2022年10月勒索軟體态勢分析

勒索軟體傳播至今，360反勒索服務已累計接收到上萬勒索軟體感染求助。随着新型勒索軟體的快速蔓延，企業資料洩露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟體給企業和個人帶來的影響範圍越來越廣，危害性也越來越大。360安全大腦針對勒索軟體進行了全方位的監測與防禦，為需要幫助的使用者提供360反勒索服務。

2022年10月，全球新增的活躍勒索軟體家族有: SexyPhotos、Prestige、Ransom Cartel、Azov等家族。其中SexyPhotos與Azov均為擦除器類勒索軟體，他們分别借助色情網站和廣告程式進行有針對性的傳播和攻擊；Ransom Cartel勒索軟體則被懷疑是REvil勒索軟體家族的最新變種；而Prestige則是較為傳統的檔案加密行勒索軟體，據研究人員分析發現該軟體與此前流行一時的HermeticWiper擦除器勒索軟體的攻擊目标高度重疊。此外OldGremlin黑客組織在本月的攻擊中加入了針對Linux系統的勒索軟體部署，該組織曾在今年早些時候的攻擊活動中向受害者開出了高達1690萬美元的高額贖金。

以下是本月值得關注的部分熱點：

一、 白宮召集第二屆國際反勒索攻擊峰會，37國共同參與

二、 BlackByte勒索軟體利用合法驅動程式禁用安全産品

三、 勒索軟體攻擊導緻某些德國報紙停刊

基于對360反勒索資料的分析研判，360政企安全集團進階威脅研究分析中心(CCTGA勒索軟體防範應對工作組成員）釋出本報告。

感染資料分析

針對本月勒索軟體受害者所中勒索軟體家族進行統計，TargetCompany(Mallox)家族占比20.25%居首位，其次是占比14.11%的phobos，Stop家族以11.04%位居第三。

前兩個月較為流行的TellYouThePass在本月已經銷聲匿迹，取而代之的則是TargetCompany(Mallox)家族。雖然TargetCompany(Mallox)并沒有出現較大規模的爆發，但其流行度的增長勢頭也需要企業管理者提起重視。

而phobos作為國内老牌勒索家族，流行熱度一直比較高，主要通過暴破遠端桌面傳播。

Stop勒索軟體雖然近期傳播量有所下降，但始終保持傳播熱度，再其它家族未有明顯攻勢情況下，該家族再次進入前三，目前尚屬于正常的浮動範圍。

對本月受害者所使用的作業系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2022年10月被感染的系統中桌面系統和伺服器系統占比顯示，受攻擊的系統類型仍以桌面系統為主。

勒索軟體疫情分析

白宮召集第二屆國際反勒索攻擊峰會，37國共同參與

美國當地時間10月31日至11月1日，美國協同其他36個國家以及13家企業及組織，在華盛頓白宮舉行了第二屆國際勒索軟體倡議（CRI）峰會，以研究如何更好地打擊勒索軟體攻擊。會議再次強調，勒索是一個全球性問題，在資訊化之路上，沒有一個國家能獨善其身。

在會後的聯合聲明中，成員國共同表示，将提升對勒索威脅的共同抵抗能力，行動包括：

打擊勒索相關的虛拟貨币及其服務商施行反洗錢和打擊資助恐怖主義措施，打擊勒索軟體攻擊者從中獲得非法利益，以及制定和實施反洗錢和打擊資助恐怖主義加密标準。

跨國合作，共同打擊勒索犯罪，不為勒索攻擊者提供庇護。

分享有關勒索的相關情報資訊，幫助盟友應對勒索威脅。

BlackByte勒索軟體利用合法驅動程式禁用安全産品

BlackByte勒索軟體團夥正在使用白驅動利用的技術來協助傳播，該技術通過正常驅動程式來禁用各種安全軟體驅動程式，幹擾安全軟體運作，以此繞過保護系統。

該組織最近的攻擊涉及MSI Afterburner RTCore64.sys驅動程式的一個版本，該版本存在CVE-2019-16098漏洞的代碼執行攻擊。利用該安全問題，BlackByte嘗試禁用了數千個安全軟體驅動。近期另外兩個值得注意的此類攻擊案例包括Lazarus濫用有漏洞的Dell驅動程式和未知黑客濫用Genshin Impact遊戲的反作弊驅動程式。

勒索軟體攻擊導緻某些德國報紙停刊

德國報紙《Heilbronn Stimme》于10月15日遭到勒索軟體攻擊并被破壞了印刷系統後，其以電子版形式釋出了後續的期刊。

10月16日，該報釋出了一個“緊急”六頁版公告，所有原本要發行的報紙均改為線上釋出。16、17日兩天，其電話和電子郵件通信均仍處于離線狀态。該報紙的發行量約為75000份，但由于此次攻擊事件引發的印刷問題，其已暫時取消了官網的付費管道。而其網站每月約有200萬通路者。

報社主編Uwe Ralf Heer表示：此次攻擊影響了整個Stimme Mediengruppe媒體集團，包括旗下的“Pressedruck”、“Echo”和“RegioMail”等公司。而發行量為25.4萬份的Echo也受到了網絡攻擊的影響，導緻讀者在其網站中通路電子檔案時出現了問題。不過其線上新聞門戶網站Echo24.de目前仍在正常運作。

Heer主編還表示攻擊者已經留下了勒索資訊，但尚未提出具體的贖金金額。

黑客資訊披露

以下是本月收集到的黑客郵箱資訊：

表格1. 黑客郵箱

目前，通過雙重勒索或多重勒索模式獲利的勒索軟體家族越來越多，勒索軟體所帶來的資料洩露的風險也越來越大。以下是本月通過資料洩露獲利的勒索軟體家族占比，該資料僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

以下是本月被雙重勒索軟體家族攻擊的企業或個人。若未發現被資料存在洩露風險的企業或個人也請第一時間自查，做好資料已被洩露準備，采取補救措施。

本月總共有220個組織/企業遭遇勒索攻擊，其中包含中國5個組織/企業在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業

系統安全防護資料分析

360系統安全産品，針對伺服器進行全量下發了系統安全防護功能，針對非伺服器版本的系統僅在發現被攻擊時才下發防護。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對2022年10月被攻擊系統所屬地域統計發現，與之前幾個月采集到的資料進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

通過觀察2022年10月弱密碼攻擊态勢發現，RDP弱密碼攻擊、MYSQL弱密碼攻擊和MSSQL弱密碼攻擊整體無較大波動。

勒索軟體關鍵詞

以下是本月上榜活躍勒索軟體關鍵詞統計，資料來自360勒索軟體搜尋引擎。

360：屬于BeijngCrypt勒索軟體家族，由于被加密檔案字尾會被修改為360而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒，本月新增通過資料庫弱密碼攻擊進行傳播。

devos：該字尾有三種情況，均因被加密檔案字尾會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索軟體家族，該家族的主要傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

fargo3：屬于TargetCompany(Mallox)勒索軟體家族，由于被加密檔案字尾會被修改為fargo3。該家族傳播管道有多個，包括匿隐僵屍網絡、橫向滲透以及資料庫弱密碼爆破和遠端桌面弱密碼爆破。

locked：屬于TellYouThePass勒索軟體家族，由于被加密檔案字尾會被修改為locked而成為關鍵詞。該家族主要通過各種軟體漏洞、系統漏洞進行傳播。

elbie：屬于phobos勒索軟體家族，由于被加密檔案字尾會被修改為elbie而成為關鍵詞。該家族的主要傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

mkp：屬于Makop勒索軟體家族，由于被加密檔案字尾會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

eking：同elbie。

encrypt：屬于eCh0raix勒索病毒家族，由于被加密檔案字尾會被修改為.encrypt而成為關鍵詞。該家族是一款針對NAS裝置進行攻擊的勒索病毒，主要通過漏洞攻擊威聯通裝置，同時還曾對群輝裝置采取桌面弱密碼攻擊。

eight：同elbie。

mallox：屬于Mallox勒索病毒家族，由于被加密檔案字尾會被修改為mallox而成為關鍵詞。通過SQLGlobeImposter管道進行傳播。此外360安全大腦監控到該家族本月還通過匿影僵屍網絡進行傳播。

world2022decoding：屬于Honest勒索軟體家族，由于被加密檔案字尾會被修改為world2022decoding而成為關鍵詞。該家族的主要傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

解密大師

從解密大師本月解密資料看，解密量最大的是Loki，其次是Coffee。使用解密大師解密檔案的使用者數量最高的是被Stop家族加密的裝置(解密檔案數較小故未入榜)，其次是被Crysis家族加密的裝置。