勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2024年12月，全球新增的雙重勒索軟件家族有Bluebox，目前僅有3個(gè)受害組織。12月新增的傳統(tǒng)勒索軟件家族有RdpLocker，目前尚未監(jiān)測(cè)到在國(guó)內(nèi)的傳播行為。

以下是本月值得關(guān)注的部分熱點(diǎn)：

n? 美國(guó)指控俄羅斯-以色列人可能是LockBit勒索軟件開發(fā)者

n? Clop勒索軟件聲稱對(duì)Cleo數(shù)據(jù)盜竊攻擊負(fù)責(zé)

n? 勒索軟件攻擊心臟手術(shù)設(shè)備頭部制造商

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比25.52%居首位，第二的是RNTC占比23.45%的，BeijingCrypt家族以11.03%位居第三。

圖1. 2024年12月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows7以及Windows Server 2012。

圖2. 2024年12月勒索軟件入侵操作系統(tǒng)占比

2024年12月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC占比大幅度高于服務(wù)器平臺(tái)。

圖3. 2024年12月勒索軟件入侵操作系統(tǒng)類型占比?

勒索軟件熱點(diǎn)事件

美國(guó)指控俄羅斯-以色列人可能是LockBit開發(fā)者

美國(guó)司法部已指控一名俄羅斯-以色列雙重國(guó)籍人士涉嫌在開發(fā)惡意軟件和管理臭名昭著的LockBit勒索軟件組織的基礎(chǔ)設(shè)施方面發(fā)揮作用。根據(jù)12月20日，新澤西州地區(qū)解封的一份刑事起訴書，51歲的俄羅斯-以色列雙重國(guó)籍的Rostislav Panev據(jù)稱幫助開發(fā)了LockBit勒索軟件加密程序和攻擊中常用的定制“StealBit”數(shù)據(jù)盜竊工具。

Panev于8月在以色列被捕，彼時(shí)他正在等待美國(guó)未決的引渡請(qǐng)求。刑事起訴書稱，以色列執(zhí)法部門在他的計(jì)算機(jī)上發(fā)現(xiàn)了一個(gè)在線存儲(chǔ)庫(kù)的憑據(jù)，其中包含LockBit加密程序和StealBit工具的源代碼。這些存儲(chǔ)庫(kù)還包含Conti勒索軟件加密程序的源代碼，該源代碼是在Conti在入侵烏克蘭問(wèn)題上站在俄羅斯一邊后被一名烏克蘭研究人員泄露的。據(jù)信，此源代碼已用于幫助創(chuàng)建基于Conti加密器的“LockBit Green”加密器。

起訴書還稱，Panev使用黑客論壇的私人消息功能與LockBit的主要運(yùn)營(yíng)商LockBitSupp（現(xiàn)在被確認(rèn)為Dmitry Yuryevich Khoroshev）進(jìn)行交流。這些消息是為了討論需要在LockBit構(gòu)建器和操作控制面板上編碼的工作。據(jù)稱，由于他與LockBit勒索軟件團(tuán)伙合作，Panev在18個(gè)月內(nèi)賺取了大約23萬(wàn)美元。

據(jù)稱，在被捕后接受以色列警方審訊時(shí)，Panev承認(rèn)為L(zhǎng)ockBit勒索軟件做編程工作并獲得了報(bào)酬。如果Panev被引渡到美國(guó)，他將在新澤西州特區(qū)受審。

Clop勒索軟件聲稱對(duì)Cleo數(shù)據(jù)盜竊攻擊負(fù)責(zé)

2020年12月，Clop利用了Accellion FTA安全文件傳輸平臺(tái)的0day漏洞，影響了近百家組織。在之后的2021年，勒索軟件團(tuán)伙利用SolarWinds Serv-U FTP軟件中的0day漏洞竊取數(shù)據(jù)并破壞網(wǎng)絡(luò)。2023年，Clop利用GoAnywhere MFT平臺(tái)的0day漏洞，使勒索軟件團(tuán)伙再次從100多家公司竊取數(shù)據(jù)。然而，根據(jù)安全公司給出的一份報(bào)告稱，該團(tuán)伙最嚴(yán)重的此類攻擊是在MOVEit Transfer平臺(tái)上使用0day，這使他們能夠從2773個(gè)組織中竊取數(shù)據(jù)。

目前，尚不清楚有多少公司受到了Cleo數(shù)據(jù)盜竊攻擊的影響，也不清楚有任何公司證實(shí)通過(guò)該平臺(tái)被入侵。美國(guó)國(guó)務(wù)院的正義獎(jiǎng)勵(lì)計(jì)劃目前懸賞1000萬(wàn)美元，以獲取將Clop勒索軟件攻擊與外國(guó)政府聯(lián)系起來(lái)的信息。

勒索軟件攻擊心臟手術(shù)設(shè)備頭部制造商

心臟外科醫(yī)療設(shè)備制造商Artivion近期披露了其在11月21日遭到了勒索軟件攻擊，該攻擊中斷了其運(yùn)營(yíng)并迫使其部分系統(tǒng)下線。

Artivion的應(yīng)對(duì)措施包括使某些系統(tǒng)下線、啟動(dòng)調(diào)查以及聘請(qǐng)外部顧問(wèn)，包括法律、網(wǎng)絡(luò)安全和法醫(yī)專業(yè)人士來(lái)評(píng)估、遏制和補(bǔ)救事件。雖然Artivion在公告中沒有直接提到勒索軟件，但它透露攻擊者加密了其一些系統(tǒng)并從受感染的系統(tǒng)中竊取了數(shù)據(jù)。該公司還補(bǔ)充說(shuō)，其公司運(yùn)營(yíng)、訂單處理和運(yùn)輸?shù)闹袛嘁鸦镜玫浇鉀Q，保險(xiǎn)范圍將涵蓋與事件響應(yīng)相關(guān)的費(fèi)用。

目前，暫時(shí)沒有勒索軟件聲稱對(duì)攻擊負(fù)責(zé)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2024年12月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有528個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)1個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有76個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)?

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2024年12月受攻擊系統(tǒng)占比?

對(duì)2024年12月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

圖6. 2024年12月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2024年12月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

圖7. 2024年12月監(jiān)控到的RDP入侵量

關(guān)于MS SQL的入侵，12月30日的數(shù)據(jù)由于一些設(shè)備被大量暴破導(dǎo)致數(shù)據(jù)大幅增高，隨后即恢復(fù)正常水平。

圖8. 2024年12月監(jiān)控到的MS SQL入侵量

圖9. 2024年12月監(jiān)控到的MYSQL入侵量?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

n? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過(guò)smb共享方式加密其他設(shè)備。

n? Weaxor：屬于Weaxor勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過(guò)smb共享方式加密其他設(shè)備。

n? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

n? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

n? bixi：同baxia。

n? rmallox：同hmallox。

n? src：同mkp。

n? devicdata：同hmallox。

n? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

圖10 2024年12月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab其次是Telsa。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2024年12月解密大師解密文件數(shù)及設(shè)備數(shù)排名