报告编号:CERT-R-2024-681
报告来源:360高级威胁研究分析中心
报告作者:360高级威胁研究分析中心
更新日期:2024-02-04
勒索软件传播至今,360反勒索服务已累计接收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升 ,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安 全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。2024年1月,全球新增的活跃勒索软件家族有0mega、USDLocker、TOLKONEPERDITE等。其中0mega家族采用多重勒索方式运营。以下是本月值得关注的部分热点:
1. 能源巨头施耐德电气遭Cactus勒索软件攻击
2. Tietoevry勒索软件攻击导致瑞典企业和城市停电
3. 中国凉茶品牌加多宝遭遇LockBit勒索软件攻击
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
针对本月勒索软件受害者设备所中病毒家族进行统计:phobos家族占比20.77%居首位,第二的是占比14.75%的Makop,TargetCompany(Mallox)家族以13.11%位居第三。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
2024年1月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC比服务器系统略高一些。
能源巨头施耐德电气遭Cactus勒索软件攻击
据知情人士透露,法国能源业巨头施耐德电气遭到了Cactus勒索软件攻击,导致公司数据被盗。据悉勒索软件攻击开始于1月17日,而遭 到攻击的是该公司的可持续发展业务部门。本次攻击扰乱了施耐德电气的部分资源顾问云平台,这些平台至今仍处于中断状态。
据报道,勒索软件团伙在网络攻击期间窃取了以TB计的公司数据,并以此威胁该公司。虽然尚不清楚被盗数据的类型,但可持续发展业务部门为企业组织提供咨询服务就可再生能源解决方案提供建议并帮助他们满足全球公司复杂的气候监管要求,所以被盗数据可能包含有关客户用电、工业控制和自动化系统以及环境和能源法规合规性的敏感信息。
目前尚不清楚施耐德电气是否会支付赎金,但该公司在声明中证实其可持续发展业务部门确实遭受了网络攻击,并且确认攻击者获取到了内部数据。不过该公司同时也表示此次攻击仅限于该部门,并未影响公司其他部门。
Tietoevry勒索软件攻击导致瑞典企业和城市停电
芬兰IT服务和企业云托管提供商Tietoevry在1月21日证实,其在19日晚上到20日早上受到Akira勒索软件攻击,此次攻击影响了他们位于 瑞典的一个数据中心。Tietoevry立即隔离了受影响的平台,勒索软件攻击并未影响公司基础设施的其他部分。而该数据中心用于该公司 的企业管理云托管服务,此次事件导致瑞典多个客户出现服务中断。
该公司表示他们正在恢复基础设施和服务,但客户在服务器恢复上线时仍然受到影响。而据报道,此次攻击对该公司的虚拟化和管理服务器进行了加密,这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院Filmstaden已确认他们受到了此次攻击的影响,因此无法通过网站或移动应用程序在线购买电影票。此外,折扣零售连锁店Rusta、原材料供应商Moelven和农业供应商Grangnården也 受到了影响。这次中断还影响了Tietoevry的薪资和人力资源管理系统Primula,该系统被瑞典政府、大学和学院广泛使用。该国受影响的大学和学院包括卡罗林斯卡学院、SLU、西大学、斯德哥尔摩大学、隆德大学和马尔默大学。
Primula所受到的攻击还影响了瑞典的众多政府机构和市政当局,包括Statens服务中心、Vellinge市和乌普萨拉县。对于乌普萨拉来说,系统的终端还影响了该地区的医疗保健记录系统。
中国凉茶品牌加多宝遭遇LockBit勒索软件攻击
Lockbit勒索组织在2024年1月12日发布了加多宝集团的勒索信息,并于2024年1月26日公开了发布了他们窃取到的460GB数据。
从勒索组织发布的数据示例截图看,相关数据涉及各类财务信息、供应商信息、员工劳动合同等。
以下是本月收集到的黑客邮箱信息:
datenklause0@gmail.com | support1@puzins.com | QbXcTRSds@gmail.com |
---|---|---|
getbyback@protonmail.com | support2@tagorix.com | tolkoneperdite@onionmail.org |
albabat.help@protonmail.com | new_pings@tutanota.com | data.ru@tutanota.com |
blacksupport@onionmail.org | datasrv@tutanota.com | gotmydatafast@skiff.com |
decryption@msgsafe.io | targetowner@tutanota.com | decdata@tutanota.com |
decryptor@waifu.club | onionmail@onionmail.org | decdata@onionmail.org |
max.winkler@onionmail.org | foryou1@tuta.io | medusa.serviceteam@protonmail.com |
tutu@onionmail.org | aerossh@nerdmail.co | zero.cool0@onionmail.org |
HowToDecryptReserve@proton.me | aerossh@cock.li | zero.cool0@msgsafe.io |
cookieshelper@tutanota.com | aerossh@proton.me | ContactMesSec@protonmail.com |
karsovrop@tutanota.com | covina1@skiff.com | chinahelp2023@nigge.rs |
admencrypt@gmail.com | decryption@mallox.homes | datahelp2023@cyberfear.com |
admdecrypt@gmail.com | thedecryptor@decoymail.com | amike1096@gmail.com |
a.wyper@worldtravelnotebook.com | omegatechit@protonmail.com | onion746@onionmail.com |
khanhthuan145@gmail.com | omegatechit@tuta.io | pings@mailum.com |
Apriliasanjani18@gmail.com | keyseller@mailfence.com | onionransom@decoymail.com |
DonCryptor@aol.com | keyseller@skiff.com | onionransom@tutanota.com |
blacksup@tutanota.com | keyseller@zohomail.eu | montanarecover@cock.li |
bernell@zohomail.eu | key.medusa.serviceteam@protonmail.com | montanarecover@aol.com |
recoveryallfiles@onionmail.org | GavinGonzalez@protonmail.com | status.inbox1@gmail.com |
recoveryallfiles@bingzone.net | angelomartin-1980@protonmail.com | status.inbox2@gmail.com |
someordinarygamers@nanozebra.com | rpd@keemail.me | datarestorehelpyou@airmail.cc |
dr.help780@gmail.com | rapid@aaathats3as.com | support@freshmail.top |
dr.locker780@gmail.com | nicolasmarvinlor@outlook.com | Rdpstresstest@proton.me |
helpbit911@cocaine.ninja | ithelpconcilium@tutanota.com | rdpstresstest@keemail.me |
helpbit911@cock.li | helper2@biehes.com | datadownloader@proton.me |
suppblackbit@gmail.com | helper2@aveuva.com | datadownloader@tutanota.com |
suppblackbit@tutanota.com | dirhelp@keemail.me | MleK1x7uY@gmail.com |
spotify.exe@proton.me | cmd@jitjat.org | kGQ6wNCwB@gmail.com |
Write here belingmor@cock.li | felleskatalogen@protonmail.com | zenhao007@gmail.com |
reserve admin@cuba-supp.com | offer@tuta.com | decryptprof@onionmail.org |
jabber cuba_support@exploit.im | ac7d33419d00c1d9@tutanota.com | decryptfile@onionmail.org |
staer@cock.li | HarpyRage@cyberfear.com | doctorhelperss@gmail.com |
crazyfrog1233@tutanota.com | avanziahelp@cock.li | helpersdoctor@outlook.com |
crazyfrog1233@rape.lol | avanzirest@tuta.io | ithelp02@securitymy.name |
Teikobest@gmail.com | ojmFoDUoA@gmail.com | ithelp15@securitymy.name |
Loxoclash@gmail.com | GDqyiQMfP@gmail.com | Cyblade@zohomail.eu |
deltatechit@protonmail.com | BgQPTvPKl@gmail.com | Cyblade@skiff.com |
deltatech@tuta.io | JkpmAeVAW@gmail.com | dx31@mail.com |
getmydata@list.ru | ffreefix@outlook.com | dx31@usa.com |
datatradetower@gmail.com | DNQZyVfiQ@gmail.com |
表格1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有286个组织/企业遭遇勒索攻击,其中包含中国1个组织/企业在本月遭遇了双重勒索/多重勒索。其中有1个组织/企业未被标明 ,因此不在以下表格中。
Aspiration Training | North Hill | mnorch.org |
---|---|---|
apeagers.au | derrama.org.pe | Galaxy Fireworks, Inc |
SportsMEDIA Technology | LeClair Group | Hydraflow |
Sefin | Ausa | Genesis Motors |
CMG Drainage Engineering | Daher Contracting | Elliott Wave International |
VVD Elettrotecnica Srl | Basin Trucking and Oilfield Services LLC | Nbbl |
Meag Va-system AB | S茅quano | Geographe |
Diamond Technical Services, Inc. | Able One a Quadbridge Company | mrm.com.mx |
sahchicago.org | clackamas.edu | MA Engineering |
TECHNICA - HACKED AND MORE THEN 300 GB DATA LEAKED! | Black Butte Coal Co | Waterford Country School Inc |
Benjamin Plumbing Inc | CORBETT EXTERMINATING Inc | North American University |
grimme.dk | ese.com | crowe.com.za |
Lomma Crane & Rigging | Castilleja School | Get Away Today |
Safe Plating | Chamber of Deputies of Romania (Camera Deputa葲ilor din Rom芒nia) | ABECOM LTDA |
Dutton Brock | Cislo and Thomas LLP | mordfin |
oogp.com | vidalung.ai | jaygroup.com |
Kansas City Area Transportation Authority | Cislo & Thomas LLP | Image Craft |
Shoma group | ehsd.org | sipicorp.com |
Brazilian Business Park | elandenergy.com Eland Energy | Valley TeleCom Group |
securinux.net | Draneas Huglin Dooley LLC | Lush |
OrthoNY, Orthopedic Care | Four Hands LLC | CloudFire Italy |
leclairgroup.com | NOVA Business Law Group | The Wiser Financial Group |
ANI Networks | caravanclub.co.uk | Toronto Zoo |
wannagocloud | neafidi | Brightstar Care |
Hawbaker Engineering | Charles Trent | Innovative Automation |
Tamdown | Thorite Group | SANDALAWOFFICES.COM |
Southeast Vermont Transit (MOOver) | IntegrityInc.org Integrity Inc | https://www.carri.com |
https://www.gadotbio.com/Gadot Biochemical Industries Ltd | icn-artem.com | accolade-group.com + levelwear.com +Taiwan microelectronics(CRM). |
a24group.com ambition24hours.co.za | https://www.mikeferry.com | Dirig Sheet Metal |
Winona Pattern & Mold | Signature Performance Insurance | MBC Law Professional Corporation |
Groupe Sweetco | Bikesportz Imports | La Ligue |
Midwest Service Center | Sunfab Hydraulics AB | Glimstedt |
synergyfinancialgrp.com | micrometals.com | lyonshipyard.com |
sierrafrontgroup.com | Cryopak | fairmontfcu.com |
ktbslaw.com | dupont-restauration.fr | kivibros.com |
haes.ca | cinfab.com | prudentpublishing.com |
unitedindustries.co.nz | stemcor.com | Wilhoit Properties |
Milestone Environmental Contracting | Total Air Solutions | R.C. Moore Trucking |
envea.global | Herrs (You have 72 hours) | Smith Capital - Press Release |
ARPEGE | C and F Packing Company Inc. | Double Eagle Development |
Waldner's | HOE Pharmaceuticals Sdn Bhd | davidsbridal.com |
agc.com | southernwater.co.uk | Pozzi Italy |
The Gainsborough Bath | Richmond Fellowship Scotland | ANS COMPUTER [72hrs] |
deknudtframes.be | synnex-grp.com | gattoplaters.com |
duconind.com | wittmann.at | qtc-energy.com |
hughessupplyco.com | umi-tiles.com | cmmt.com.tw |
shenandoahtx.us | cct.or.th | stjohnrochester.org |
jasman.com.mx | North Star Tax And Accounting | KC Pharmaceuticals |
Martinaire Aviation | bmc-cpa.com | subway.com |
tvjahnrheine.de | home-waremmien.be | marxan.es |
wendy.mx | swiftair.com | Worthen Industries [You have three days] |
Sykes Consulting, Inc. | Busse & Busee, PC Attorneys at Law | Anna Jaques Hospital |
pratt.edu | seiu1000.org | dywidag.com |
TPG Architecture | jdbchina.com | Hamilton-Madison House |
Hydratek | evit.edu | Alupar Investimento SA |
PROJECTSW | foxsemicon.com | Malongo France |
Groveport Madison Schools | Samuel Sekuritas Indonesia & Samuel Aset Manajemen | Premier Facility Management |
Fertility North | Vision Plast | uffs.edu.br |
GROWTH by NCRC | LT Business Dynamics | digipwr.com |
jaffeandasher.com | Gallup McKinley County Schools | aercap.com |
Stone, Avant & Daniels | JspPharma | DENHAM the Jeanmaker |
Axfast AB | Syndicat G茅n茅ral des Vignerons de la Champagne | Washtech |
SIVAM Coatings S.p.A. | Nexus Telecom Switzerland AG | nobleweb.com |
selmi.com.br | onyx-fire.com | millgate.co.uk |
Becker Logistics | Bestway Sales | TGS Transportation |
Premium Guard | F J O'Hara & Sons | Donear Industries |
Beit Handesai | shinwajpn.co.jp | maisonsdelavenir.com |
vasudhapharma.com | hosted-it.co.uk | Ausa |
Northeast Spine and Sports Medicine's | Hartl European Transport Company | American International College |
Republic Shipping Consolidators, Inc | www.kai.id "FF" | amenitek.com |
turascandinavia.com | Lee Spring | Charm Sciences |
Malabar Gold & Diamonds | Banco Promerica | arrowinternational.com |
thecsi.com | pharrusa.com | Builcore |
hotelcontinental.no | olea.com | asburyauto.com |
Washington School For The Deaf | Former S.p.A. | International Trade Brokers and Forwarders |
BALLAY MENUISERIES | Anderson King Energy Consultants, LLC | Sems and Specials Incorporated |
acutis.com | dtsolutions.net | intercityinvestments.com |
hi-cone.com | Alliedwoundcare | Primeimaging |
Blackburn College | Vincentz Network | Limburg |
Water For People | pactchangeslives.com | Triella |
Ursel Phillips Fellows Hopkinson | SHIBLEY RIGHTON | automotionshade.com |
R Robertson Insurance Brokers | molnar&partner | hartalega.com.my |
twt.co.za | tiautoinvestments.co.za | Group Bogart |
agnesb.eu | Delco Automation | Viridi |
Ito Pallpack Gruppen | Corinth Coca-Cola Bottling Works | Precision Tune Auto Care |
HALLEONARD | Van Buren Public Schools | Heller Industries |
CellNetix Pathology & Laboratories, LLC | morganpilate.com | mciwv.com |
capitalhealth.org | Agro Baggio LTDA | Maas911.com |
GRUPO SCA | Televerde | Geologics |
The Lutheran World Federation | Proax Technologies LTD | Somerset Logistics |
ips-securex.com | Project M.O.R.E. | Thermosash Commercial Ltd |
Gunning & LaFazia, Inc. | Diablo Valley Oncology and Hematology Medical Group - Press Release | Kershaw County School District |
Bradford Health | Madison Capital & WPM & The Time Group | groupe-idea.com |
SAED International | graebener-group.com | leonardsexpress.com |
nals.com | MPM Medical Supply | DELPHINUS.COM |
表格2. 受害组织/企业
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以 及Windows 10。
对2024年1月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是 攻击的主要对象。
通过观察2024年1月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
- mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词,本后缀为10月新增变种。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族正通过匿影僵尸网络 进行传播。
- faust:phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- wis:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面 口令成功后手动投毒。
- 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远 程桌面口令与数据库弱口令成功后手动投毒。
- halo:同360。
- pings: 属于TargetOwner勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- mkp: 同wis。
- locked: 属于TellYouThePass勒索软件家族,由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
- blackbit: 属于Loki勒索软件家族的分支变种,由于被加密文件后缀会被修改为blackbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
- devicdata: 同mallox
从解密大师本月解密数据看,解密量最大的是Sodinokibi,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
2024年02月04日 360高级威胁研究分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯