勒索软件流行态势分析 2024年11月 勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断�现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。 2024年11月,全球新增的双重勒索软件家族有Kairos、Safepay、Argonauts、Chort、Termite。11月新增的传统勒索软件家族有XmrData、Frag、Triplex、Nyxe、MrBeast等十余个家族,其中XmrData、Frag有监测到在国内的传播行为。 以下是本月值得关注的部分热点: VeeamRCE严重漏洞现在被Frag勒索软件利用实施攻击 施耐德电器确认黑客窃取数据后开发平台遭到破坏 俄罗斯逮捕了与勒索团伙有关的知名开发人员 基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计:TargetCompany(Mallox)家族占比22.38%居首位,第二的是Makop占比15.38%的,RNTC家族以11.89%位居第三。 图1.2024年11月勒索软件家族占比 对本月受害者所使用的操作系统进行统计,位居前三的是:Windows10、Windows7以及WindowsServer2012。 图2.2024年11月勒索软件入侵操作系统占比 2024年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC高于服务器平台。 图3.2024年11月勒索软件入侵操作系统类型占比 勒索软件热点事件 VeeamRCE严重漏洞现在被Frag勒索软件利用实施攻击 在确认已被Akira和Fog勒索软件利用发起攻击后,Veeam备份和复制(VBR)的一个严重安全漏洞最近再度爆�被用来部署Frag勒索软件。 安全研究员发现,该漏洞(CVE-2024-40711)是由不受信任的数据漏洞反序列化引起的,未经身份验证的攻击者可以利用这些数据漏洞在VeeamVBR服务器上获得远程代码执行(RCE)权限。 曾有安全实验室于2024年9月9日发布了有关CVE-2024-40711的技术分析,并 将该漏洞的概念验证代码发布推迟到9月15日以便管理员有足够的时间安装Veeam于9月4日发布的安全更新。这一推迟也正是由于Veeam的VBR软件成为寻求快速访问公司备份数据的攻击者的热门攻击目标,而许多企业目前都将该软件视作灾难恢复和数据保护解决方案,以备份、恢复和复制虚拟、物理和云机器。 但实际上,安全响应人员发现这对延迟Akira和Fog勒索软件攻击的作用很小。攻击者依然利用了该RCE漏洞和被盗的VPN网关凭据,将流氓帐户添加到未修补和互联网暴露的服务器上的本地管理员和远程桌面用户组。 就在最近,研究人员还发现又有攻击组织(疑似是“STAC5881”)在攻击中使用了CVE-2024-40711漏洞将Frag勒索软件部署到了受感染的网络设备上。 图4.Frag勒索软件的勒索信息 这些攻击与Akira和Fog攻击者所使用的方法类似——他们都会在攻击期间针对备份和存储解决方案中未修补的漏洞和错误配置。 根据Veeam方面的数据,全球有超过550000名客户使用其产品,这其中甚至涵盖了全球2000强榜单中约74%的公司,这一数据也说明了本次攻击事件背后巨大的潜在威胁。 施耐德电器确认黑客窃取数据后开发平台遭到破坏 施耐德电气已确认,在攻击者声称从该公司的JIRA服务器窃取了40GB的数据后,开发人员平台遭到破坏。 10月底,一位名叫“Grep”的攻击者在X上嘲讽该公司,表示他们已经入侵了其系统。在与媒体的对话中,Grep表示他们使用暴露的凭据入侵了SchneiderElectric的Jira服务器。获得访问权限后,他们声称使用MiniOrangeRESTAPI抓取了400k行用户数据。Grep表示,其中包括75000个唯一的电子邮件地址以及SchneiderElectric员工和客户的全名。 在暗网网站的帖子中,攻击者开玩笑地要求125000美元的“Baguettes”来换取不泄露数据,并分享了有关被盗内容的更多详细信息。 Grep进一步告诉媒体他们最近成立了一个新的黑客组织InternationalContractAgency(ICA),以《杀手:代号47》游戏命名。攻击者表示,该组织以前没有勒索他们入侵的公司。然而,在得知“ICA”名称与“伊斯兰恐怖分子团体”有关后,攻击者表示他们再次更名为Hellcat勒索软件团伙,目前正在测试用于勒索攻击的加密器。 图5.攻击者放�有关对施耐德电器的攻击信息 俄罗斯逮捕了与勒索团伙有关的知名开发人员 俄罗斯执法部门于2024年11月底逮捕并起诉了臭名昭著的勒索攻击参与者MikhailPavlovichMatveev(又称Wazawaka、Uhodiransomwar、m1x或Boriselcin等),罪名是其开发恶意软件并参与多个黑客组织。 据俄罗斯国有新闻机构RIANovosti所接到的匿名来源消息称:虽然检察官办公室尚未公布有关此人身份(在法庭文件中被描述为“程序员”)的任何细节,但此人正 是Matveev。俄罗斯内务部在一份声明中说:“目前,调查人员已经收集到足够的证据,检察官签署起诉书的刑事案件已送交加里宁格勒市中央地区法院进行审议。” 正如网络政策专家OlegShakirov首次发现的那样,Matveev被指控开发勒索软件 (检察官办公室将其描述为可以加密文件和数据的“专用恶意软件”),并称其计划使用勒索软件来加密“商业组织的数据,以便然后从他们那里获得赎金进行解密”。 去年,即2023年5月,美国司法部还对Matveev提�指控,称其参与开发了针对美国受害者的Hive和LockBit勒索软件。此外,他还被认为是“Orange”黑客论坛的创建者和管理员,以及Babuk勒索软件的最初运营者。而后者在组织成员无法抉择是否发布从华盛顿特区首都警察部队窃取的数据后分道扬镳。 图6.FBI对MikhailMatveev的通缉信息 根据美国司法部的新闻稿和新泽西州及哥伦比亚特区的公开起诉书,可以整理�他在与三个勒索软件团伙合作时活动的大致时间表: 2020年6月,Matveev和LockBit勒索软件合谋在新泽西州帕赛克县的一个执法机构的网络上部署了LockBit勒索软件; 2021年4月,Matveev与Babuk勒索软件合谋在华盛顿特区大都会警察局的 系统上部署了恶意载荷。 2022年5月,Matveev同Hive勒索软件团伙成员加密了总部位于新泽西州默瑟县的一家非营利性行为医疗保健组织的系统。 Matveev还因对美国实体(包括美国执法部门和关键基础设施组织)发起网络攻击而受到财政部外国资产控制办公室(OFAC)的制裁。 Matveev在网上的知名度非常高。他经常与网络安全研究人员和专业人士进行交流,并使用他的Twitter帐户“RansomBoris”公开讨论他的网络犯罪活动。而在受到美国制裁后,Matveev还曾公开嘲讽美国执法部门,并在推特上发布了一张T恤上的通缉海报照片。 黑客信息披露 以下是本月收集到的黑客邮箱信息: lazylazy@tuta.com arcustm@proton.me prometheushelp@mail.ch help.service@anche.no arcusteam@proton.me prometheusdec@yahoo.com apexxx@onionmail.org darksetran@gmail.com Tiberiano@aol.com Dismember@tuta.io Darkset@onionmail.org yourdata@RecoveryGroup.at cactus@mexicomail.com serverdatakurtarma@mail.ru Jeremy.albright@criptext.com Techsupport@cyberfear.com sunucuverikurtarma@gmail.com monster666@tuta.io inform-hack@proton.me lazylazy@dnmx.su onster666@tuta.io infrom-test@proton.me nonamehack2023@gmail.com recoveryfiles@techmail.info anonymousfrance@onionmail.org nonamehack2023@tutanota.com steriok@mail2tor.com taxz@cock.li pepe_decryptor@hotmail.com proper12132@tutanota.com taxz@cyberfear.com gotchadec@onionmail.org helpunlock@aol.com H3lp4You@onionmail.org Yamaguchigumi@cock.li putinubiyca@privyonline.com Upgrade4you@onionmail.org sendmykey@duck.com assistant@techmail.info cactus787835@proton.m josephnull@secmail.pro hakbit@protonmail.com pbs@criptext.com xmrdata@tutamail.com servo99@protonmail.com pbs24h@tutanota.de xmrdata@onionmail.org youranonbonzi@cock.li stocklock@airmail.cc fixmaster@tutamail.com molox@keemail.me stocklock@firemail.cc fixMaster01@onionmail.com muflon@tutamail.com suppdec@aol.com MrBeastOfficial@firemail.cc defg@tuta.com suppdec2@ao1.com biobiorans@gmail.com god1@pissmail.com studiocp25@hotmail.com biobiorans@keemail.me god1@cock.li teroda@bigmir.net Mirex@airmail.cc richadau@mailfence.com BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch pussylikeashavel@cyberfear.com hrol@tutanota.com metro777@cock.li discord4spamreport@gmail.com black_private@tuta.io Recoverysupport@onionmail.org 表1.黑客邮箱 当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会�现在这个清单中)。 图7.2024年11月通过数据泄露获利的勒索软件家族占比 以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也