勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2023年7月，全球新增的活躍勒索軟件家族有RA GROUP、Cactus、Rancoz等家族。其中RA GROUP是本月開(kāi)始活躍的雙重勒索軟件，該勒索軟件團(tuán)伙最初出現(xiàn)于2023年4月。當(dāng)時(shí)他們?cè)诎稻W(wǎng)上推出了一個(gè)數(shù)據(jù)泄露網(wǎng)站，發(fā)布受害者的詳細(xì)信息和被盜數(shù)據(jù)，采用了流行的“雙重勒索”策略。勒索頁(yè)面于 2023 年4月22日上線，4 月27 日發(fā)布了第一批受害組織，包括樣本文件、被盜內(nèi)容類型的描述以及被盜數(shù)據(jù)的鏈接。

以下是本月值的關(guān)注的部分熱點(diǎn)：

1. 雅詩(shī)蘭黛集團(tuán)遭到兩個(gè)勒索軟件團(tuán)伙的攻擊

2. Clop團(tuán)伙利用MOVEit漏洞發(fā)動(dòng)的勒索攻擊已賺取超過(guò)7500萬(wàn)美元

3. ALPHV勒索軟件在其數(shù)據(jù)泄露網(wǎng)站中加入了獲取泄露數(shù)據(jù)的API

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。?

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Phobos家族占比24.58%居首位，并列第二的是占比同為11.86%的TargetCompany(Mallox)與BeijingCrypt勒索病毒家族。

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

2023年7月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型占比基本相當(dāng)。

?

勒索軟件熱點(diǎn)事件

雅詩(shī)蘭黛集團(tuán)遭到兩個(gè)勒索軟件團(tuán)伙的攻擊

兩款勒索軟件ALPHV/BlackCat和Clop均在其數(shù)據(jù)泄露網(wǎng)站上將美妝巨頭雅詩(shī)蘭黛列為攻擊目標(biāo)。而在發(fā)給公司的勒索信息中，BlackCat團(tuán)伙嘲笑了雅詩(shī)蘭黛的安全措施并稱它們的勒索工具仍存在于公司內(nèi)部的網(wǎng)絡(luò)上。

雅詩(shī)蘭黛公司在7月18日提交給美國(guó)證券交易委員會(huì)(SEC)的文件中證實(shí)了其中一次攻擊，稱攻擊者獲得了其部分系統(tǒng)的訪問(wèn)權(quán)限并可能竊取了數(shù)據(jù)。但雅詩(shī)蘭黛并沒(méi)有提供有關(guān)該事件的太多細(xì)節(jié)，稱公司已采取了積極行動(dòng)并關(guān)閉了一些系統(tǒng)以防止攻擊者在網(wǎng)絡(luò)上的進(jìn)一步擴(kuò)張。

而Clop勒索軟件團(tuán)伙則似乎是利用了MOVEit Transfer平臺(tái)的漏洞，獲取了對(duì)該公司的訪問(wèn)權(quán)限。在Clop的數(shù)據(jù)泄露網(wǎng)站上，勒索團(tuán)伙列出了雅詩(shī)蘭黛并附上了簡(jiǎn)單的信息：“該公司不關(guān)心其客戶，它忽視了他們的安全?。?！”同時(shí)注明團(tuán)伙目前已擁有超過(guò)131GB的該公司數(shù)據(jù)。BlackCat方面暗示，目前獲取到的信息可能會(huì)影響客戶、公司員工和供應(yīng)商。

雅詩(shī)蘭黛對(duì)BlackCat的威脅沒(méi)有做出回應(yīng)，這可能表示該公司不愿與攻擊者進(jìn)行任何談判。而在其向SEC提交的文件中也表示，重點(diǎn)是“補(bǔ)救措施，包括恢復(fù)受影響的系統(tǒng)和服務(wù)的努力”，并且“該事件已經(jīng)導(dǎo)致并且預(yù)計(jì)將繼續(xù)對(duì)公司的部分業(yè)務(wù)運(yùn)營(yíng)造成干擾”。

Clop團(tuán)伙利用MOVEit漏洞發(fā)動(dòng)的勒索攻擊已賺取超過(guò)7500萬(wàn)美元

Clop勒索軟件團(tuán)伙正在效仿ALPHV勒索軟件團(tuán)伙的勒索策略——?jiǎng)?chuàng)建專門(mén)針對(duì)特定受害者的信息披露網(wǎng)站，從而更方便地泄露數(shù)據(jù)并進(jìn)一步迫使受害者支付贖金。當(dāng)此類勒索軟件團(tuán)伙攻擊企業(yè)目標(biāo)時(shí)，他們首先會(huì)從受害者的網(wǎng)絡(luò)中竊取數(shù)據(jù)，之后再加密文件。這些被盜的數(shù)據(jù)會(huì)被用作雙重勒索攻擊的籌碼——威脅受害者如果不支付贖金便會(huì)泄露其重要的機(jī)密數(shù)據(jù)。

勒索軟件用于發(fā)布數(shù)據(jù)的站點(diǎn)通常位于Tor網(wǎng)絡(luò)上，因?yàn)檫@可以讓網(wǎng)站更難被關(guān)閉或被執(zhí)法部門(mén)查獲。然而，這種托管網(wǎng)站的方法對(duì)于勒索軟件團(tuán)伙來(lái)說(shuō)也有其自身的問(wèn)題。因?yàn)樾枰獙ｉT(mén)的Tor瀏覽器才能訪問(wèn)此類網(wǎng)站，搜索引擎也不會(huì)收錄此類數(shù)據(jù)，而且下載速度通常非常慢。為了克服這些問(wèn)題，ALPHV勒索軟件團(tuán)伙在去年引入了一種新的勒索策略，即創(chuàng)建ClearWeb（透明網(wǎng)站）來(lái)泄露竊取到的數(shù)據(jù)。Clearweb網(wǎng)站直接托管在公開(kāi)的普通互聯(lián)網(wǎng)上，而非Tor等匿名網(wǎng)絡(luò)中。

而在本月中旬，安全人員發(fā)現(xiàn)Clop勒索軟件團(tuán)伙也開(kāi)始創(chuàng)建自己的ClearWeb用來(lái)公布他們本輪通過(guò)MOVEit Transfer漏洞攻擊所盜竊到的數(shù)據(jù)。攻擊者創(chuàng)建的第一個(gè)網(wǎng)站是為商業(yè)咨詢公司普華永道（PWC）創(chuàng)建的，并將該公司的被盜數(shù)據(jù)打包成了4個(gè)Zip壓縮包發(fā)布在了該網(wǎng)站上。而這之后不久，攻擊者還為Aon、EY（安永）、Kirkland和TD Ameritrade等公司創(chuàng)建了網(wǎng)站。

?ALPHV勒索軟件在其數(shù)據(jù)泄露網(wǎng)站中加入了獲取泄露數(shù)據(jù)的API

ALPHV勒索軟件團(tuán)伙（又名BlackCat）正嘗試通過(guò)為其數(shù)據(jù)泄漏網(wǎng)站提供API來(lái)提高公眾對(duì)其公布數(shù)據(jù)的訪問(wèn)便利性，從而向受害者施加更大壓力來(lái)迫使其支付贖金。在此之前，該團(tuán)伙對(duì)雅詩(shī)蘭黛發(fā)起了攻擊，但就目前的公開(kāi)信息來(lái)看，這家美容公司完全無(wú)視了攻擊者的贖金要求。

7月下旬，多名安全研究人員發(fā)現(xiàn)ALPHV/BlackCat的數(shù)據(jù)泄露網(wǎng)站添加了一個(gè)新頁(yè)面——其中包含其最新公布的API及使用說(shuō)明。API（應(yīng)用程序編程接口）通常用于根據(jù)商定的定義和協(xié)議實(shí)現(xiàn)兩個(gè)軟件組件之間的通信。而本次勒索軟件團(tuán)伙發(fā)布的API將有助于公眾通過(guò)程序自動(dòng)其網(wǎng)站發(fā)布的關(guān)于最新受害者的各種信息。此外，該團(tuán)伙還提供了一份用Python編寫(xiě)的爬蟲(chóng)代碼以幫助檢索數(shù)據(jù)泄露網(wǎng)站的最新信息。盡管該團(tuán)伙沒(méi)有解釋為何要發(fā)布這些API，但據(jù)推測(cè)原因之一可能是由于愿意支付勒索贖金的受害者越來(lái)越少。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有471個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)2個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有3個(gè)組織/企業(yè)未被標(biāo)明，因此不再以下表格中。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2012。

對(duì)2023年7月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

通過(guò)觀察2023年7月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

l? devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? locked: 屬于TellYouThePass勒索軟件家族，由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族主要通過(guò)各種軟件漏洞、系統(tǒng)漏洞進(jìn)行傳播。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過(guò)數(shù)據(jù)庫(kù)弱口令攻擊進(jìn)行傳播。?

l? malox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l? faust：同devos。

l? mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

l? halo：同360。

l? gaqq：屬于Stop勒索軟件家族，由于該家族頻繁變更加密文件后綴導(dǎo)致很少出現(xiàn)在top查詢量中。從開(kāi)始傳播至今其傳播渠道一直是通過(guò)在破解軟件網(wǎng)站上傳激活工具、破解軟件來(lái)誘導(dǎo)用戶下載運(yùn)行，且大部分網(wǎng)站均為國(guó)外網(wǎng)站。

l? lockbit：屬于LockBit勒索軟件家族，因被加密文件后綴會(huì)被修改為lockbit而成為關(guān)鍵詞。該家族的運(yùn)營(yíng)模式可以分為兩種不同的方式。第一種是無(wú)差別攻擊，該方式會(huì)對(duì)全網(wǎng)發(fā)起數(shù)據(jù)庫(kù)弱口令攻擊或遠(yuǎn)程桌面弱口令攻擊，一旦攻擊成功，勒索軟件將被投毒到受害者計(jì)算機(jī)中。在這種情況下，攻擊者并不會(huì)竊取受害者的數(shù)據(jù)。第二種是針對(duì)性攻擊，該方式主要針對(duì)大型企業(yè)，攻擊者不僅會(huì)部署勒索軟件，還會(huì)竊取企業(yè)重要的數(shù)據(jù)。如果受害組織或企業(yè)無(wú)法在規(guī)定時(shí)間內(nèi)繳納贖金，該團(tuán)伙將會(huì)把數(shù)據(jù)發(fā)布到其數(shù)據(jù)泄露站點(diǎn)上，任何可以訪問(wèn)該網(wǎng)站的人都可以下載受害者的數(shù)據(jù)。

l? elbie：同devos。

?

?

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大 的仍是Coffee，其次是GandCrab。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

?