勒索软件流行态势分析 2024年3月 勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断�现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。 2024年3月,全球新增的活跃勒索软件家族有RAWorld、RedRansomware、KillSecurity等,均为双重勒索病毒。 本月针对国内主流云服务器进行的勒索攻击比例大幅提高,从大量的云服务器用户反馈的案例看,相关系统均未安装360终端安全产品进行勒索防护,被攻击的直接原因主要是Web服务漏洞、数据库弱口令登录、远程桌面弱口令登录。 以下是本月值得关注的部分热点: 1.TellYouThePass再度活跃 2.瑞士表示Play勒索软件泄露了65000份政府文件 3.法国失业机构数据泄露影响4300万人 基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计:TargetCompany(Mallox)家族占比17.98%居首位,第二的是占比16.67%的Makop,phobos家族以15.35%位居第三。 图1.2024年3月勒索软件家族占比 对本月受害者所使用的操作系统进行统计,位居前三的是:Windows10、WindowsServer2008以及WindowsServer2012。 图2.2024年3月勒索软件感染操作系统占比 2024年3月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC与服务器为主流平台,Nas平台受LvtLocker勒索家族的持续影响,占比依然居高不下。 图3.2024年3月勒索软件感染操作系统类型占比 勒索软件热点事件 TellYouThePass再度活跃 3月中旬与3月末360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而本月TellYouThePass勒索攻击的受害者都有着两个显著的共同特征: 1.中招设备未安装360安全产品,且云服务器占比很高; 2.中招设备均为运行财务管理服务的计算机。 经360安全智脑的分析研判,成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老牌勒索软件家族。 该家族仅在2023年就发动了3轮较大规模的攻击,而在2024年初又开始继续作恶。 而360云端智脑也为我们展示了其最近半年的攻击趋势,可以看到最近一段时间,其活跃程度显著增加: 图4.TellYouThePass近期传播量 本轮集中爆发是该家族在龙年后的首度回归,仅在3月20日一天我们就监测到了数千台财务电脑遭其攻击。 瑞士表示Play勒索软件泄露了65000份政府文件 瑞士国家网络安全中心(NCSC)发布了一份报告,分析了Xplain遭受勒索软件攻击后的数据泄露情况,披露该事件影响了数千份敏感的联邦政府文件。Xplain是一家瑞士技术和软件解决方案提供商,为各种政府部门、行政单位,甚至该国的军事力量提供服务。 当时,攻击者声称盗取了包含机密信息的文件,而其也确实在之后的2023年6月初兑现了该威胁,并在其暗网门户上发布了被盗数据。这之后,瑞士政府开始调查泄露的文件,并立即承认泄露的数据可能包含属于瑞士联邦管理局的文件。 2024年3月7日,瑞士政府发布了一份关于此事的声明,称有65000份政府文件遭到泄露: 这些文件中的大部分(95%)影响了联邦司法和警察部(FDJP)的行政单位:联邦司法办公室、联邦警察办公室、国家移民秘书处和内部IT服务中心ISC-FDJP。 联邦国防部、民防和体育部(DDPS)受到的影响较小,占该数据的3%多一点。 大约5000份文件包含敏感信息,包括个人数据(姓名、电子邮件地址、电话号码和地址)、技术细节、机密信息和账户密码。 一个由几百个文件组成的小集合,包含IT系统文档、软件或架构数据和密码。 公告称调查将于本月底完成,并将与联邦委员会分享全部结果和网络安全建议。 法国失业机构数据泄露影响4300万人 2024年3月13日,法国就业部披露黑客在2月6日至3月5日期间对其发动了网络攻击,窃取了过去20年在该机构注册的求职者详细信息,导致这些求职者个人数据遭到泄露。法国就业部已经通知了该国的数据保护机构——法国国家信息和自由委员会(CNIL)。而该机构表示,多达4300万人可能会受到影响。 此次攻击所泄露的数据类型包括: 全名 �生日期 �生地点 社会安全号码(NIR) 法国劳工身份识别码 电子邮件地址 邮寄地址 电话号码 这些数据增加了个人身份被盗和网络钓鱼的风险,因此该机构建议潜在的受影响人群对他们收到的电子邮件、电话和短信要特别警惕。法国劳工局澄清说,数据泄露事件不会影响人们的银行信息或账户密码。但法国国家信息保护委员会警告说,网络罪犯可能会利用这些信息与其他泄露事件中的被盗数据关联起来。 黑客信息披露 以下是本月收集到的黑客邮箱信息: jimyjoy139@proton.me secdatltd@gmx.com payransom1@gmail.com freaqzer@proton.me fredmoneco@tutanota.com MogilevichSupport@mail2tor.com deblackbithelp@gmail.com skymix@tuta.io databack129@tuta.io AlbetPattisson1981@protonmail.com getdata@gmx.com databack129@cock.li henryk@onionmail.org sory@countermail.com reload2024@outlook.com atomicday@tuta.io greenbookBTC@gmx.com oct@sent.com info@fobos.one spacegroup@tuta.io sourcehack@nigge.rs axdus@tuta.io greenbookBTC@protonmail.com decr.nem@tuta.io it.issues.solving@outlook.com stafordpalin@protonmail.com imhere.ru77@gmail.com barenuckles@tutanota.com helperfiles@gmx.com meowcorp2022@aol.com JohnWilliams1887@gmx.com starcomp@keemail.me meowcorp2022@proton.me Bernard.bunyan@aol.com helpermail@onionmail.org meowcorp@msgsafe.io jonson_eight@gmx.us xdone@tutamail.com meowcorp@onionmail.org bill.g@gmx.com helpfiles@onionmail.org 4926564818284@tutanota.com joshuabernandead@gmx.com xgen@tuta.io nice2meetyou@mail2tor.com bill.g@msgsafe.io helpfiles102030@inboxhub.net nicetomeetyou@exploit.im LettoIntago@onionmail.com xspacegroup@protonmail.com harry_whitest@zohomail.ca bill.g@onionmail.org helpforyou@gmx.com harry.whitest@onionmail.org Luiza.li@tutanota.com zgen@tuta.io data199@mailum.com bill.gTeam@gmx.com helpforyou@onionmail.org poop69news@gmail.com MatheusCosta0194@gmx.com zodiacx@tuta.io cmbi.pentesting@keemail.me blair_lockyer@aol.com companyadvanc@tutanota.com hellomydata@onionmail.org mccreight.ellery@tutanota.com companyadvanc@onionmail.org cedillos@cyberfear.com CarlJohnson1948@gmx.com flapalinta1950@protonmail.com gratefulcode@gmail.com megaport@tuta.io xersami@protonmail.com donexsupport@onionmail.org cashonlycash@gmx.com MarcusFeldmann1988@gmx.com decryption@cock.lu miadowson@tuta.io web.assistant@onionmail.org helpdata@zohomail.eu chocolate_muffin@tutanota.com imhere.ru@protonmail.com email.recovery24@onionmail.org MichaelWayne1973@tutanota.com woxoto@tuta.io pbdgja7el1@tutanota.com claredrinkall@aol.com assistant01@backup.capital Er60t1@proton.me normanbaker1929@gmx.com assistant01@decodezone.net h3lp2022@proton.me clausmeyer070@cock.li HG57iQqPL@gmail.com h3lp2022@tuta.io nud_satanakia@keemail.me backmydata@skiff.com websalm@tutanota.com colexpro@keemail.me stenlicyber@onionmail.com jayy@tuta.com please@countermail.com stenlicyber@tutanota.com hpssupfast@mailfence.com cox.barthel@aol.com qqtiq@tuta.io info@fobos.one,axdus@tuta.io precorpman@onionmail.org miltonqq@tuta.io ea7rt3nu0k@onionmail.org recovery2021@inboxhub.net antich154@privatemail.com nicetomeetyou@onionmail.org everymoment@tuta.io rikyrank113@protonmail.com dorradocry@outlook.com recovery2021@onionmail.org zinok19998@tuta.io decryption@msgden.com expertbox@tuta.io santafun@email.tg RestorationGuarantee@gmx.co