首頁 > 安全資訊 > 正文

                    2021年09月勒索病毒態勢分析

                    勒索病毒傳播至今,360反勒索服務已累計接收到上萬勒索病毒感染求助。隨著雙重勒索的快速增長,企業數據泄露風險不斷上升,數百萬甚至上億贖金的勒索案件不斷出現。勒索病毒給企業和個人帶來的影響范圍越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監控與防御,為需要幫助的用戶提供360反勒索服務。

                    2021年9月,全球新增的活躍勒索病毒家族有:AtomSilo、BlackByte、Groove、Sodinokibi(REvil)、Colossus等勒索軟件。其中AtomSilo的數據泄露網站與BlackMatter的數據泄露網站高度相似,兩者可能存在密切關系;Groove勒索軟件由Babuk部分核心成員參與運營,并創建了一個名為RAMP的暗網論壇;消失近兩月的Sodinokibi(REvil)在本月正式回歸;Colossus勒索軟件的勒索提示信息結構與Sodinokibi(REvil)相似,采用雙重勒索模式運營。

                    感染數據分

                    針對本月勒索病毒受害者所中勒索病毒家族進行統計,phobos家族占比18.95%居首位,其次是占比17.32%的BeijingCrypt,Stop家族以14.05%位居第三。

                    本月BeijingCrypt勒索感染量有大幅度的上升,從8月份的4.06%上升至本月的17.32%。另外,在本月底該家族出現新的變種,將被加密文件后綴修改為“.520”。

                    對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10、Windows 7、以及Windows Server 2008。

                    本月被感染的系統中桌面系統和服務器系統占比顯示,受攻擊的系統類型仍以桌面系統為主,與上月相比無較大波動。

                    勒索病毒疫情分析

                    Sodinokibi(REvil)回歸,早期版本已能解密

                    2021年7月初,Sodinokibi(REvil)團伙曾對Kaseya發起供應鏈攻擊,導致100萬個系統被加密,60個托管服務商和1500個企業因受此次攻擊影響。而Sodinokibi(REvil)團隊在收到此次攻擊中2個受害企業支付的贖金之后不久便神秘消失。

                    而在本月初,關停近兩個月的Sodinokibi(REvil)勒索軟件正式回歸,不僅重啟了其基礎設施,還在其數據泄露網站發布了新受害者信息。同時重置的還有贖金談判頁面的倒計時——這也意味著之前的受害者若想解密文件,仍可通過該頁面與Sodinokibi(REvil)團伙進行談判。

                    圖1. 受害者與Sodinokibi(REvil)贖金談判頁面

                    就在Sodinokibi(REvil)勒索軟件宣布回歸后不久,國外執法部門通過特殊渠道獲取到了該家族早期的密鑰,并決定在該家族發起第二波攻擊之前為受害者提供解密方案(解密工具僅能解密7月13日之前被加密的文件)。目前360解密大師已加入了對Sodinokibi(REvil)的解密支持,受害者可以使用解密大師解密文件。

                    圖2. 360解密大師成功解密被Sodinokibi(REvil)加密的文件

                    BeijingCrypt勒索病毒最新變種瞄準零售行業

                    自本月29日開始,360反勒索服務陸續接收到多個受害者反饋:大量重要文件被加密,文件后綴被修改為.520。經分析該勒索病毒屬于BeijingCrypt勒索病毒家族的一個變種

                    該家族最早出現于2020年7月初,主要通過暴力破解遠程桌面口令后手動投毒。其主要攻擊地區為中國,早期傳播因修改文件后綴為.beijing而被命名為BeijingCrypt。此次攻擊者向受害者索要4500美元到5000美元不等的等價虛擬貨幣作為贖金。

                    圖3. 受害者與BeijingCrypt作者贖金談判郵件

                    根據此次受害者所從事的行業進行分析,被攻擊的受害者中大部為零售行業。通常利用遠程桌面進行傳播的勒索病毒并不具備針對某特定行業的定向投放能力,這是首次出現通過遠程桌面轉播勒索病毒具有如此強的行業針對性。

                    勒索軟件團伙內部分裂,Groove勒索軟件誕生

                    Babuk勒索團隊在2021年4月攻擊華盛頓警方后產生內部分歧。其管理員決定公布從警方手中獲取到的敏感信息用于宣傳,但部分成員拒絕這一行為,認為泄露警方數據會帶來大量不好的影響。而在管理員泄露數據后,該組織出現分裂——部分成員創建RAMP論壇,而另一些人員啟動了BabukV2勒索攻擊。在6月Babuk勒索生成器被泄露,9月Babuk成員將Babuk源代碼在暗網公開發布。

                    本月,一名ID為“Orange”的黑客在RAMP發布了一篇文章,文章中包含12856臺設備上近50萬個用戶的Fortiner VPN憑證。根據IP定位其所屬國家,發現有11.89%的設備來自中國。同時還觀察到Groove勒索軟件的數據泄露網站發布了一篇指向RAMP論壇關于Fortinet VPN憑證泄露的文章,猜測其團伙公開這些憑證的目的是想吸引更多的黑客參與該勒索軟件活動。

                    圖4. Groove數據泄露網站

                    勒索軟件運營者拒絕與第三方進行談判

                    在本月Ragnar_Locker先后發布兩則關于拒絕與第三方談判的公告。強調在過去經常遇到專業談判者與其進行贖金談判,但這并沒有使交易變的更加容易或者安全,反而讓情況變的更加糟糕。通常遇到去談判的是一些數據恢復公司,甚至有一些人來自聯邦調查局、調查機構等。其中一些數據恢復公司,在談判過程中為了降低價格,增加自身收益,不管客戶的敏感數據。因此Ragnar_Locker團隊宣布:后續如果再遇到來自其他方的談判,將拒絕談判并直接發布受害者數據。

                    圖5. Ragnar_Locker拒絕與數據恢復公司談判公告

                    在Ragnar_Locker發布此消息后,Grief勒索團伙也發布公告將拒絕來自第三方的談判、拒絕二手交易,如果遇到來自數據恢復公司的談判,他們將直接銷毀數據。

                    圖6. Grief拒絕與數據恢復公司談判贖金

                    黑客信息披露

                    以下是本月收集到的黑客郵箱信息:

                    表格1.黑客郵箱

                    當前,通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族占比,該數據僅為未能第一時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個人,可能不會出現在這個清單中)。

                    以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露準備,采取補救措施。

                    表格2. 受害組織/企業

                    系統安全防護數據分析

                    通過將2021年8月與9月的數據進行對比,本月各個系統占比變化均不大,位居前三的系統仍是Windows 7、Windows 8和Windows 10。

                    以下是對2021年9月被攻擊系統所屬地域采樣制作的分部圖,與之前幾個月采集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

                    通過觀察2021年9月弱口令攻擊態勢發現,RDP和MYSQL弱口令攻擊整體無較大波動。MSQQL屬于正常的波動范圍。

                    勒索病毒關鍵詞

                    以下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜索引擎。

                    • file:屬于BeijngCrypt勒索病毒家族,由于被加密文件后綴會被修改為file而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

                    • devos:該后綴有三種情況,均因被加密文件后綴會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索病毒家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

                    • eking:屬于phobos勒索病毒家族,由于被加密文件后綴會被修改為eking而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

                    • hauhitec:屬于YourData,由于被加密文件后綴會被修改為hauhitec而成為關鍵詞。通過“匿隱” 僵尸網絡進行傳播。

                    • efdc:屬于Stop勒索病毒家族,由于被加密文件后綴會被修改為efdc而成為關鍵詞。該家族主要的傳播方式為:偽裝成破解軟件或者激活工具進行傳播。

                    • LockBit:LockBit勒索病毒家族,由于被加密文件后綴會被修改為lockbit而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

                    • Makop:該后綴有兩種情況, 均因被加密文件后綴會被修改為makop而成為關鍵詞:

                      • 屬于Makop勒索病毒家族,該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

                      • 屬于Cryptojoker勒索病毒家,通過“匿隱” 進行傳播。

                    • koom:同efdc。

                    • GlobeImposter-Alpha666qqz: 屬于GlobeImposter勒索病毒家族,由于被加密文件后綴會被修改為GlobeImposter-Alpha666qqz而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒以及獲取數據庫口令后遠程執行惡意代碼加密系統文件。

                    • nwiot:同efdc。

                    解密大師

                    從解密大師本月解密數據看,解密量最大的是Sodinokibi(REvil),其次是CryptoJoker。使用解密大師解密文件的用戶數量最高的是被Stop家族加密的設備,其次是被Crysis家族加密的設備。

                    安全防護建議

                    面對嚴峻的勒索病毒威脅態勢,360安全大腦分別為個人用戶和企業用戶給出有針對性的安全建議。希望能夠幫助盡可能多的用戶全方位的保護計算機安全,免受勒索病毒感染。

                    一、針對個人用戶的安全建議

                    對于普通用戶,360安全大腦給出以下建議,以幫助用戶免遭勒索病毒攻擊。

                    (一)養成良好的安全習慣

                    1. 電腦應當安裝具有高級威脅防護能力和主動防御功能的安全軟件,不隨意退出安全軟件或關閉防護功能,對安全軟件提示的各類風險行為不要輕易采取放行操作。

                    2. 可使用安全軟件的漏洞修復功能,第一時間為操作系統和瀏覽器,常用軟件打好補丁,以免病毒利用漏洞入侵電腦。

                    3. 盡量使用安全瀏覽器,減少遭遇掛馬攻擊、釣魚網站的風險。

                    4. 重要文檔、數據應經常做備份,一旦文件損壞或丟失,也可以及時找回。

                    5. 電腦設置的口令要足夠復雜,包括數字、大小寫字母、符號且長度至少應該有8位,不使用弱口令,以防攻擊者破解。

                    (二)減少危險的上網操作

                    1. 不要瀏覽來路不明的色情、賭博等不良信息網站,此類網站經常被用于發起掛馬、釣魚攻擊。

                    2. 不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。也不要輕易打開擴展名為js 、vbs、wsf、bat、cmd、ps1等腳本文件和exe、scr、com等可執行程序,對于陌生人發來的壓縮文件包,更應提高警惕,先使用安全軟件進行檢查后再打開。

                    3. 電腦連接移動存儲設備(如U盤、移動硬盤等),應首先使用安全軟件檢測其安全性。

                    4. 對于安全性不確定的文件,可以選擇在安全軟件的沙箱功能中打開運行,從而避免木馬對實際系統的破壞。

                    (三)采取及時的補救措施

                    1. 安裝360安全衛士并開啟反勒索服務,一旦電腦被勒索軟件感染,可以通過360反勒索服務尋求幫助,以盡可能的減小自身損失。

                    二、針對企業用戶的安全建議

                    (一)企業安全規劃建議

                    對企業信息系統的保護,是一項系統化工程,在企業信息化建設初期就應該加以考慮,建設過程中嚴格落實,防御勒索病毒也并非難事。對企業網絡的安全建設,我們給出下面幾方面的建議。

                    1)安全規劃

                    • 網絡架構,業務、數據、服務分離,不同部門與區域之間通過VLAN和子網分離,減少因為單點淪陷造成大范圍的網絡受到攻擊。

                    • 內外網隔離,合理設置DMZ區域,對外提供服務的設備要做嚴格管控。減少企業被外部攻擊的暴露面。

                    • 安全設備部署,在企業終端和網絡關鍵節點部署安全設備,并日常排查設備告警情況。

                    • 權限控制,包括業務流程權限與人員賬戶權限都應該做好控制,如控制共享網絡權限,原則上以最小權限提供服務。降低因為單個賬戶淪陷而造成更大范圍影響。

                    • 數據備份保護,對關鍵數據和業務系統做備份,如離線備份,異地備份,云備份等,避免因為數據丟失、被加密等造成業務停擺,甚至被迫向攻擊者妥協。

                    2)安全管理

                    • 賬戶口令管理,嚴格執行賬戶口令安全管理,重點排查弱口令問題,口令長期不更新問題,賬戶口令共用問題,內置、默認賬戶問題。

                    • 補丁與漏洞掃描,了解企業數字資產情況,將補丁管理做為日常安全維護項目,關注補丁發布情況,及時更新系統、應用系統、硬件產品安全補丁。定期執行漏洞掃描,發現設備中存在的安全問題。

                    • 權限管控,定期檢查賬戶情況,尤其是新增賬戶。排查賬戶權限,及時停用非必要權限,對新增賬戶應有足夠警惕,做好登記管理。

                    • 內網強化,進行內網主機加固,定期排查未正確進行安全設置,未正確安裝安全軟件設備,關閉設備中的非必要服務,提升內網設備安全性。

                    3)人員管理

                    • 人員培訓,對員工進行安全教育,培養員工安全意識,如識別釣魚郵件、釣魚頁面等。

                    • 行為規范,制定工作行為規范,指導員工如何正常處理數據,發布信息,做好個人安全保障。如避免員工將公司網絡部署,服務器設置發布到互聯網之中。

                    (二)發現遭受勒索病毒攻擊后的處理流程

                    1. 發現中毒機器應立即關閉其網絡和該計算機。關閉網絡能阻止勒索病毒在內網橫向傳播,關閉計算機能及時阻止勒索病毒繼續加密文件。

                    2. 聯系安全廠商,對內部網絡進行排查處理。

                    3. 公司內部所有機器口令均應更換,你無法確定黑客掌握了內部多少機器的口令。

                    (三)遭受勒索病毒攻擊后的防護措施

                    1. 聯系安全廠商,對內部網絡進行排查處理。

                    2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令

                    3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份

                    4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。

                    • 是否有新增賬戶

                    • Guest是否被啟用

                    • Windows系統日志是否存在異常

                    • 殺毒軟件是否存在異常攔截情況

                    5. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令

                    6. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份

                    7. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。


                    三、不建議支付贖金

                    最后——無論是個人用戶還是企業用戶,都不建議支付贖金!

                    支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險??梢試L試通過備份、數據恢復、數據修復等手段挽回部分損失。比如:部分勒索病毒只加密文件頭部數據,對于某些類型的文件(如數據庫文件),可以嘗試通過數據修復手段來修復被加密文件。如果不得不支付贖金的話,可以嘗試和黑客協商來降低贖金價格,同時在協商過程中要避免暴露自己真實身份信息和緊急程度,以免黑客漫天要價。若對方竊取了重要數據并以此為要挾進行勒索,則應立即采取補救措施——修補安全漏洞并調整相關業務,盡可能將數據泄露造成的損失降到最低。

                    360安全衛士

                    熱點排行

                    用戶
                    反饋
                    返回
                    頂部
                    99久久免费热在线精品8,东京热Av加勒一区二区,sm变态国产在线播放,9UU在线观看麻豆传媒和swag,中出国产日韩在线视频,国产女主播直播自慰,少女萝莉头像闺蜜,国产网红吉普车有哪些