勒索軟件傳播至今，360反勒索服務(wù)已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2022年12月，全球新增的活躍勒索軟件家族有:Seoul、Lucknite、Blocky、HentaiLocker等家族。本月沒有新增雙重勒索軟件家族，但Mallox勒索軟件家族從本月開始在暗網(wǎng)公布受害者數(shù)據(jù)，目前已對外公布5個受害組織或企業(yè)的數(shù)據(jù)。

以下是本月值的關(guān)注的部分熱點：

一、TellYouThePass勒索軟件再次對國內(nèi)OA服務(wù)器發(fā)起攻擊。

二、以比利時市政部門為目標的勒索軟件團伙實際攻擊了警察系統(tǒng)。

三、勒索軟件攻擊迫使法國醫(yī)院轉(zhuǎn)移病人。

基于對360反勒索數(shù)據(jù)的分析研判，360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中病毒家族進行統(tǒng)計：TellYouThePass家族占比22.14%居首位，其次是占比20.61%的phobos，而TargetCompany(Mallox)家族則以12.72%位居第三。

TellYouThePass勒索軟件在最近一年異?；钴S，本月中旬，其再次使用高危漏洞，攻擊國內(nèi)OA服務(wù)器。攻擊共持續(xù)約16小時，造成大量安全防護不當，未打補丁的機器感染該家族勒索軟件。

TargetCompany(Mallox)勒索軟件今年也動作頻頻，近期我們監(jiān)測到，該家族開始在其網(wǎng)站公開被攻擊者數(shù)據(jù)，目前已公布了5個受害組織或企業(yè)的數(shù)據(jù)。若受害者收到的勒索提示信息中包含暗網(wǎng)地址，那么可能遭到了數(shù)據(jù)竊取攻擊。若只是郵箱，則有較大概率未被竊取數(shù)據(jù)。

本月TOP10家族中的CryLock家族，我們監(jiān)測到其傳播團伙已將它重命名為Trigona，并建立了獨立的贖金談判網(wǎng)站。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows 2008。?

2022年12月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

TellYouThePass勒索軟件再次對國內(nèi)OA服務(wù)器發(fā)起攻擊

本月，360政企安全集團高級威脅研究分析中心 (CCTGA勒索軟件防范應(yīng)對工作組成員)監(jiān)測到Tellyouthepass勒索軟件利用多個漏洞進行入侵攻擊，包括Atlassian Confluence OGNL 注入漏洞CVE-2022-26134、用友(Yonyou) GRP-U8 /UploadFileData 接口任意文件上傳漏洞、用友(Yonyou) NC accept 接口文件上傳漏洞、用友(Yonyou) NC NCInvokerServlet 接口任意代碼執(zhí)行漏洞、致遠OA漏洞等。

攻擊者在12月12日至13日持續(xù)發(fā)起批量攻擊。最早監(jiān)測到的攻擊是在2022年12月12日凌晨02:31:43，而最近一次攻擊則是發(fā)生在2022年12月13日18:47。利用Web漏洞入侵后，攻擊者直接利用Web宿主進程（如java.exe）進行對系統(tǒng)進行加密并提出勒索。該勒索軟件家族通常通過漏洞利用批量掃描進行攻擊，受影響較大的是存在Web漏洞且對外網(wǎng)映射的服務(wù)器。

Tellyouthepass勒索軟件已經(jīng)不是第一次利用高危漏洞發(fā)起攻擊：早在2020年該家族就已利用永恒之藍漏洞攻擊多個目標，而2021年其再次利用Apache Log4j2遠程代碼執(zhí)行高危漏洞(CVE-2021-44228)攻擊了多個目標。

以比利時市政部門為目標的勒索軟件團伙實際攻擊了警察系統(tǒng)

Ragnar Locker勒索軟件團伙發(fā)布了他們認為是竊取自比利時茲維因德雷赫特市的數(shù)據(jù)，但事實證明是從比利時安特衛(wèi)普警察部門茲維因德利赫特警察局所竊取到的數(shù)據(jù)。

據(jù)報道，泄露的數(shù)據(jù)暴露了數(shù)千輛汽車牌照、罰款、犯罪報告文件、人員詳情、調(diào)查報告等信息。而這類數(shù)據(jù)可能會暴露舉報犯罪或虐待的舉報人員隱私信息，并可能危及正在進行的執(zhí)法及調(diào)查行動。

比利時媒體稱此次數(shù)據(jù)泄露是此類事件中影響該國公共服務(wù)的最大事件之一，暴露了茲維因德利赫特警方從2006年至2022年9月保存的所有數(shù)據(jù)。

勒索軟件攻擊迫使法國醫(yī)院轉(zhuǎn)移病人

位于巴黎郊區(qū)的安德雷·米格諾教學(xué)醫(yī)院因12月3日晚發(fā)生的勒索軟件攻擊，不得不關(guān)閉其電話和電腦系統(tǒng)。

據(jù)稱，這起勒索軟件事件背后的攻擊者已經(jīng)要求贖金。但院方并不打算支付。

目前，醫(yī)院已取消了部分手術(shù)。據(jù)法國衛(wèi)生與預(yù)防部長弗朗索瓦·布勞恩表示，院方還被迫將6名患者從新生兒和重癥監(jiān)護室轉(zhuǎn)移到其他醫(yī)療機構(gòu)。

負責(zé)數(shù)字轉(zhuǎn)型和電信的部長代表讓·諾埃爾·巴羅表示，醫(yī)院已隔離了受感染的系統(tǒng)來限制勒索軟件向其他設(shè)備的傳播，并向法國國家信息系統(tǒng)安全與防御局（ANSSI）發(fā)出了警報。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有239個組織/企業(yè)遭遇勒索攻擊，其中包含中國5個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有12個組織/企業(yè)未被標明，因此不再以下表格中。

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2022年12月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2022年12月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?locked1:?屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。l

l?devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進行傳播。

l?locked:同locked1。

l?faust：同devos。?

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?eking：同devos。

l?elbie:同devos。

l?_locked：屬于Trigona(CryLock)勒索軟件家族，由于被加密文件后綴會被修改為_locked而成為關(guān)鍵詞。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Loki，其次是Tesla。使用解密大師解密文件的用戶數(shù)量最高的是Crysis被家族加密的設(shè)備(解密文件數(shù)較小故未入榜)，其次是被Stop家族加密的設(shè)備。