2024年第一季度,亚信安全拦截勒索攻击共计12,603次,较上一季度拦截攻击数量有 所减少。
2024年第一季度,亚信安全积极应对威胁,共截获了8,378,240个恶意样本,平均每 天拦截9万个恶意样本。这些恶意样本包括各种恶意软件、病毒、木马等,它们的目标是危 害个人用户、企业组织和公共机构的计算机系统和数据。与上个季度相比,第一季度拦截 的恶意样本数量有所减少。这表明随着技术的进步和安全意识的增强,亚信安全的客户能 够更加有效地抵御恶意攻击活动。 尽管如此,数字威胁的不断演变使安全专家们不得不保持警惕,并持续开发出更强大 的防御手段。这需要密切关注新的攻击技术和威胁趋势,并及时采取相应措施,例如实时 监控、网络流量分析、威胁情报共享等,以提前发现并遏制恶意样本的传播。
从恶意样本检测类型来看TROJ(木马程序)以57% 的比重位居首位,其次是PE(感染型 病毒)、Adware(广告软件)、Mal(恶意软件)和WORM(蠕虫病毒)。这些病毒类型有其特定 的功能和攻击方式。木马程序通常伪装成合法软件,秘密执行恶意活动,例如窃取个人信 息或允许远程控制。PE感染型病毒利用可执行文件格式来传播恶意代码,常见于通过电子 邮件或下载不安全文件时感染系统。广告软件则通过弹出广告来干扰用户,有时还会监控 用户行为以投放定向广告。而广义上的Mal包括各类恶意软件,它们可能具有破坏数据、窃取凭证或创建后门的功能。蠕虫病毒能自我复制并通过网络传播,它们不依赖于宿主文 件,能快速在网络中造成广泛感染。
亚信安全将持续监控病毒发展趋势,继续致力于提供高效而可靠的安全解决方案,以 确保用户和企业的数字资产得到充分的保护。同时,用户和组织也需保持警惕,采取必要 的网络安全措施,如使用强密码、及时更新软件和系统补丁、谨慎点击可疑链接和附件等, 以最大程度地降低受到威胁的风险。
2024年第一季度,亚信安全拦截勒索攻击共计12,603次,较上一季度拦截攻击数量有 所减少。从全球拦截数量看,科威特位居勒索软件感染数量首位,占比达到36% ,其次是 土耳其和阿拉伯联合酋长国。
本季度,全球多个国家的不同行业遭遇了勒索团伙攻击。其中,银行业遭遇勒索攻击 的数量以 29% 居首位,其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位, 其次是医疗和通信行业。
除了分析感染国家和感染行业的分布,我们还对本季度的勒索攻击事件进行了深入研 究。我们观察到,这些攻击背后的勒索团伙不仅包括新兴的团伙,还有包括一些“老牌” 团伙再次浮现。我们详细梳理了五个典型的勒索案例,深入分析了这些勒索攻击事件背后 的团伙,揭露了他们的攻击手法,并探讨了他们的未来发展趋势。这样的分析帮助我们更 好地理解勒索软件的演变,以及制定有效的防护策略。
LockBit新版本LockBit-NG-Dev勒索
自 2020 年初开始运营 RaaS 组织的 LockBit 已发展成为勒索软件生态圈中最大的 Ra aS组织之一,该组织目前已造成数千名受害者,是迄今为止对金融行业造成最大威胁的勒 索组织。LockBit 勒索团伙使用联盟模式运营,在协商并支付赎金后,收益在开发人员及其 关联公司之间分配。LockBit 通常收取 20% 的赎金份额,其余 80% 归负责勒索软件攻击的 联盟成员所有。 LockBit 以创新而闻名,其发布了多个版本的勒索软件,从最初的 v1(2020 年 1 月) 到 LockBit 2.0( 2021 年 6 月开始),再到 LockBit 3.0(从 2022 年 3 月开始)。勒索团伙 引入了 LockBit Linux 来实现对 Linux 和 VMWare ESXi 系统的攻击。近日,我们发现了Lo ckBit 新版本LockBit-NG-Dev,该版本是在今年2月19日LockBit 团伙被捣毁后发布的,说 明LockBit 勒索团伙正在试图卷土重来。
该版本与以往的LockBit版本有所不同,采用了.NET编程语言并配合CoreRT编译,这 使得它能在多个操作系统上运行。为了逃避静态检测,其使用MPRESS进行打包。除此之 外,新版本具有多种加密模式,包括"快速"、"间歇"、"全加密"三种,其可以根据文件扩展 名配置执行不同的加密模式。
LockBit-NG-Dev使用AES算法加密文件,并使用嵌入的RSA公钥加密AES密钥。AES 密钥是为每个要加密的文件随机生成的。其将被加密文件进行随机命名,以增加数据恢复 的难度。此外,它还配备了自删除机制,可以通过将LockBit文件内容覆盖为零字节来实现。
善于利用Web应用漏洞的TellYouthePass勒索
2024年第一季度,研究人员监测到数千台运行财务管理服务的计算机设备被植入勒索 软件。经关联分析,我们可以确认这一波攻击的来源为TellYouThePass老牌勒索家族。该 家族最早于2019年3月出现,惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差, 对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用"永恒之蓝"系列漏洞、 WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。利 用Web应用漏洞对运行应用的服务器发起勒索攻击是该勒索的典型特征。
Tellyouthepass勒索曾多次占据国内勒索软件流行榜的榜首位置。2023年,该勒索团 伙发动了3轮较大规模的攻击,包括针对NC服务器勒索攻击,文档安全管理系统攻击和针 对医药系统攻击,该系统常用于医药行业的智能仓储管理系统,具备库存盘点、库存对账 等功能。黑客攻入该系统并投递勒索病毒,会导致系统中的库存数据库、商品标签等文件 被加密,对部署该系统企业商户的数据及财产安全造成巨大威胁。 2024年初,Tellyouthepass又开始发动新一轮针对财务电脑的攻击,此次攻击导致众 多财务电脑中招,中招电脑的数据库与文档都被加密,并留下勒索信,被加密的文件扩展 名被修改为“.locked”。
利用VPN漏洞攻击的CACTUS勒索
2024年初,针对某能源管理公司的勒索攻击引人注目。这次攻击发生在1月中旬,攻 击导致该公司可持续发展业务部门丢失1.5TB的数据。此次攻击是因为勒索团伙利用了某 软件漏洞获得了公司网络的访问权限,并提升了权限,在部署勒索软件之前进行了敏感数 据的窃取。这一策略不仅加密了公司的文件,还威胁受害者,如果不支付赎金,将会泄露 其敏感数据。 该受害公司确认了此次攻击,并表示其仅受影响的实体是运营在独立网络基础设施上 的业务部门。该部门提供有关可再生能源解决方案的咨询服务,并就全球环境和能源法规 的遵守向公司提供建议。被盗数据可能包含客户能源使用情况、工业控制和自动化系统以 及环境与能源法规遵守情况的敏感信息。 另外,在确认受到攻击后,该公司采取了一系列措施来应对这一事件,包括与执法机 构合作、加强其网络的安全防护以及通知受影响的客户。此外,公司也在审查其供应链管 理和第三方组件的安全性,以减少未来遭受类似攻击的风险。
经过调查,该起攻击事件幕后勒索团伙CACTUS浮出水面。该勒索于2023年3月首次 被发现,一直保持着活跃状态。CACTUS勒索软件通过Fortinet VPN的已知漏洞进行入侵 (黑客首先获取到VPN账号,再通过VPN服务器入侵到组织内部),获取初始访问权限。 随后,勒索团伙会通过网络扫描,远控软件和RDP暴力破解在内网横向移动,窃取被害者 的重要信息,并将窃取的信息传输到云存储中。最后,勒索团伙对被害机器进行勒索投毒。
在内网横向移动阶段,该勒索团伙使用Netscan、PSnmap的修改版本对域内机器进行 网络扫描。通过使用PowerShell命令来枚举端点,在Windows事件查看器中查看成功登录来 识别用户帐户,并ping远程主机。除此之外,勒索团伙还使用各种合法工具及远程软件对 被害者机器进行控制,例如Splashtop、 AnyDesk、SuperOps RMM、Cobalt Strike和基于Go的 代理工具Chisel。另外, 该勒索还通过RDP暴力破解获取内网访问权限。 获取到内网机器的访问权限后,勒索团伙首先会窃取被害者的敏感信息,并使用 Rclone等常见工具将窃取的信息传输到云存储中,然后再进行手动投毒。在勒索阶段,勒 索团伙会威胁用户,如果不缴纳赎金,将会泄露窃取到的数据。在数据加密及数据泄露双 重威胁下,用户缴纳赎金的概率将会提高。
CACTUS勒索与以往勒索软件相比较,其最大不同之处是利用7-Zip进行防御规避。 CACTUS 勒索软件使用批处理脚本提取 7-Zip加密保护的勒索软件二进制文件,然后在执行 有效负载之前删除 .7z文件。CACTUS勒索软件在加密前会初始化AES密钥以及OpenSSL库, 通过OpenSSL库提供加密服务。其还通过创建计划任务达到持久化加密文件目的。在加密过 程中,混合使用了 AES 和 RSA 算法,其中,使用 AES 算法对文件数据进行加密,并将加密 后的数据写入文件中,然后使用 RSA 公钥对随机生成的加密密钥进行加密,并在文件夹中留下勒索信息说明文件。为防止受害者通过备份恢复数据,其会删除卷影副本。
