2023年3月

勒索軟體傳播至今，360反勒索服務已累計接收到上萬勒索軟體感染求助。随着新型勒索軟體的快速蔓延，企業資料洩露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟體給企業和個人帶來的影響範圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟體進行了全方位的監測與防禦，為需要幫助的使用者提供360反勒索服務。

2023年3月，全球新增的活躍勒索軟體家族有:Merlin、726、 DarkPower等家族。其中DarkPower是本月新增的雙重勒索軟體，該家族最早出現于2022年，于本月開始采用雙重勒索模式營運，其程式設計語言采用了在勒索軟體中罕見的Nim語言。

以下是本月值的關注的部分熱點：

1. CL0P勒索軟體再度活躍，超百家機構成受害者

2. 水果巨頭都樂遭受勒索軟體攻擊影響營運

3. 法拉利在收到勒索贖金要求後遭資料洩露

基于對360反勒索資料的分析研判，360數字安全集團進階威脅研究分析中心(CCTGA勒索軟體防範應對工作組成員）釋出本報告。

感染資料分析

針對本月勒索軟體受害者所中病毒家族進行統計：phobos家族占比23.97%居首位，其次是占比19.85%的BeijingCrypt，TargetCompany(Mallox)家族以14.61%位居第三。

通過暴力破解遠端桌面成功後手動投毒的Standby勒索軟體家族感染量持續在上升。

對本月受害者所使用的作業系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows 2012。

2023年3月被感染的系統中桌面系統和伺服器系統占比顯示，受攻擊的系統類型仍以桌面系統為主。

勒索軟體流行态勢分析

CL0P勒索軟體再度活躍，超百家機構成受害者

停更近2年的CL0P勒索軟體再度活躍，此次主要利用Fortra GoAnywhere MFT安全檔案共享解決方案中存在的0day漏洞，對部署了該解決方案的公司展開資料竊取及勒索行動。

今年2月，GoAnywhere MFT檔案傳輸解決方案的開發人員曾警告其客戶：該解決方案的管理控制台代碼中存在0day遠端代碼執行漏洞CVE-2023-0669。雖然該開發人員并沒有公開分享該漏洞的利用細節，但很快就釋出了概念驗證漏洞，随後又釋出了該漏洞的更新檔。

而就在GoAnywhere更新檔釋出後的第二天，Clop勒索軟體團夥便表示他們對這些攻擊負責。該組織聲稱他們利用該漏洞在十天内竊取了130家公司的資料。此後，社群衛生系統（CHS）和哈奇銀行兩家公司披露稱存儲在GoAnywhere MFT中的資料遭到竊取。本月，CL0P勒索團夥在其“資料洩露網站”上傳了包括日立能源、多倫多市等104個組織/企業的資料。

水果巨頭都樂遭受勒索軟體攻擊影響營運

全球最大的果蔬生産及分銷商都樂食品公司發聲明表示受到勒索軟體攻擊，并正對攻擊展開應對。關于此次攻擊事件公布的細節很少，都樂僅表示目前正在調查“事件的範圍”且“影響有限”。

盡管都樂将影響描述為“有限”，但美國德州一家雜貨店在Facebook上洩露的一份備忘錄表明，這家食品巨頭被迫關閉了其在北美的生産工廠并已停止向雜貨店發貨。

一周以來，北美地區消費者一直在抱怨商店貨架上預包裝的都樂沙拉短缺。雖然該公司沒有透露攻擊發生的具體時間，但這很可能是這次勒索軟體攻擊造成的短缺。

法拉利在收到勒索贖金要求後遭資料洩露

意大利豪華跑車制造商法拉利确認遭到到了勒索攻擊。據法拉利公司稱，在攻擊者獲得對公司部分IT系統的通路權限後，收到了贖金要求，同時資料也已遭到洩露。

據公司表示，事件中遭洩露的客戶資訊包括姓名、位址、電子郵件位址和電話号碼。 而到目前為止，法拉利尚未發現付款細節、銀行帳号或其他敏感付款資訊被通路或竊取的證據。

黑客資訊披露

以下是本月收集到的黑客郵箱資訊：

目前，通過雙重勒索或多重勒索模式獲利的勒索軟體家族越來越多，勒索軟體所帶來的資料洩露的風險也越來越大。以下是本月通過資料洩露獲利的勒索軟體家族占比，該資料僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

以下是本月被雙重勒索軟體家族攻擊的企業或個人。若未發現被資料存在洩露風險的企業或個人也請第一時間自查，做好資料已被洩露準備，采取補救措施。

本月總共有445個組織/企業遭遇勒索攻擊，其中中國有5個組織/企業在本月遭遇了雙重勒索/多重勒索。此外，有15個組織/企業未被标明，是以不再以下表格中。

系統安全防護資料分析

360系統安全産品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 7 、Windows 2016以及Windows Server 2003。

對2023年3月被攻擊系統所屬地域統計發現，與之前幾個月采集到的資料進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

通過觀察2023年3月弱密碼攻擊态勢發現，RDP弱密碼攻擊、MYSQL弱密碼攻擊和MSSQL弱密碼攻擊整體無較大波動。

勒索軟體關鍵詞

以下是本月上榜活躍勒索軟體關鍵詞統計，資料來自360勒索軟體搜尋引擎。

l devos：該字尾有三種情況，均因被加密檔案字尾會被修改為devos而成為關鍵詞。但本月活躍的是phobos勒索軟體家族，該家族的主要傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

l 360：屬于BeijngCrypt勒索軟體家族，由于被加密檔案字尾會被修改為360而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒，本月新增通過資料庫弱密碼攻擊進行傳播。

l mallox：屬于TargetCompany(Mallox)勒索軟體家族，由于被加密檔案字尾會被修改為mallox而成為關鍵詞。主要通過暴力破解遠端桌面密碼成功後手動投毒和SQLGlobeImposter管道進行傳播。此外360安全大腦監控到該家族本曾通過匿影僵屍網絡進行傳播。

l halo：同360。

l faust:屬于phobos勒索軟體家族，因被加密檔案字尾會被修改為faust而成為關鍵詞。該家族的主要傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

l elbie：同faust。

l lockbit：屬于LockBit勒索軟體家族，因被加密檔案字尾會被修改為lockbit而成為關鍵詞。該家族的營運模式可以分為兩種不同的方式。第一種是無差别攻擊，該方式會對全網發起資料庫弱密碼攻擊或遠端桌面弱密碼攻擊，一旦攻擊成功，勒索軟體将被投毒到受害者計算機中。在這種情況下，攻擊者并不會竊取受害者的資料。第二種是針對性攻擊，該方式主要針對大型企業，攻擊者不僅會部署勒索軟體，還會竊取企業重要的資料。如果受害組織或企業無法在規定時間内繳納贖金，該團夥将會把資料釋出到其資料洩露站點上，任何可以通路該網站的人都可以下載下傳受害者的資料。

l _locked:屬于CryLock(Trigona)勒索軟體家族，由于被加密檔案字尾會被修改為_locked而成為關鍵詞。該家族主要的傳播方式：暴力破解遠端桌面密碼成功後手動投毒以及暴力破解資料庫密碼後遠端投毒。

l mkp：屬于Makop勒索軟體家族，由于被加密檔案字尾會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠端桌面密碼成功後手動投毒。

l locked: 屬于TellYouThePass勒索軟體家族，由于被加密檔案字尾會被修改為locked而成為關鍵詞。該家族主要通過各種軟體漏洞、系統漏洞進行傳播。