勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2024年5月，全球新增的雙重勒索軟件家族有FSOCIETY（flocker）、Arcus Media、Zero Tolerance。新增的傳統(tǒng)勒索軟件家族有Phalcon、ShrinkLocker 、Moneyistime。其中ShrinkLocker利用操作系統(tǒng)的Bitlocker進(jìn)行文件加密，Moneyistime在國內(nèi)廣泛傳播并開始出現(xiàn)變種。

以下是本月值得關(guān)注的部分熱點：

1. 波音公司證實有勒索軟件試圖向其勒索2億美元

2. 新版BiBi擦除器加入破壞硬盤分區(qū)表功能

3. 新型勒索軟件ShrinkLocker會使用BitLocker加密文件

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。?

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計：Makop家族占比21.39%居首位，第二的是TargetCompany(Mallox)占比20.32%，phobos家族以15.51%位居第三。

圖1.勒索軟件5月各家族占比

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 勒索軟件5月感染操作系統(tǒng)占比

2024年5月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC相比服務(wù)器平臺的攻擊比例略高。

圖3. 勒索軟件5月感染系統(tǒng)類型占比

勒索軟件熱點事件

波音公司證實有勒索軟件試圖向其勒索2億美元

波音公司5月8日表示，該公司于2023年10月已向LockBit勒索軟件平臺的網(wǎng)絡(luò)犯罪分子繳納了其向該公司索要的2億美元勒索贖金。波音公司證實，該公司就是美國司法部于5月7日公布的一份起訴書中所提到的一家未具名的跨國航空和國防公司。這份起訴書指控俄羅斯公民德米特里·尤里耶維奇·霍羅舍夫是LockBit勒索軟件的主要管理員和開發(fā)者。

但除此以外，波音公司拒絕進(jìn)一步置評，并表示已將問題轉(zhuǎn)交給FBI。而FBI方面則并未立即回應(yīng)此次事件。

去年11月初，LockBit網(wǎng)站上曾公布了約4.3GB的波音公司數(shù)據(jù)，波音公司在當(dāng)時曾表示并未向LockBit支付任何贖金。而在起訴書中提到的未具名公司是科羅謝夫及其同伙“索要巨額贖金”的一個例子，自2019年底或2020年初以來，他們已從受害者手中勒索了逾5億美元贖金。

新版BiBi擦除器加入破壞硬盤分區(qū)表功能

一款名為BiBi Wiper的擦除器型勒索軟件在其新版本中加入了刪除硬盤分區(qū)表的功能，這一功能使數(shù)據(jù)恢復(fù)變得更加困難，從而延長了受害者的宕機(jī)時間。這款名為“BiBi Wiper”的擦除器型勒索軟件主要在以色列及阿爾巴尼亞地區(qū)傳播，據(jù)稱該勒索軟件是來自于一個名為“Void Manticore”的黑客組織，而部分研究機(jī)構(gòu)認(rèn)為該組織可能與伊朗有關(guān)，但目前尚無明確的關(guān)聯(lián)證據(jù)。

BiBi Wiper最早在2023年10月被安全研究員“Security Joes”發(fā)現(xiàn)，并因其攻擊行為引發(fā)了以色列CERT在2023年11月的告警。該告警稱有人利用BiBi Wiper對該國關(guān)鍵組織發(fā)動大規(guī)模的網(wǎng)絡(luò)攻擊。

根據(jù)安全研究機(jī)構(gòu)的一份最新報告顯示，BiBi Wiper發(fā)布了其最新版本擦除器，同時發(fā)現(xiàn)與其同屬一個黑客組織還使用了另外兩種擦除器——Cl Wiper和Partition Wiper。該報告還表示，該擦除器背后的Void Manticore與另一個名為Scarred Manticore的組織可能存在運營上的重疊，這表明兩者之間存在合作關(guān)系。并稱Void Manticore可能隱藏在一個名為Karma的黑客組織背后。

目前，安全研究機(jī)構(gòu)觀察到較新版本的BiBi Wiper會用隨機(jī)數(shù)據(jù)破壞非系統(tǒng)文件，并在文件后附加一個包含“BiBi”字符串的隨機(jī)擴(kuò)展名。與過去的版本相比，這些較新的變種僅針對地區(qū)標(biāo)記在以色列操作系統(tǒng)，并且不再刪除系統(tǒng)快照或禁用系統(tǒng)的錯誤恢復(fù)功能。但它們現(xiàn)在會從硬盤中刪除分區(qū)表信息，這種專門針對系統(tǒng)分區(qū)表展開的攻擊，因其會導(dǎo)致安全人員無法恢復(fù)硬盤布局而將數(shù)據(jù)恢復(fù)工作復(fù)雜化，并最大程度地破壞數(shù)據(jù)。CI Wiper則主要針對地區(qū)標(biāo)記為阿爾巴尼亞的系統(tǒng)，它使用“ElRawDisk”驅(qū)動程序執(zhí)行擦除操作并將預(yù)定義的緩沖區(qū)覆蓋到物理驅(qū)動器的對應(yīng)位置中。

新型勒索軟件ShrinkLocker會使用BitLocker加密文件

一款名為ShrinkLocker的新勒索軟件會在使用Windows BitLocker加密企業(yè)系統(tǒng)時創(chuàng)建一個新的啟動分區(qū)。這款名為“ShrinkLocker”的勒索軟件因其通過縮小可用的非引導(dǎo)分區(qū)來創(chuàng)建引導(dǎo)分區(qū)而得名，其目前已知曾對政府機(jī)構(gòu)和疫苗及制造業(yè)公司發(fā)動過攻擊。

ShrinkLocker利用微軟的VBScript腳本語言編寫（該語言在即將推出的Windows 11系統(tǒng)的24H2更新中將變?yōu)榭蛇x組件而被逐步啟用）。它的一個功能是通過使用Windows管理規(guī)范(WMI)和Win32_OperatingSystem類來檢測目標(biāo)機(jī)器上運行的特定Windows版本。如果滿足特定的參數(shù)條件，攻擊才會繼續(xù)進(jìn)行：例如當(dāng)前域與目標(biāo)域匹配，并且操作系統(tǒng)版本高于Vista。否則，ShrinkLocker會放棄攻擊并刪除自身。

而如果發(fā)現(xiàn)目標(biāo)符合攻擊要求，ShrinkLocker便會使用Windows中的diskpart程序?qū)⒚總€非系統(tǒng)分區(qū)縮小100MB，并將未分配的空間分割成同樣大小的新主分區(qū)。研究人員表示在Windows 2008和2012系統(tǒng)中，該勒索軟件首先會將啟動文件與其他卷的索引一起保存下來。此外，ShrinkLocker還會修改注冊表項以禁用遠(yuǎn)程桌面連接或在沒有可信平臺模塊（TPM）的主機(jī)上啟用BitLocker加密。

通過分析，研究人員能夠確認(rèn)該勒索軟件進(jìn)行了以下注冊表更改：

l? fDenyTSConnections = 1:禁用RDP連接

l? scforceoption = 1:強(qiáng)制智能卡身份驗證

l? UseAdvancedStartup = 1:需要在預(yù)啟動時使用BitLocker PIN進(jìn)行身份驗證

l? EnableBDEWithNoTPM = 1:允許在不兼容TPM芯片的情況下使用BitLocker。

l? UseTPM = 2:如果可用則允許使用TPM

l? UseTPMPIN = 2:如果存在TPM，則允許使用啟動PIN

l? UseTPMKey = 2:如果存在TPM，則允許使用啟動密鑰

l? UseTPMKeyPIN = 2:如果存在TPM，則允許使用啟動密鑰和PIN

l? EnableNonTPM = 1:允許在不兼容TPM芯片的情況下使用BitLocker，需要在USB閃存驅(qū)動器上輸入密碼或啟動密鑰。

l? UsePartialEncryptionKey = 2:需要使用TPM啟動密鑰

l? UsePIN = 2:需要在TPM上使用啟動PIN

ShrinkLocker背后的攻擊者不會給受害者留下贖金文件，而是將一個新的啟動分區(qū)的標(biāo)簽設(shè)置為一個電子郵件地址。在加密驅(qū)動器之后，攻擊者會刪除BitLocker保護(hù)程序（例如TPM、PIN、啟動密鑰、密碼、恢復(fù)密碼和恢復(fù)密鑰）以阻止受害者恢復(fù)BitLocker的加密密鑰，并將修改后的密鑰其發(fā)送給攻擊者。

用于加密文件的密鑰是一個由隨機(jī)乘法和替換變量為0-9數(shù)字、特殊字符以及“The quick brown fox jumps over the lazy dog.”（快速棕色狐貍跳過懶狗）的拉丁文組成的64位組合。在攻擊的最后階段，ShrinkLocker還會強(qiáng)制系統(tǒng)關(guān)閉以使所有更改生效，并使受害者無法解鎖驅(qū)動器且無法使用BitLocker恢復(fù)選項。

目前，研究人員發(fā)現(xiàn)ShrinkLocker有多個變種，并已被用于攻擊墨西哥、印度尼西亞和約旦的政府機(jī)構(gòu)以及鋼鐵和疫苗制造行業(yè)的組織。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖4. 雙/多重勒索軟件5月各家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有558個組織/企業(yè)遭遇勒索攻擊，其中包含中國4個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有5個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows 7、Windows 10以及Windows Server 2016。

圖5. 黑客入侵防護(hù)5月各系統(tǒng)占比

對2024年5月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

圖6. 黑客入侵防護(hù)5月各地區(qū)占比Top

通過觀察2024年5月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. RDP攻擊在5月的入侵量

圖8. MS SQL攻擊在5月的入侵量

圖9. MY SQL攻擊在5月的入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

l? rmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒和SQLGlobeImposter渠道進(jìn)行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

l? 360：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

l? svh: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? hmallox：同rmallox。

l? faust： phobos勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? mkp：同svh。

l? blackbit 基于Loki勒索軟件家族的修改版本，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

l? halo：同360。

l? mallox：同rmallox。

l? wormhole：屬于Wormhole勒索軟件家族，由于被加密文件后綴會被修改為wormhole而成為關(guān)鍵詞。該家族主要的傳播方式為通過Web應(yīng)用漏洞利用進(jìn)行傳播。

圖10. 勒索軟件搜索引擎5月搜索關(guān)鍵詞Top10

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab其次是Telsa。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 解密大師5月解密受各家族感染的設(shè)備及文件數(shù)量Top10