2023年1月勒索软件流行态势分析

　　勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。
　　以下是本月值的关注的部分热点：
　　Lorenz勒索软件团伙会在入侵后部署后门长达数月。
　　BitDefender免费放出MegaCortex勒索软件解密工具，360解密大师同步跟进。
　　Vice Society勒索软件发动多起勒索攻击。
　　基于对360反勒索数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。
　　感染数据分析
　　针对本月勒索软件受害者所中病毒家族进行统计：phobos家族占比22.83%居首位，其次是占比20.29%的BeijingCrypt，TargetCompany(Mallox)家族以15.94%位居第三。
　　Standby和RCRU64虽并非本月新增的勒索家族，但是首次进入月度排行TOP10。这两个家族目前在国内较为活跃，其传播方式采用了最为常见的暴力破解远程桌面口令成功后手动投毒。
　　对本月受害者所使用的操作系统进行统计，位居前三的分别是：Windows 10、Windows Server 2008以及Windows Server 2012。
　　2023年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主。
　　勒索软件疫情分析 Lorenz勒索软件团伙会在入侵后部署后门长达数月
　　安全研究人员警告，在对Lorenz勒索软件的攻击事件展开分析研究的过程中发现，黑客在开始横向移动、窃取数据和加密系统之前五个月，就已经侵入了受害者网络。经分析确认，黑客是利用CVE-2022-29499（Mitel电话基础设施中的一个重要漏洞，允许远程代码执行）获得了初始访问权限。
　　研究人员发现，Lorenz勒索软件的幕后黑客行动非常迅速，在掌握漏洞利用方法后第一时间进行了实际运用。其在受害用户修复漏洞的前一周，便已经成功入侵了其网络系统并安装了PHP Web Shell后门。同时，黑客试图隐藏后门，将其命名为＂twitter_icon_<勒索字符串>＂，并将其放置在系统的合法位置目录中。
　　而在成功安装后门的五个月后，当黑客准备继续攻击时，他们才启用了该后门并在48小时内部署了Lorenz勒索软件。
　　BitDefender免费放出MegaCortex勒索软件解密工具
　　反病毒公司BitDefender对外发布了MegaCortex家族勒索软件的解密工具，使这个＂曾经臭名昭著的勒索软件家族＂的受害者可以免费恢复他们的数据。
　　MegaCortex勒索软件首次被发现于2019年5月，该家族软件会通过QBot、Emotet和Cobalt Strike等渠道传播，并针对企业网络发起攻击。2019年7月，MegaCortex运营者发起了多起攻击，并根据受害者的企业规模调整赎金要求。2019年11月，MegaCortex运营者则进一步开始采用双重勒索策略，威胁受害者如果不满足他们的赎金要求，就会公布他们窃取到的数据。
　　2021年10月，欧洲刑警组织宣布逮捕了12名发起勒索软件攻击的人员，其中就包含了MegaCortex家族的相关人员。
　　在该解密公布后，360解密大师已经第一时间同步添加了对该勒索家族的解密功能。
　　Vice Society勒索软件发动多起勒索攻击
　　据澳大利亚维多利亚州消防救援局（FRV）公布的消息，该局于去年12月遭到Vice Society勒索软件攻击，对其多台内部服务器及邮件系统造成了影响，直接导致其内部大面积的IT系统瘫痪。此外，FRV还表示，黑客在其内部网络中窃取了多种数据——包括有关现任及前任员工、承包商、借调人员和求职者的信息。
　　与该攻击类似，Vice Society自己也公布了去年11月时针对德国杜伊斯堡-埃森大学（UDE）的攻击事件。这一攻击迫使该大学重建其IT基础设施，截止目前，重建仍未完成。同样的，攻击者还发布了自称是在网络入侵期间从学校设备中窃取到的文件，内容涉及到有关大学运营、学生和人员的敏感细节。受到IT基础设施损坏所带来的影响影响，医院已取消了部分手术。此外，据法国卫生与预防部消息，受IT基础设施遭勒索软件攻击的影响，法国一些医院被迫取消了部分手术，甚至导致多名患者不得不从这些医院的重症监护室转移到其他医疗机构。
　　而UDE方面已确认收到了攻击且已知晓数据泄露问题。但坚称不会向攻击者支付任何赎金。
　　黑客信息披露
　　以下是本月收集到的黑客邮箱信息：
　　当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。
　　以下是本月被双重勒索软件家族攻击的企业或个人。未发现数据存在泄露风险的企业或个人，也请第一时间自查，做好数据已被泄露准备，采取补救措施。
　　本月总共有182个组织/企业遭遇勒索攻击，其中包含在本月遭遇了双重勒索/多重勒索的3个中国组织/企业。此外，有4个组织/企业未被标明，因此不在以下表格中。
　　系统安全防护数据分析
　　360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。
　　对2023年1月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
　　勒索软件关键词
　　以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。
　　l devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。
　　l 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。
　　l mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。
　　l mkp：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。
　　l Encrypt：属于ech0Raix勒索软件家族，由于被加密文件后缀会被修改为encrypt而成为关键词，该勒索软件家族主要针对NAS设备发起勒索攻击，不仅会爆破破解桌面协议还会利用NAS设备系统漏洞进行攻击。
　　l elbie：同devos。
　　l eking：同devos。
　　l Locked： 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。
　　l Xollam：同mallox。
　　l milovski：同mallox。
　　l faust：同devos。
　　解密大师
　　从解密大师本月解密数据看，解密文件数量最大的是Sodinokibi，其次是GandCrab。而从解密的设备量来看，解密最多的是被Stop家族加密的设备，排在其后的则是被Crysis家族加密的设备。