勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年5月,全球新增的双重勒索软件家族有FSOCIETY(flocker)、Arcus Media、Zero Tolerance。新增的传统勒索软件家族有Phalcon、ShrinkLocker 、Moneyistime。其中ShrinkLocker利用操作系统的Bitlocker进行文件加密,Moneyistime在国内广泛传播并开始出现变种。
以下是本月值得关注的部分热点:
1. 波音公司证实有勒索软件试图向其勒索2亿美元
2. 新版BiBi擦除器加入破坏硬盘分区表功能
3. 新型勒索软件ShrinkLocker会使用BitLocker加密文件
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:Makop家族占比21.39%居首位,第二的是TargetCompany(Mallox)占比20.32%,phobos家族以15.51%位居第三。
图1.勒索软件5月各家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。
图2. 勒索软件5月感染操作系统占比
2024年5月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC相比服务器平台的攻击比例略高。
图3. 勒索软件5月感染系统类型占比
勒索软件热点事件
波音公司证实有勒索软件试图向其勒索2亿美元
波音公司5月8日表示,该公司于2023年10月已向LockBit勒索软件平台的网络犯罪分子缴纳了其向该公司索要的2亿美元勒索赎金。波音公司证实,该公司就是美国司法部于5月7日公布的一份起诉书中所提到的一家未具名的跨国航空和国防公司。这份起诉书指控俄罗斯公民德米特里·尤里耶维奇·霍罗舍夫是LockBit勒索软件的主要管理员和开发者。
但除此以外,波音公司拒绝进一步置评,并表示已将问题转交给FBI。而FBI方面则并未立即回应此次事件。
去年11月初,LockBit网站上曾公布了约4.3GB的波音公司数据,波音公司在当时曾表示并未向LockBit支付任何赎金。而在起诉书中提到的未具名公司是科罗谢夫及其同伙“索要巨额赎金”的一个例子,自2019年底或2020年初以来,他们已从受害者手中勒索了逾5亿美元赎金。
新版BiBi擦除器加入破坏硬盘分区表功能
一款名为BiBi Wiper的擦除器型勒索软件在其新版本中加入了删除硬盘分区表的功能,这一功能使数据恢复变得更加困难,从而延长了受害者的宕机时间。这款名为“BiBi Wiper”的擦除器型勒索软件主要在以色列及阿尔巴尼亚地区传播,据称该勒索软件是来自于一个名为“Void Manticore”的黑客组织,而部分研究机构认为该组织可能与伊朗有关,但目前尚无明确的关联证据。
BiBi Wiper最早在2023年10月被安全研究员“Security Joes”发现,并因其攻击行为引发了以色列CERT在2023年11月的告警。该告警称有人利用BiBi Wiper对该国关键组织发动大规模的网络攻击。
根据安全研究机构的一份最新报告显示,BiBi Wiper发布了其最新版本擦除器,同时发现与其同属一个黑客组织还使用了另外两种擦除器——Cl Wiper和Partition Wiper。该报告还表示,该擦除器背后的Void Manticore与另一个名为Scarred Manticore的组织可能存在运营上的重叠,这表明两者之间存在合作关系。并称Void Manticore可能隐藏在一个名为Karma的黑客组织背后。
目前,安全研究机构观察到较新版本的BiBi Wiper会用随机数据破坏非系统文件,并在文件后附加一个包含“BiBi”字符串的随机扩展名。与过去的版本相比,这些较新的变种仅针对地区标记在以色列操作系统,并且不再删除系统快照或禁用系统的错误恢复功能。但它们现在会从硬盘中删除分区表信息,这种专门针对系统分区表展开的攻击,因其会导致安全人员无法恢复硬盘布局而将数据恢复工作复杂化,并最大程度地破坏数据。CI Wiper则主要针对地区标记为阿尔巴尼亚的系统,它使用“ElRawDisk”驱动程序执行擦除操作并将预定义的缓冲区覆盖到物理驱动器的对应位置中。
新型勒索软件ShrinkLocker会使用BitLocker加密文件
一款名为ShrinkLocker的新勒索软件会在使用Windows BitLocker加密企业系统时创建一个新的启动分区。这款名为“ShrinkLocker”的勒索软件因其通过缩小可用的非引导分区来创建引导分区而得名,其目前已知曾对政府机构和疫苗及制造业公司发动过攻击。
ShrinkLocker利用微软的VBScript脚本语言编写(该语言在即将推出的Windows 11系统的24H2更新中将变为可选组件而被逐步启用)。它的一个功能是通过使用Windows管理规范(WMI)和Win32_OperatingSystem类来检测目标机器上运行的特定Windows版本。如果满足特定的参数条件,攻击才会继续进行:例如当前域与目标域匹配,并且操作系统版本高于Vista。否则,ShrinkLocker会放弃攻击并删除自身。
而如果发现目标符合攻击要求,ShrinkLocker便会使用Windows中的diskpart程序将每个非系统分区缩小100MB,并将未分配的空间分割成同样大小的新主分区。研究人员表示在Windows 2008和2012系统中,该勒索软件首先会将启动文件与其他卷的索引一起保存下来。此外,ShrinkLocker还会修改注册表项以禁用远程桌面连接或在没有可信平台模块(TPM)的主机上启用BitLocker加密。
通过分析,研究人员能够确认该勒索软件进行了以下注册表更改:
l fDenyTSConnections = 1:禁用RDP连接
l scforceoption = 1:强制智能卡身份验证
l UseAdvancedStartup = 1:需要在预启动时使用BitLocker PIN进行身份验证
l EnableBDEWithNoTPM = 1:允许在不兼容TPM芯片的情况下使用BitLocker。
l UseTPM = 2:如果可用则允许使用TPM
l UseTPMPIN = 2:如果存在TPM,则允许使用启动PIN
l UseTPMKey = 2:如果存在TPM,则允许使用启动密钥
l UseTPMKeyPIN = 2:如果存在TPM,则允许使用启动密钥和PIN
l EnableNonTPM = 1:允许在不兼容TPM芯片的情况下使用BitLocker,需要在USB闪存驱动器上输入密码或启动密钥。
l UsePartialEncryptionKey = 2:需要使用TPM启动密钥
l UsePIN = 2:需要在TPM上使用启动PIN
ShrinkLocker背后的攻击者不会给受害者留下赎金文件,而是将一个新的启动分区的标签设置为一个电子邮件地址。在加密驱动器之后,攻击者会删除BitLocker保护程序(例如TPM、PIN、启动密钥、密码、恢复密码和恢复密钥)以阻止受害者恢复BitLocker的加密密钥,并将修改后的密钥其发送给攻击者。
用于加密文件的密钥是一个由随机乘法和替换变量为0-9数字、特殊字符以及“The quick brown fox jumps over the lazy dog.”(快速棕色狐狸跳过懒狗)的拉丁文组成的64位组合。在攻击的最后阶段,ShrinkLocker还会强制系统关闭以使所有更改生效,并使受害者无法解锁驱动器且无法使用BitLocker恢复选项。
目前,研究人员发现ShrinkLocker有多个变种,并已被用于攻击墨西哥、印度尼西亚和约旦的政府机构以及钢铁和疫苗制造行业的组织。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图4. 双/多重勒索软件5月各家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有558个组织/企业遭遇勒索攻击,其中包含中国4个组织/企业在本月遭遇了双重勒索/多重勒索。其中有5个组织/企业未被标明,因此不在以下表格中。
表2. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows 7、Windows 10以及Windows Server 2016。
图5. 黑客入侵防护5月各系统占比
对2024年5月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
图6. 黑客入侵防护5月各地区占比Top
通过观察2024年5月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
图7. RDP攻击在5月的入侵量
图8. MS SQL攻击在5月的入侵量
图9. MY SQL攻击在5月的入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
l rmallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,今年起增加了漏洞利用的传播方式。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。
l 360:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。
l svh: 属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l hmallox:同rmallox。
l faust: phobos勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l mkp:同svh。
l blackbit 基于Loki勒索软件家族的修改版本,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
l halo:同360。
l mallox:同rmallox。
l wormhole:属于Wormhole勒索软件家族,由于被加密文件后缀会被修改为wormhole而成为关键词。该家族主要的传播方式为通过Web应用漏洞利用进行传播。
图10. 勒索软件搜索引擎5月搜索关键词Top10
解密大师
从解密大师本月解密数据看,解密量最大的是GandCrab其次是Telsa。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
图11. 解密大师5月解密受各家族感染的设备及文件数量Top10