com
surpakings@mail.eepayfast290@mailtor.comransom200000@tutanota.com
ransomtime@cock.liserioussam@firemail.ccstrike8889@protonmail.com
in0x2@tutanota.comdecphob@protonmail.comemilianazizi@tutanota.com
harpia2019@aol.comeight20@protonmail.comevilmosquito@onionmail.org
jennymombu@aol.comdivevecufa@firemail.ccLeslydown1988@tutanota.com
helpme2021@aol.comitambuler@tutanota.comcryptonation92@outlook.com
james2020m@aol.comsurpaking@tutanota.comdecrypt_ad1@protonmail.com
james2020m@cock.licifrado60@tutanota.comBlack_Wayne@protonmail.com
jackkarter@gmx.comopticodbestbad@aol.comdataencrypted@tutanota.com
jackkarter@cock.liopticodbestbad@mail.eexiaolinghelper@firemail.cc
safetynet@tfwno.gfunlockdata@firemail.ccjobiden1942@protonmail.com
rottencurd@mail.eeencryption2020@aol.comdecryption24h@criptext.com
dr.help888@aol.comgrootp2@protonmail.commrs.help888@protonmail.com
sacura1716@cock.linoobt56@protonmail.comreopening1999@tutanota.com
help2021me@aol.comdecryption24h@elude.inpablokariablo@mail2tor.com
nullcipher@goat.sidr.cryptor@secmail.provenomous.files@tutanota.com
help@wedecrypt.netunlockfile@firemail.ccithelp02@wholeness.business
pecunia0318@goat.sijennymombu@firemail.ccquickrecovery05@firemail.cc
Natonyx@firemail.ccsacura889@tutanota.comdavidshelper@protonmail.com
greenreed007@qq.comjonnylow@techmail.infodowendowxxx@privatemail.com
clean@onionmail.orgboomblack@tutanota.comdecryption24h@mailfence.com
r4ns0m@tutanota.comrottencurd@vivaldi.nethighlvlservice@ctemplar.com
contactjoke@cock.li958f895@protonmail.combob_marley1991@tutanota.com
qirapoo@firemail.ccborisrazor@nerdmail.cocrazydecrypt@horsefucker.org
rodrigos@keemail.mestrike999@tutanota.commaksimbockovskij315@gmail.com
chadmad@nuke.africaphobossp@protonmail.chjackiesmith176@protonmail.com
databack@airmail.ccoperator@wedecrypt.netDECRYPTUNKNOWN@Protonmail.com
moonlight10@mail.eeriscattu@protonmail.comerichhartmann_reserve@tuta.io
onlyway@secmail.proclean@privyinternet.combackupransomware@tutanota.com
forumsystem@cock.lipayfast290@mail2tor.comchinadecrypt@fasthelpassia.com
dragon.save@aol.comcontact@contipauper.combob_marley1991@libertymail.net
drgreen1@keemail.merecoryfile@tutanota.comJamesHoopkins1988@onionmail.org
newera@ctemplar.comclearcom@protonmail.comollivergreen1977@protonmail.com
johnsonz@keemail.mephobos2020@tutanota.comDecryptdatafiles@protonmail.com
hellook@gytmail.comanygrishevich@yandex.rujeffreyclinton1977@onionmail.org
5559912@firemail.ccdrgreen2@protonmail.comGunsOFThePatriots@privatemail.com
firmaverileri@bk.rutebook12@protonmail.comerichhartmann_main@protonmail.com
jonnylow@keemail.merody_218@protonmail.comfourfingeredfrankie@onionmail.org

表格1.黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现先这个清单中)。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

dimeoGeneva, OhioArabian Cargo Group
imasaStevens & LeeBreydons Solicitors
cegosTalbert HousePesquera Exalmar SAA
KASEYAPaxton Accessensingerplastics.com
WalsinPaxton AccessDragon Capital Group
Alcedoaris-servicescecengenharia.com.br
Bamfordcometgroup.beCommune De Villepinte
ALBIOMAkennen.com.arHeller Injury Lawyers
CHADDADbetonlucko.hrswiftlogistics.com.my
Beckleyanderscpa.comVirginia Defense Force
habasitTechni+ContactBelperio Clark Lawyers
matchmgsiro-group.comeuropeanaccounting.net
Gulf OilThe Wild Rabbitcreditoycaucion.com.ar
Hx5, LLCMambrino S.A.C.sahintoptangida.com.tr
DiaSorinGateway Collegeclassicalmusicindy.org
keltbrayINSERM-TRANSFERSierra Air Conditioning
friedrichgrupodismar.comkuk.de / KREBS + KIEFER
PCM Groupf**Florida Sugar Cane League
BHoldingsvincents.com.auWalter's Automotive Group
CinépolisSAC Wireless IncElm3 Financial Group, LLC
ActiontecSandhills CenterNottingham City Transport
infovistaHome in BrusselsHaftpflichtkasse Darmstadt
JhillburnGrupo DINA S.A.GATEWAY Property Management
HUF GROUPPhoenix ServicesArtas Holding / Artas Insaat
Daylesfordriostarfoods.comSouth Carolina Legal Services
inocean.nomodernbakery.comCentury 21 Gold Key Realty, Inc
IBC24 NewsAgrokasa HoldingsWalter's Mercedes-Benz of Riverside
apg-neurosAquazzura FirenzeTrifecta Networks & CloudFirst Labs
ccz.com.auRevision SkincareOn logistics Services Algeciras, S.L
Mega Visionspiralfoods.com.auCorporación Nacional de Telecomunicación
supplyforcecspmould-stampi.itSALZBURGER EISENBAHN TRANSPORT LOGISTIK GmbH
Colligan LawWT MicroelectronicsOrange County Chrysler Jeep Dodge Ram Dealership

表格2:存在数据泄露风险的受害者名单


5
 系统安全防护数据分析



通过将2021年7月与8月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。

以下是对2021年8月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2021年8月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSQQL属于正常的波动范围。


6
 勒索病毒关键词



以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。

- devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- hauhitec:属于CryptoJoker,由于被加密文件后缀会被修改为hauhitec而成为关键词。通过“匿隐” 僵尸网络进行传播。

- eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- LockBit:LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- hoop:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为hoop而成为关键词。该家族主要的传播方式为:伪装成破解软件或者激活工具进行传播。

- Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:

- 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

- 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。

- reqg:同hoop。

- nooa:同hoop。

- orkf: 同hoop。

- encrypt:该后缀被很多家族均使用过,但在本月活跃的是ech0Raix勒索软件,由于被加密文件后缀会被修改为encrypt而成为关键词。该家族针对网络存储设备NAS进行攻击,主要通过弱口令攻击以及漏洞攻击进行传播。


7
 解密大师



从解密大师本月解密数据看,解密量最大的是GandCrab,其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。


8
 安全防护建议




9
 产品侧解决方案



若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360AISA全流量威胁分析系统

针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系techsupport@360.cn获取更新,尽快升级检测引擎和规则,做好安全防护工作。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。


10
 时间线



2021-09-10 360高级威胁分析中心发布报告


11
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。




往期推荐
01

CVE-2021-40444:微软官方发布MSHTML组件在野0day漏洞通告

02

《网络安全八月月报》(附下载链接)

03

【通告更新】CVE-2021-26084:Confluence OGNL 注入漏洞通告


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

知识来源: https://mp.weixin.qq.com/s?__biz=MzU5MjEzOTM3NA==&mid=2247490207&idx=1&sn=dde1d499a0bc1a69642edefb28c3071b

阅读:4176 | 评论:0 | 标签:勒索 态势 病毒 分析

想收藏或者和大家分享这篇好文章→复制链接地址

“2021年08月勒索病毒流行态势分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云