勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年1月，全球新增的雙重勒索軟件家族包有GD Lockersec，該家族目前以攻擊AWS托管站點(diǎn)并竊取數(shù)據(jù)進(jìn)行勒索為主。新增的傳統(tǒng)勒索軟件家族有Contacto、Codefinger、D0glun，其中D0glun僅發(fā)現(xiàn)在國內(nèi)少數(shù)論壇中進(jìn)行傳播。

以下是本月值得關(guān)注的部分熱點(diǎn)：

n? Wolf Haldenstein律師事務(wù)所稱泄露了350 萬人的數(shù)據(jù)

n? 勒索軟件利用Amazon AWS功能加密S3存儲容器

n? 勒索軟件團(tuán)伙冒充IT支持在Microsoft Teams網(wǎng)絡(luò)中進(jìn)行釣魚攻擊

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比40%居首位，第二的是Makop占比14.29%的，RNTC家族以10%位居第三。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

圖1. 2025年1月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows7以及Windows Server 2008。

圖2. 2025年1月勒索軟件入侵操作系統(tǒng)占比

2025年1月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC大幅度高于服務(wù)器平臺，NAS平臺以內(nèi)網(wǎng)SMB共享加密為主。

圖3. 2025年1月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點(diǎn)事件

Wolf Haldenstein律師事務(wù)所稱泄露了350 萬人的數(shù)據(jù)

Wolf Haldenstein報(bào)告稱它遭遇了一次數(shù)據(jù)泄露，使近350萬人的個(gè)人信息暴露給了黑客。此次事件發(fā)生在2023年12月13日，但該公司表示數(shù)據(jù)分析和數(shù)字取證并發(fā)癥嚴(yán)重延遲了調(diào)查的完成。

2025年1月10日，Wolf Haldenstein在其網(wǎng)站上發(fā)布了一份數(shù)據(jù)泄露通知，而緬因州AG數(shù)據(jù)泄露門戶網(wǎng)站上的一個(gè)條目將受其影響的總?cè)藬?shù)鎖定為3445537人。雖然這個(gè)數(shù)字是在2024年12月3日確定的，但該公司一直無法找到許多受影響者的聯(lián)系信息，因此尚未發(fā)送通知。

盡管該律師事務(wù)所表示沒有證據(jù)表明暴露的數(shù)據(jù)被濫用，但它警告受影響的個(gè)人，黑客可能持有有關(guān)他們的以下信息：

l? 全名

l? 社會(huì)安全號碼 （SSN）

l? 員工

l? 身份證號碼

l? 醫(yī)療診斷

l? 醫(yī)療索賠信息

泄露這些數(shù)據(jù)會(huì)急劇增加網(wǎng)絡(luò)釣魚、詐騙、社會(huì)工程和其他針對受影響個(gè)人的針對性攻擊的風(fēng)險(xiǎn)。該公司在確定受影響的人方面進(jìn)展緩慢，以及延遲公開，情況只會(huì)變得更糟。盡管無法直接聯(lián)系受影響的個(gè)人，但將向那些認(rèn)為自己受到影響的人提供補(bǔ)充的信用監(jiān)控保險(xiǎn)。Wolf Haldenstein還建議個(gè)人對其賬戶上的未經(jīng)請求的通信和可疑活動(dòng)保持警惕，并考慮設(shè)置欺詐警報(bào)或安全凍結(jié)。該公司沒有明確說明暴露的數(shù)據(jù)是否屬于客戶、員工或?qū)⑵湫畔⒋鎯υ谄浞?wù)器上的其他個(gè)人。如果您與他們有業(yè)務(wù)往來，謹(jǐn)慎的做法是打電話給他們并詢問此事件對您有何影響。

勒索軟件利用Amazon AWS功能加密S3存儲容器

一款新的勒索軟件使用AWS的服務(wù)器端加密和只有攻擊者知道的客戶密鑰（SSE-C）來加密Amazon S3 buckets ，并索要贖金才能提供解密密鑰。

有分析人員發(fā)現(xiàn)，一個(gè)名為“Codefinger”的攻擊者已經(jīng)加密了至少兩名受害者。不過本輪攻擊事件可能還會(huì)進(jìn)一步擴(kuò)大，或是出現(xiàn)更多攻擊者開始采用此類策略進(jìn)行加密和勒索攻擊。

Amazon S3是AWS提供的可擴(kuò)展、安全且高速的對象存儲服務(wù)，而S3 buckets是用于存儲文件、數(shù)據(jù)備份、媒體、日志等的云存儲容器。SSE-C則是其提供的一種加密選項(xiàng)，用于保護(hù)靜態(tài)S3數(shù)據(jù)，允許客戶使用自己的加密密鑰通過AES-256算法加密和解密其數(shù)據(jù)。AWS不存儲密鑰，客戶負(fù)責(zé)生成密鑰、管理和保護(hù)密鑰。

在Codefinger的攻擊中，攻擊者使用泄露的AWS憑證來獲取SSE-C密鑰生成權(quán)限。此后，攻擊者在本地生成加密密鑰以加密目標(biāo)的數(shù)據(jù)。而由于AWS不存儲這些加密密鑰，因此即使受害者向Amazon求助，在沒有攻擊者密鑰的情況下也無法恢復(fù)數(shù)據(jù)。

勒索軟件團(tuán)伙冒充IT支持在Microsoft Teams網(wǎng)絡(luò)中進(jìn)行釣魚攻擊

勒索軟件團(tuán)伙近期越來越多地采用電子郵件轟炸手段發(fā)動(dòng)攻擊，并在Microsoft Teams通話中冒充技術(shù)支持人員，誘騙員工允許遠(yuǎn)程控制并安裝提供公司網(wǎng)絡(luò)訪問權(quán)限的惡意軟件。攻擊者往往會(huì)在短時(shí)間內(nèi)發(fā)送了數(shù)千封垃圾郵件，然后利用已控制的Office 365實(shí)例呼叫目標(biāo)，假裝提供IT支持人員。

自2024年年底以來，在不少Black Basta勒索軟件的攻擊中出現(xiàn)了這種攻擊策略。但安全研究人員發(fā)現(xiàn)與FIN7組織有關(guān)的其他攻擊者可能也開始使用相同的方法。為了聯(lián)系公司員工，黑客利用目標(biāo)組織的默認(rèn)Microsoft Teams配置，該配置允許來自外部域的呼叫和聊天。

在發(fā)現(xiàn)的案例中，黑客首先通過電子郵件發(fā)送了大量消息。不久之后，目標(biāo)員工收到了來自名為“Help Desk Manager”的賬戶的外部Teams電話。攻擊者說服受害者通過Microsoft Teams設(shè)置遠(yuǎn)程屏幕控制會(huì)話。攻擊者則釋放了托管在外部SharePoint鏈接上的惡意載荷，該載荷會(huì)為攻擊者提供對受感染計(jì)算機(jī)的遠(yuǎn)程訪問。攻擊者還會(huì)檢查系統(tǒng)詳細(xì)信息并部署第二階段的黑客工具與惡意指令。

由于在攻擊的最后階段之前就被阻止了，研究人員認(rèn)為黑客的目標(biāo)是竊取數(shù)據(jù)，然后部署勒索軟件。此外，研究人員還觀察到STAC5777試圖在網(wǎng)絡(luò)上部署B(yǎng)lack Basta勒索軟件，因此攻擊者可能與臭名昭著的勒索軟件團(tuán)伙有某種關(guān)系。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2025年1月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請第一時(shí)間自查，做好數(shù)據(jù)已被泄露的準(zhǔn)備，采取補(bǔ)救措施。

本月總共有522個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國4個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有7個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年1月受攻擊系統(tǒng)占比

對2025年1月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

圖6. 2025年1月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年1月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

圖7. 2025年1月監(jiān)控到的RDP入侵量

圖8. 2025年1月監(jiān)控到的MS SQL入侵量

圖9. 2025年1月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

n? wexor：屬于Weaxor勒索軟件家族，該家族的之前的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過smb共享方式加密其他設(shè)備。自本月起則主要以漏洞利用方式進(jìn)行投毒。

n? wxr：同wexor。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過smb共享方式加密其他設(shè)備。

n? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動(dòng)投毒。

n? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

n? bixi：同baxia。

n? src：同mkp。

n? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。devicdata：同hmallox。

n? sstop：同wstop。

n? devicdata：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，后來增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

圖10 2025年1月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Xiaoba其次是GandCrab。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年1月解密大師解密文件數(shù)及設(shè)備數(shù)排名