2024年7月勒索软件流行态势分析报告

勒索软件流行态势分析 2024年7月 勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断�现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2024年7月，全球新增的双重勒索软件家族有Lynx、Cicada3301、Fog、MADLIBERATOR、Pryx、VanirGroup。Fog最早�现在2024年5月，并在7月开始通过其数据泄露网站对外发布受害者名单。新增的传统勒索软件家族有ShadowRoot、Black4Over。 以下是本月值得注的部分热点： 1.新的Eldorado勒索软件攻击Windows及VmwareESXi虚拟机 2.来德爱承认6月份遭遇勒索攻击后发生数据泄露事件 3.洛杉矶高等法院因遭遇勒索软件攻击而关闭 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比36.02%居首位，第二的是Makop占比22.46%，Anony家族以12.29%位居第三。 图1.2024年7月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2008以及WindowsServer2012。 图2.2024年7月勒索软件入侵操作系统占比 2024年7月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器平台的攻击比例基本相当。 图3.2024年7月勒索软件入侵操作系统类型占比 勒索软件热点事件 新的Eldorado勒索软件攻击Windows及VmwareESXi虚拟机 一种名为“Eldorado”的新型RaaS（勒索软件即服务）勒索软件于今年3月被首次发现，并带有针对性的攻击VMwareESXi和Windows平台。该勒索软件团伙据称已攻击了16个组织，其中大部分受害者在美国，涉及房地产、教育、医疗保健和制造业等领域。 网络安全研究人员监控到了“Eldorado”的活动，发现其幕后控制者在RAMP论坛上推广该勒索服务，并寻找有相关技术能力的合作伙伴加入项目。此外，Eldorado还运营着一个数据泄露网站用于列�了受害者名单，但目前该网站尚无法访问。 Eldorado是一款基于Go语言开发的勒索软件，可以通过两种具有相似功能的变种在Windows和Linux平台上进行文件加密操作。研究人员从提供RaaS的供应商手中取得了一个加密器以及其附带的用户手册，说明该加密器有适用于VMwareESXi虚拟机管理程序和Windows操作系统的32位及64位版本。根据分析发现，该勒索软件使用ChaCha20算法进行加密，并针对每台受害设备生成一个独有的32字节密钥和12字节初始向量。然后，使用RSA加密算法对密钥和初始向量进行加密，采用的是最优的非对称加密填充 （OAEP）方案。加密完成后，文件会被添加“.00000001”的扩展名，并在系统的“文档”和“桌面”文件夹中放置名为“HOW_RETURN_YOUR_DATA.TXT”的勒索说明文件。另外，Eldorado还利用SMB通信协议对网络中的共享设备进行加密，以最大程度地发挥其作用，并在被入侵的Windows机器上删除卷影副本，以防止受害者通过副本对文件进行恢复。同时，该勒索软件会跳过DLL、LNK、SYS和EXE文件，以及与系统启动和基本功能相关的文件和目录，以防止使系统无法启动或无法使用。最终，勒索软件会删除自身文件以避免被安全响应人员发现和分析。 安全研究人员表示：“虽然目前来看，Eldorado是一个新�现的勒索软件组织而非此前的勒索软件组织的重生团队，但其在短时间内已展现�了对受害者数据、声誉和业务可用性的重大破坏能力。” 来德爱承认6月份遭遇勒索攻击后发生数据泄露事件 大型连锁药店来德爱在6月份遭受了一次网络攻击，随后确认发生了数据泄露事件，该事件被RansomHub勒索软件组织所宣称。 大型连锁药店来德爱在7月12日表示其正在调查今年6月份发现的一起网络攻击，并正在努力向受数据泄露影响的客户发送数据泄露通知。该公司还表示，在聘请外部专家解决此次攻击影响的过程中，已恢复了所有受影响的系统。尽管来德爱没有透露在数据泄露事件中被访问的客户数据内容以及受影响的个人数量，但该公司表示，此次数据泄露事件并未涉及健康或财务信息。 尽管来德爱尚未透露6月份袭击事件的幕后黑手是谁，但这份声明是在RansomHub勒索软件团伙已声明表示入侵了这家药品巨头的系统并窃取了客户数据之后发布的。 在RansomHub的声明中，明确表示在获取了Riteaid网络的访问权限后，已获取了超过10GB的客户信息，相当于约4500万人的个人信息。这些信息包括姓名、地址、dl_id号码、�生日期和Riteaid推广号码。在将来德爱添加到其泄露网站后，据传由于该公司已停止了赎金谈判，勒索软件组织分享了一些据称是被盗数据的截图作为证据，并表示两周内将公布所有数据。 根据来德爱方面的最新统计，此次数据泄露事件已经影响到其约220万名客户的隐私信息。 洛杉矶高等法院因遭遇勒索软件攻击而关闭 美国最大的地方法院——洛杉矶县高等法院于22日关闭了其36个法院的所有地点，以恢复在19日遭受勒索软件攻击的系统。这起尚未被勒索软件组织公布的攻击影响了洛杉矶高等法院的整个网络。此次攻击也波及了包括“MyJuryDutyPortal”门户网站在内的外部系统，以及一些如案件管理系统在内的内部系统。 此次攻击在当地时间20日时被首次披露，当时该法院透露袭击开始于7月19日星期五清晨。洛杉矶高等法院还(LASC)表示，此次事件与全球范围内影响Windows系统的CrowdStrike更新故障无关。在发现遭到攻击后，LASC被迫立即关闭了所有网络系统以遏制漏洞，这些设备很可能至少要到下周二才能恢复并重新上线。法院补充说，他们没有发现任何证据表明被入侵系统的数据被泄露，目前正与加州紧急服务办公室 （CALOES）以及地方、州和联邦执法机构合作，调查此次事件并评估其影响。 虽然法院仍在迅速推进恢复和恢复阶段，但截至21日晚间，许多关键系统仍处于离线状态。 黑客信息披露 以下是本月收集到的黑客邮箱信息： Barbara.li@gmx.com admin@stex777.xyz bitsupportx@protonmail.com emily.florez@zohomail.com ramachandra7@india.com bitsupportx@cock.li getdataback@rambler.ru 5j3Kyz7F2@gmail.com decrypt@europe.com amaya_payne2@aol.com decrypthelp@cock.li reservereserv@airmail.com nikki.lond2@aol.com skynet45@cock.li emmanuel.earsome@aol.com admin@sectex.net skynet45@tutanota.com mclainmelvin@aol.com admin@sectex.world delta@onionmail.org GetDecoding@zimbabwe.su boost delta@bingzone.net getdecoding@msgsafe.io boston.crypt@tuta.io decryptinfo@protonmail.com Client9522@tutanota.com koreadec@tutanota.com decryptinfo@cock.li decfile1@protonmail.com yourrealdecrypt@airmail.cc future911@tuta.io rapax123@protonmail.com Enigmawave@zohomail.com dragon2024@onionmail.org michael_ethan@zohomail.eu helpservice@cyberfear.com dragon2024@tutanota.com michael.ethan@onionmail.org youhau@tutamail.com paybit@aol.com valorantskins108@gmail.com China.Helper@aol.com paybit765@aol.com jinwooksransome@gmail.com China.Helper@india.com pexdatax@gmail.com geometrical@geometrical.ransome.k r sergev_petrov1983@mail.ru admin@spacedatas.com duca17512@gmail.com clovergroup@skiff.com teamdecrypt@disroot.org lord_bomani@keemail.me Helpyoudc1966@Gamil.com teamVV@cock.li jbomani@protonmail.com zkungfu@skiff.com xcsset@criptext.com Bomani@Email.Com anony@mailum.com xcsset@aol.com salesrestoresoftware@firemail.cc ithelp08@decorous.cyou squadhack@email.tg salesrestoresoftware@gmail.com ithelp08@wholeness.business back_data@foxmail.com getbtc@aol.com mail4restore@swismail.com getdecoding@protonmail.com steloj@bk.ru welcome24dat@outlook.com prancesonce@tuta.io steloj@lycos.com returnal_data@proton.me prancesonce@cock.li stelo@onet.eu returnaldata@airmail.cc ebc83e48b03b390223e3f0b9eb2983d 6 admin@fentex.net returnal_data@tuta.io operator@cypherx.info admin@fentex.world AdminLoki@onionmail.org Operatorb@cock.li admin@datastex.club LokiAdmin@mail2tor.com fidelio.bartyn@aol.com dkqcnr@cock.li 8filesback@onionmail.org glynnaddey@aol.com d.hanry@tutamail.com foo8tbFpc@gmail.com 888@cock.email LBfdgpo.info.ru@onionmail.com my0day@aol.com getscoin3@protonmail.com Rdpdik6@gmail.com daysupp@aol.com getscoin@tuta.io Rdpp771@gmail.com biashabtc@redchan