勒索軟件傳播至今，360反勒索服務已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

勒索軟件傳播至今，360反勒索服務已累計接收到上萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

以下是本月值的關(guān)注的部分熱點：

Lorenz勒索軟件團伙會在入侵后部署后門長達數(shù)月。

BitDefender免費放出MegaCortex勒索軟件解密工具，360解密大師同步跟進。

Vice Society勒索軟件發(fā)動多起勒索攻擊。

基于對360反勒索數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中病毒家族進行統(tǒng)計：phobos家族占比22.83%居首位，其次是占比20.29%的BeijingCrypt，TargetCompany(Mallox)家族以15.94%位居第三。

Standby和RCRU64雖并非本月新增的勒索家族，但是首次進入月度排行TOP10。這兩個家族目前在國內(nèi)較為活躍，其傳播方式采用了最為常見的暴力破解遠程桌面口令成功后手動投毒。

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的分別是：Windows 10、Windows Server 2008以及Windows Server 2012。

2023年1月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型仍以桌面系統(tǒng)為主。

勒索軟件疫情分析

Lorenz勒索軟件團伙會在入侵后部署后門長達數(shù)月

安全研究人員警告，在對Lorenz勒索軟件的攻擊事件展開分析研究的過程中發(fā)現(xiàn)，黑客在開始橫向移動、竊取數(shù)據(jù)和加密系統(tǒng)之前五個月，就已經(jīng)侵入了受害者網(wǎng)絡。經(jīng)分析確認，黑客是利用CVE-2022-29499（Mitel電話基礎設施中的一個重要漏洞，允許遠程代碼執(zhí)行）獲得了初始訪問權(quán)限。

研究人員發(fā)現(xiàn)，Lorenz勒索軟件的幕后黑客行動非常迅速，在掌握漏洞利用方法后第一時間進行了實際運用。其在受害用戶修復漏洞的前一周，便已經(jīng)成功入侵了其網(wǎng)絡系統(tǒng)并安裝了PHP Web Shell后門。同時，黑客試圖隱藏后門，將其命名為“twitter_icon_<勒索字符串>”，并將其放置在系統(tǒng)的合法位置目錄中。

而在成功安裝后門的五個月后，當黑客準備繼續(xù)攻擊時，他們才啟用了該后門并在48小時內(nèi)部署了Lorenz勒索軟件。

BitDefender免費放出MegaCortex勒索軟件解密工具

反病毒公司BitDefender對外發(fā)布了MegaCortex家族勒索軟件的解密工具，使這個“曾經(jīng)臭名昭著的勒索軟件家族”的受害者可以免費恢復他們的數(shù)據(jù)。

MegaCortex勒索軟件首次被發(fā)現(xiàn)于2019年5月，該家族軟件會通過QBot、Emotet和Cobalt Strike等渠道傳播，并針對企業(yè)網(wǎng)絡發(fā)起攻擊。2019年7月，MegaCortex運營者發(fā)起了多起攻擊，并根據(jù)受害者的企業(yè)規(guī)模調(diào)整贖金要求。2019年11月，MegaCortex運營者則進一步開始采用雙重勒索策略，威脅受害者如果不滿足他們的贖金要求，就會公布他們竊取到的數(shù)據(jù)。

2021年10月，歐洲刑警組織宣布逮捕了12名發(fā)起勒索軟件攻擊的人員，其中就包含了MegaCortex家族的相關(guān)人員。

在該解密公布后，360解密大師已經(jīng)第一時間同步添加了對該勒索家族的解密功能。

Vice Society勒索軟件發(fā)動多起勒索攻擊

據(jù)澳大利亞維多利亞州消防救援局（FRV）公布的消息，該局于去年12月遭到Vice Society勒索軟件攻擊，對其多臺內(nèi)部服務器及郵件系統(tǒng)造成了影響，直接導致其內(nèi)部大面積的IT系統(tǒng)癱瘓。此外，F(xiàn)RV還表示，黑客在其內(nèi)部網(wǎng)絡中竊取了多種數(shù)據(jù)——包括有關(guān)現(xiàn)任及前任員工、承包商、借調(diào)人員和求職者的信息。

與該攻擊類似，Vice Society自己也公布了去年11月時針對德國杜伊斯堡-埃森大學（UDE）的攻擊事件。這一攻擊迫使該大學重建其IT基礎設施，截止目前，重建仍未完成。同樣的，攻擊者還發(fā)布了自稱是在網(wǎng)絡入侵期間從學校設備中竊取到的文件，內(nèi)容涉及到有關(guān)大學運營、學生和人員的敏感細節(jié)。受到IT基礎設施損壞所帶來的影響影響，醫(yī)院已取消了部分手術(shù)。此外，據(jù)法國衛(wèi)生與預防部消息，受IT基礎設施遭勒索軟件攻擊的影響，法國一些醫(yī)院被迫取消了部分手術(shù)，甚至導致多名患者不得不從這些醫(yī)院的重癥監(jiān)護室轉(zhuǎn)移到其他醫(yī)療機構(gòu)。

而UDE方面已確認收到了攻擊且已知曉數(shù)據(jù)泄露問題。但堅稱不會向攻擊者支付任何贖金。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。未發(fā)現(xiàn)數(shù)據(jù)存在泄露風險的企業(yè)或個人，也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有182個組織/企業(yè)遭遇勒索攻擊，其中包含在本月遭遇了雙重勒索/多重勒索的3個中國組織/企業(yè)。此外，有4個組織/企業(yè)未被標明，因此不在以下表格中。

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2023年1月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2023年1月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l?devos：該后綴有三種情況，均因被加密文件后綴會被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進行傳播。

l?mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播。此外360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡進行傳播。

l?mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

l?Encrypt：屬于ech0Raix勒索軟件家族，由于被加密文件后綴會被修改為encrypt而成為關(guān)鍵詞，該勒索軟件家族主要針對NAS設備發(fā)起勒索攻擊，不僅會爆破破解桌面協(xié)議還會利用NAS設備系統(tǒng)漏洞進行攻擊。

l?elbie：同devos。

l?eking：同devos。

l?Locked：?屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會被修改為locked而成為關(guān)鍵詞。該家族主要通過各種軟件漏洞、系統(tǒng)漏洞進行傳播。

l?Xollam：同mallox。

l?milovski：同mallox。

l?faust：同devos。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密文件數(shù)量最大的是Sodinokibi，其次是GandCrab。而從解密的設備量來看，解密最多的是被Stop家族加密的設備，排在其后的則是被Crysis家族加密的設備。