勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2023年5月，全球新增的活躍勒索軟件家族有: BlackSuit、Zhong、AlphaWare、EXISC等家族。其中BlackSuit會(huì)修改被勒索設(shè)備的桌面壁紙；EXISC是本月新增的一款以企業(yè)為目標(biāo)的勒索軟件。

以下是本月值得關(guān)注的部分熱點(diǎn)：

1. Linux版RTM Locker勒索軟件將VMware ESXi服務(wù)器作為攻擊目標(biāo)

2. 跨國(guó)科技公司ABB遭到Black Basta勒索軟件攻擊

3. 以Zimbra服務(wù)器為目標(biāo)的新型勒索軟件MalasLocker，要求受害者進(jìn)行“慈善捐款”

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。?

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者所中病毒家族進(jìn)行統(tǒng)計(jì)：Phobos家族占比25.42%居首位，占比15.25%的BeiJingCrypt家族和占比14.41%的TellYouThePass家族分居二三位。

?

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows Server 2012、Windows 10以及Windows Server 2008。

?

2023年5月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的服務(wù)器設(shè)備再次超過(guò)桌面終端。經(jīng)分析推測(cè)——這與近期針對(duì)部署了Java環(huán)境的服務(wù)器進(jìn)行定向投毒的Tellyouthepass勒索軟件的活躍有很大關(guān)系。

?

勒索軟件疫情分析

Linux版RTM Locker勒索軟件將VMware ESXi服務(wù)器作為攻擊目標(biāo)

RTM Locker團(tuán)伙自2015年以來(lái)一直活躍于金融欺詐領(lǐng)域，一度以傳播用于金融詐騙的木馬而著稱(chēng)。在今年4月底，安全研究人員發(fā)現(xiàn)RTM Locker勒索軟件推出了一項(xiàng)新的勒索軟件即服務(wù)(Raas)活動(dòng)，并開(kāi)始招募附屬機(jī)構(gòu)————這其中也包括了來(lái)自前Conti集團(tuán)的附屬機(jī)構(gòu)。

據(jù)稱(chēng)，RTM目前已將其目標(biāo)擴(kuò)展到了Linux系統(tǒng)和VMware ESXi服務(wù)器。在過(guò)去幾年中，很多企業(yè)已越來(lái)越多的將服務(wù)系統(tǒng)轉(zhuǎn)向虛擬機(jī)。因此，各類(lèi)組織的服務(wù)器通常分布在專(zhuān)用設(shè)備和運(yùn)行多個(gè)虛擬服務(wù)器的VMware ESXi服務(wù)器上。而勒索軟件也順應(yīng)了這一趨勢(shì)————?jiǎng)?chuàng)建了專(zhuān)門(mén)針對(duì)ESXi服務(wù)器的Linux版勒索軟件，以成功加密企業(yè)的所有重要數(shù)據(jù)。

研究人員分析發(fā)現(xiàn)，RTM Locker的Linux版本是基于現(xiàn)已解散的Babuk勒索軟件的泄露源代碼改寫(xiě)的。而且其似乎是專(zhuān)門(mén)為攻擊VMware ESXi系統(tǒng)而編寫(xiě)的————因?yàn)樗舜罅坑糜诠芾硖摂M機(jī)的命令。此外，目前已知該版本的RTM使用ECDH算法進(jìn)行非對(duì)稱(chēng)加密，同時(shí)使用ChaCha20進(jìn)行對(duì)稱(chēng)加密。

?

跨國(guó)科技公司ABB遭到Black Basta勒索軟件攻擊

瑞士跨國(guó)電氣化和自動(dòng)化技術(shù)供應(yīng)商ABB，遭到了Black Basta勒索軟件攻擊，據(jù)報(bào)道此次攻擊已經(jīng)影響了其業(yè)務(wù)運(yùn)營(yíng)。該公司與眾多客戶和地方政府合作，包括沃爾沃、日立、DS Smith、納什維爾市政府和薩拉戈薩市政府等重要客戶。

5月7日，該公司遭到Black Basta勒索軟件團(tuán)伙發(fā)動(dòng)的網(wǎng)絡(luò)攻擊。據(jù)悉本次勒索軟件攻擊主要針對(duì)該公司的Windows Active Directory，影響了數(shù)百臺(tái)設(shè)備。而作為對(duì)此次攻擊的安全響應(yīng)，ABB終止了與客戶的VPN連接以防止勒索軟件傳播到其他網(wǎng)絡(luò)。

目前，ABB發(fā)表聲明稱(chēng)其“最近檢測(cè)到了一個(gè)直接影響某些位置和系統(tǒng)的IT安全事件。為了解決這種情況，ABB已經(jīng)并將繼續(xù)采取措施來(lái)控制這一事件，而這種控制措施對(duì)其運(yùn)營(yíng)造成了一些干擾”……但同時(shí)也表示其“絕大多數(shù)系統(tǒng)和工廠現(xiàn)在都在運(yùn)行，ABB將繼續(xù)以安全的方式為其客戶服務(wù)?！?/span>

?

以Zimbra服務(wù)器為目標(biāo)的新型勒索軟件MalasLocker，要求受害者進(jìn)行“慈善捐款”

據(jù)報(bào)道，一款針對(duì)Zimbra服務(wù)器進(jìn)行入侵之后竊取電子郵件，并加密文件的新型勒索軟件MalasLocker出現(xiàn)。與以往勒索軟件不同的是——該勒索軟件攻擊者并沒(méi)有要求受害者，直接向他們支付贖金，而是要求向慈善機(jī)構(gòu)捐款以提供解密工具并防止數(shù)據(jù)泄露。

該勒索軟件于2023年3月底開(kāi)始針對(duì)Zimbra服務(wù)器發(fā)起攻擊并進(jìn)行加密，受害者均表示發(fā)現(xiàn)上傳到一下兩個(gè)路徑中存在可疑的JSP文件。

l? /opt/zimbra/jetty_base/webapps/zimbra/

l? /opt/zimbra/jetty/webapps/zimbra/public/

而相關(guān)的jsp文件名可能有如下幾個(gè)：

l? info.jsp

l? noops.jsp

l? heartbeat.jsp

與常規(guī)的勒索軟件最大的區(qū)別，該家族的贖金訴求：其會(huì)要求受害者向他們“批準(zhǔn)”的非營(yíng)利慈善機(jī)構(gòu)捐款。并稱(chēng)“只是不喜歡公司和經(jīng)濟(jì)不平等”“這是雙贏的，如果您愿意，您可能可以從捐款中獲得減稅和良好的公關(guān)形象”

黑客信息披露

以下是本月收集到的黑客郵箱信息：

?

表格1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比情況統(tǒng)計(jì)，該數(shù)據(jù)僅為未在第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

?

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。?

本月總共有560個(gè)組織/企業(yè)遭遇勒索攻擊，其中有5個(gè)中國(guó)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。有6個(gè)組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

表格2. 受害組織/企業(yè)

?

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360終端安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2016。

?

對(duì)2023年5月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

?

通過(guò)觀察2023年5月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l? devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過(guò)數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。?

l? malox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l? locked1：屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked1而成為關(guān)鍵詞。該家族主要通過(guò)各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l? mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? halo：同360。

l? eking：同devos。

l? faust：同devos。

l? buddha：屬于DeepInWeb勒索軟件家族，由于被加密文件后綴會(huì)被修改為buddha而成為關(guān)鍵詞。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? elbie：同eking。