安全研究 >> 安全研究详情

美创安全实验室发布-10月勒索病毒报告

作者: 美创科技安全实验室发布日期: 11月16日

01、10月勒索状况概览



本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,主要活动的家族有Globeimposter、Phobos、Sodinokibi、Zeppelin、LockBit等。勒索病毒传播至今,持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒的赎金额度有明显增长。


1、受害者所在地区分布

10月份国内遭受勒索病毒攻击的地区分布图如下所示,依然是经济活跃地区的病毒威胁比其他地区要严重。




2、受害者所在城市分布

美创安全实验室威胁平台显示,10月份中招者排名前八的地区中南京地区占比高达22%,其次是上海占16%,杭州占15%。




3、勒索病毒影响行业分布

美创安全实验室威胁平台显示,10月份国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。


4、勒索病毒家族分布

下图是美创安全实验室对勒索病毒监测后所计算出的10月份勒索病毒家族流行度占比分布图。Globeimposter家族占比22%居首位;其次是占比19%的Phobos;Sodinokibi家族以占比15%位居第三。


5、勒索病毒传播方式

下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。



02、本月勒索病毒TOP榜


1、Globeimposter

Globelmposter勒索病毒首次出现在2017年5月,一直处于活跃阶段。该病毒最著名的是“十二主神”和“十二生肖”系列,其加密后的文件扩展名分别为“希腊十二主神+数字”和“十二生肖+数字”的形式。近日,Globelmposter又出了最新变种,加密后缀为“.CXH”系列。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件。近期国内多家企业、医院等机构中招。


2、Phobos

Phobos勒索软件家族从2019年开始在全球流行,并持续更新以致出现了大量变种。该病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。该勒索病毒使用“RSA+AES”算法加密文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。



3、Sodinokibi

Sodinokibi勒索病毒首次出现于2019年4月底。在Sodinokibi勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从2019年7月份开始,该勒索病毒的攻击手法逐渐演变成较为迅速的RDP爆破。主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,可谓一台失陷,全网遭殃。



03、本月大型勒索事件回顾


1、GlobeImposter勒索病毒攻击上海某集团

上海某集团在10月9日遭到网络攻击。该公司内部消息人士称,在网络攻击期间,黑客设法获得对内部域管理的控制权后,在9台服务器上安装了GlobeImposter勒索软件,并添加了.C4H扩展名。



在线点评:

1. 美创安全实验室威胁平台显示,Globeimposter勒索病毒在近期非常活跃,在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的文件。


2. GlobeImposter是一个变种繁多的勒索病毒家族,并攻击了国内多家大型医院和政企事业单位,美创安全实验室提醒广大用户,警防此病毒攻击!


2、深圳某企业遭Sodinokibi勒索病毒攻击

10月18日,深圳某企业遭到勒索病毒攻击,感染了十几台服务器,迫使该企业关闭了一部分网络以防止勒索病毒传播。据知情人士透露,系统中的重要文件都被加密,添加了“.q0727gjix”后缀,并且无法正常打开。根据对被加密样本的分析,可以确定此次攻击的病毒为Sodinokibi勒索病毒。Sodinokibi在执行加密时,使用RSA+salsa20算法加密电脑上的重要文件,后缀由随机的字母或数字组成。



在线点评:

1. Sodinokibi勒索病毒被称为GandCrab勒索病毒的接班人,该病毒已经在全球大范围传播。美创安全实验室提醒广大用户,警防此病毒攻击!


2. Sodinokibi勒索病毒的传播途径主要有:①Web漏洞,曾利用Confluence漏洞(CVE-2019-3397)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725);②带有链接或附件的恶意垃圾邮件或网络钓鱼活动;③使用RIG漏洞利用工具包传播;④通过暴力破解获取到远程桌面的密码后手动投毒,并由被攻陷机器作为跳板,攻击其他内网机器。


3、成都某企业遭受勒索病毒攻击

10月27日,成都某企业遭到Zeppelin勒索病毒攻击。该攻击导致企业内部多台服务器中招,其中有2台核心服务器。服务器中的重要文件都被添加了.CEA-00C-1A1后缀,通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Zeppelin勒索病毒。在此次攻击中,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。



在线点评:

1. Zeppelin是一款基于Delphi的“恶意软件即服务”(RaaS),其前身为勒索软件Vega(VegaLocker)

,于2019年初首次被发现。


2. Zeppelin勒索病毒超高的可配置性,可以部署为.dll或.exe文件,也可以封装进PowerShell加载器。


3. Zeppelin勒索病毒采用AES-256算法加密文件,然后使用受害者的公共RSA密钥对AES密钥进行加密,再使用随机生成的32字节RC4密钥进一步对其进行混淆。加密后,使得文件无法再打开,并将由字母或数字组成的文件扩展名附加到每个加密文件中。


4、某电磁线经营企业成为LockBit勒索软件的受害者

10月28日,某电磁线经营企业遭到LockBit勒索病毒攻击,加密了1台数据库服务器,导致部分业务中断。据了解,此次的勒索病毒加密后缀为“.lockbit”。LockBit勒索病毒主要通过RDP口令爆破进行传播,然后使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。



在线点评:

1. Lockbi勒索病毒出现于2019年末,此前主要活跃在国外,根据当前样本分析,其进程结束列表内已经出现了国产安全软件,这也代表着该病毒团伙已将其狩猎目标拓展到了国内。


5、某贸易公司遭到Phobos勒索软件攻击

某贸易公司Steelcase遭到了Phobos勒索软件攻击,十几台服务器中招,迫使关闭网络以遏制进一步感染。该公司内部消息人士称,10月29日在信息系统上发现了网络攻击,当时迅速采取了一系列遏制措施来解决该事件,包括临时关闭受影响的系统和相关操作。目前,该公司尚不清楚此次攻击导致其系统的任何数据丢失或任何其它资产损失。



在线点评:


1. Phobos于2019年8月首次发现,这款勒索病毒与CrySiS(Dharma)勒索病毒在一些行为表现上非常相似。


2. Phobos通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。


3. 美创安全实验室威胁平台近期监控到这款勒索病毒最新的变种样本,病毒变种样本主要以devos、devoe、devil、dever、dewar、calix、actin、acton、actor、acuff、acute等加密后缀为主。


04、勒索病毒攻击趋势


1、从普通用户专向中大型政企

现在的勒索病毒,从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。很多企业系统因为管理的原因,或系统版本较低,不能及时安装补丁等客观因素,导致企业网络更容易被入侵,而企业数据的高价值,这便导致企业受害者倾向于支付赎金挽回数据。


2、变种多样化


各个不同的勒索病毒组织之间竞争会越来越激烈,这也会促使这些勒索病毒黑客组织不断更新,推出更多的新型的勒索病毒,同时也会加大在勒索病毒方面的运营手段。


3、勒索赎金定制化


随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。


4、勒索病毒传播场景多样化


过去勒索病毒传播主要以钓鱼邮件、RDP口令爆破为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播,乃至通过软件供应链传播,大大提高了入侵成功率和病毒影响面。


5、威胁公开机密数据成为勒索攻击新手段


当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁公开受害者的机密文件来勒索。Sodinokibi勒索团伙曾在黑客论坛发声,称如果被攻击者拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。


6、勒索病毒多平台扩散


目前受到的勒索病毒攻击主要是windows系统,但也陆续出现了针对MacOS、Linux等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增加。预测勒索病毒运营团队会把更多的目光转向针对云服务器提供商或运营商,对云上的数据进行加密勒索。


7、中文定制化


中国作为拥有10亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。


8、伪勒索,数据破坏


有些勒索家族在感染目标中不断搜寻敏感信息,包括军事机密、银行信息、欺诈、刑事调查文件,行动举止完全不像为了图财。此外,有些“勒索病毒”会对文件玩了命似的多次加密,甚至对文件进行无法修复的破坏,完全断了收赎金的后路。


05、防御方法


面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染。


1、针对个人用户的安全建议


养成良好的安全习惯


1)使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。


2)重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


3)使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。不使用弱口令,以防止攻击者破解。


4)安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易才去放行操作。


5)及时给电脑打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。


6)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被攻击的风险。


减少危险的上网操作


7)浏览网页时提高警惕,不浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。


8)不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。


9)电脑连接移动存储设备(如U盘、移动硬盘)时,应首先使用安全软件检测其安全性。


2、针对企业用户的安全建议


1)及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。


2)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。


3)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。


4)企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。


5)对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


6)尽量关闭不必要的文件共享。


7)提高安全运维人员职业素养,定期进行木马病毒查杀。


8)安装诺亚防勒索软件,防御未知勒索病毒。


06、美创诺亚防勒索防护能力介绍


为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。


美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。


无诺亚防勒索防护的情况下:在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.198-89F-E84”加密后缀,并且无法正常打开。



开启诺亚防勒索的情况下:双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。



查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


开启堡垒模式的情况下:为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1 网站地图