勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2024年12月，全球新增的雙重勒索軟件家族有Bluebox，目前僅有3個(gè)受害組織。12月新增的傳統(tǒng)勒索軟件家族有RdpLocker，目前尚未監(jiān)測到在國內(nèi)的傳播行為。

以下是本月值得關(guān)注的部分熱點(diǎn)：

n? 美國指控俄羅斯-以色列人可能是LockBit勒索軟件開發(fā)者

n? Clop勒索軟件聲稱對Cleo數(shù)據(jù)盜竊攻擊負(fù)責(zé)

n? 勒索軟件攻擊心臟手術(shù)設(shè)備頭部制造商

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比25.52%居首位，第二的是RNTC占比23.45%的，BeijingCrypt家族以11.03%位居第三。

圖1. 2024年12月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows7以及Windows Server 2012。

圖2. 2024年12月勒索軟件入侵操作系統(tǒng)占比

2024年12月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC占比大幅度高于服務(wù)器平臺。

圖3. 2024年12月勒索軟件入侵操作系統(tǒng)類型占比?

勒索軟件熱點(diǎn)事件

美國指控俄羅斯-以色列人可能是LockBit開發(fā)者

美國司法部已指控一名俄羅斯-以色列雙重國籍人士涉嫌在開發(fā)惡意軟件和管理臭名昭著的LockBit勒索軟件組織的基礎(chǔ)設(shè)施方面發(fā)揮作用。根據(jù)12月20日，新澤西州地區(qū)解封的一份刑事起訴書，51歲的俄羅斯-以色列雙重國籍的Rostislav Panev據(jù)稱幫助開發(fā)了LockBit勒索軟件加密程序和攻擊中常用的定制“StealBit”數(shù)據(jù)盜竊工具。

Panev于8月在以色列被捕，彼時(shí)他正在等待美國未決的引渡請求。刑事起訴書稱，以色列執(zhí)法部門在他的計(jì)算機(jī)上發(fā)現(xiàn)了一個(gè)在線存儲(chǔ)庫的憑據(jù)，其中包含LockBit加密程序和StealBit工具的源代碼。這些存儲(chǔ)庫還包含Conti勒索軟件加密程序的源代碼，該源代碼是在Conti在入侵烏克蘭問題上站在俄羅斯一邊后被一名烏克蘭研究人員泄露的。據(jù)信，此源代碼已用于幫助創(chuàng)建基于Conti加密器的“LockBit Green”加密器。

起訴書還稱，Panev使用黑客論壇的私人消息功能與LockBit的主要運(yùn)營商LockBitSupp（現(xiàn)在被確認(rèn)為Dmitry Yuryevich Khoroshev）進(jìn)行交流。這些消息是為了討論需要在LockBit構(gòu)建器和操作控制面板上編碼的工作。據(jù)稱，由于他與LockBit勒索軟件團(tuán)伙合作，Panev在18個(gè)月內(nèi)賺取了大約23萬美元。

據(jù)稱，在被捕后接受以色列警方審訊時(shí)，Panev承認(rèn)為LockBit勒索軟件做編程工作并獲得了報(bào)酬。如果Panev被引渡到美國，他將在新澤西州特區(qū)受審。

Clop勒索軟件聲稱對Cleo數(shù)據(jù)盜竊攻擊負(fù)責(zé)

2020年12月，Clop利用了Accellion FTA安全文件傳輸平臺的0day漏洞，影響了近百家組織。在之后的2021年，勒索軟件團(tuán)伙利用SolarWinds Serv-U FTP軟件中的0day漏洞竊取數(shù)據(jù)并破壞網(wǎng)絡(luò)。2023年，Clop利用GoAnywhere MFT平臺的0day漏洞，使勒索軟件團(tuán)伙再次從100多家公司竊取數(shù)據(jù)。然而，根據(jù)安全公司給出的一份報(bào)告稱，該團(tuán)伙最嚴(yán)重的此類攻擊是在MOVEit Transfer平臺上使用0day，這使他們能夠從2773個(gè)組織中竊取數(shù)據(jù)。

目前，尚不清楚有多少公司受到了Cleo數(shù)據(jù)盜竊攻擊的影響，也不清楚有任何公司證實(shí)通過該平臺被入侵。美國國務(wù)院的正義獎(jiǎng)勵(lì)計(jì)劃目前懸賞1000萬美元，以獲取將Clop勒索軟件攻擊與外國政府聯(lián)系起來的信息。

勒索軟件攻擊心臟手術(shù)設(shè)備頭部制造商

心臟外科醫(yī)療設(shè)備制造商Artivion近期披露了其在11月21日遭到了勒索軟件攻擊，該攻擊中斷了其運(yùn)營并迫使其部分系統(tǒng)下線。

Artivion的應(yīng)對措施包括使某些系統(tǒng)下線、啟動(dòng)調(diào)查以及聘請外部顧問，包括法律、網(wǎng)絡(luò)安全和法醫(yī)專業(yè)人士來評估、遏制和補(bǔ)救事件。雖然Artivion在公告中沒有直接提到勒索軟件，但它透露攻擊者加密了其一些系統(tǒng)并從受感染的系統(tǒng)中竊取了數(shù)據(jù)。該公司還補(bǔ)充說，其公司運(yùn)營、訂單處理和運(yùn)輸?shù)闹袛嘁鸦镜玫浇鉀Q，保險(xiǎn)范圍將涵蓋與事件響應(yīng)相關(guān)的費(fèi)用。

目前，暫時(shí)沒有勒索軟件聲稱對攻擊負(fù)責(zé)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2024年12月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有528個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國1個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有76個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)?

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2024年12月受攻擊系統(tǒng)占比?

對2024年12月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

圖6. 2024年12月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2024年12月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

圖7. 2024年12月監(jiān)控到的RDP入侵量

關(guān)于MS SQL的入侵，12月30日的數(shù)據(jù)由于一些設(shè)備被大量暴破導(dǎo)致數(shù)據(jù)大幅增高，隨后即恢復(fù)正常水平。

圖8. 2024年12月監(jiān)控到的MS SQL入侵量

圖9. 2024年12月監(jiān)控到的MYSQL入侵量?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

n? hmallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，今年起增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族本曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

n? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過smb共享方式加密其他設(shè)備。

n? Weaxor：屬于Weaxor勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過smb共享方式加密其他設(shè)備。

n? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

n? baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動(dòng)投毒。

n? bixi：同baxia。

n? rmallox：同hmallox。

n? src：同mkp。

n? devicdata：同hmallox。

n? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

圖10 2024年12月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab其次是Telsa。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2024年12月解密大師解密文件數(shù)及設(shè)備數(shù)排名