安全研究 >> 安全研究详情

美创安全实验室发布-12月勒索病毒威胁报告

作者: 美创科技安全实验室发布日期: 01月13日

Part 1、12月勒索状况概览


勒索病毒近来一直是黑客组织牟取暴利的绝佳手段,也是发展最快的网络安全威胁之一。勒索病毒通过各种传播方式和演进措施,已经在全球形成了完全成熟的勒索产业链。勒索病毒在攻击过程中围绕目标优质化、攻击精准化、赎金定制化等策略,给中招的企业带来了极高的经济损失。


1、受害者地区分布


下图为12月份被攻击系统所属地域的分布图,与之前几月采集到的数据进行对比,地区排名和占比变化都不大,其规律仍是经济活跃地区、网民多的地方受病毒家族影响更严重一些。





2、受害者所在城市分布


美创安全实验室威胁平台显示,12月份中招者排名前八的地区中广州地区占比高达18%,其次是南京占15%,上海占14%。





3、勒索病毒行业分布


美创安全实验室威胁平台显示,12月份国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。此外,互联网、政府机构、金融、能源也遭到勒索病毒攻击影响。





4、勒索病毒家族分布


下图是美创安全实验室对勒索病毒监测后所计算出的12月份勒索病毒家族流行度占比分布图。Phobos家族占比21%居首位;其次是占比17%的Zeppelin家族;Globeimposter家族以占比14%位居第三。





5、勒索病毒传播方式


下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。





Part 2、本月勒索病毒TOP榜


1、Phobos


Phobos勒索软件家族从2019年开始在全球流行,并持续更新以致出现了大量变种。该病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。该勒索病毒使用“RSA+AES”算法加密文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。





2、Zeppelin


Zeppelin勒索病毒于2019年初首次发现。Zeppelin勒索病毒具有很高的可配置性,可以部署为EXE、DLL或使用PowerShell加载器加载。该勒索病毒采用AES-256算法加密文件。加密后,使得文件无法再打开,并将由字母或数字组成的文件扩展名附加到每个加密文件中。然后,Zeppelin会留下勒索信息文档!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。





3、Globelmposter


Globelmposter勒索病毒首次出现在2017年5月,一直处于活跃阶段。该病毒最著名的是“十二主神”和“十二生肖”系列,其加密后的文件扩展名分别为“希腊十二主神+数字”和“十二生肖+数字”的形式。近日,Globelmposter又出了最新变种,加密后缀为“.CXH”系列。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件。





Part 3、本月大型勒索事件回顾


1、浙江某政企机构遭遇勒索病毒攻击


12月1日,浙江某政企机构遭到勒索病毒攻击。该攻击导致2台数据库服务器被加密。据了解,受感染的服务器中的文件都被添加了“.20D-BFA-666”后缀。根据对被加密样本的分析,可以确定此次攻击的病毒为Zeppelin勒索病毒。Zeppelin勒索病毒通过多种方式进行传播,一旦成功入侵服务器,便会释放病毒程序,加密服务器中的重要文件,并将由字母或数字组成的文件扩展名附加到每个被加密文件中。





在线点评:


1. Zeppelin是一款基于Delphi的“恶意软件即服务”(RaaS),其前身为勒索软件Vega(VegaLocker),于2019年初首次被发现。


2. Zeppelin勒索病毒采用AES-256算法加密文件,然后使用受害者的公共RSA密钥对AES密钥进行加密,再使用随机生成的32字节RC4密钥进一步对其进行混淆。加密后,使得文件无法再打开。


3. 美创安全实验室研究人员发现Zeppelin勒索病毒的最新变种中使用了窃密类木马程序,先盗取受害者数据,再使用病毒文件加密受害者的数据。


2、Sodinokibi勒索病毒攻击某建筑集团


12月11日,某建筑集团遭到勒索病毒攻击,感染了1台财务服务器,导致2019年至今的财务数据全部被加密。据了解,系统中的文件都被添加了“.h83ji7”后缀。根据对被加密样本的分析,可以确定此次攻击的病毒为Sodinokibi勒索病毒。Sodinokibi在执行后,除了加密文件外,同时会进行删除源文件、修改系统配置、删除卷影副本、增加后缀名等多种恶意行为。





在线点评:


1. Sodinokibi勒索病毒已经开始效仿Maze勒索病毒,如果受害者不支付赎金,就公开从受害者那里窃取的数据。


2. Sodinokibi勒索病毒的传播途径主要有:①Web漏洞,曾利用Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725);②带有链接或附件的恶意垃圾邮件或网络钓鱼活动;③使用RIG漏洞利用工具包传播;④通过暴力破解获取到远程桌面的密码后手动投毒,并由被攻陷机器作为跳板,攻击其他内网机器。


3、南京某企业至少10台机器遭勒索软件攻击


12月28日,南京某企业宣布遭到勒索病毒攻击,攻击者设法渗透了其IT网络,用恶意软件感染了某些重要机器。该企业在发现攻击后,立即采取措施加以遏制。经过排查,确认为生产线上的工控机器中毒,至少10台机器被感染。被感染的机器中的所有文件都被添加了“.id[5C632EF0-3009].[decrypt20@vpn.tg].eking”后缀,并且已无法正常打开。通过后缀可确定该病毒为Phobos勒索病毒,该病毒近期异常活跃,针对国内众多行业发起攻击,以“先攻破一台,再覆盖全网”的手法,对受害者内网主机投放勒索病毒进行加密。





在线点评:


1. Phobos勒索病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,再运行勒索病毒。


2. Phobos勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。


3. 美创安全实验室威胁平台近期监控到这款勒索病毒最新的变种样本,病毒变种样本主要以devos、devoe、devil、dever、dewar、calix、actin、acton、actor、acuff、acute等加密后缀为主。


4、某眼科医院遭到Makop勒索病毒攻击


12月29日,某眼科医院遭到勒索病毒攻击,加密了1台数据库服务器。据了解,该服务器上的所有文件被加密,使得文件无法再打开,并将文件扩展名“.[1FEF8AB4].[manage.file@messagesafe.io].makop”附加到每个加密文件中。通过后缀可确定该病毒为Makop勒索病毒,该病毒主要通过恶意邮件进行传播。





在线点评:


1. makop勒索病毒出现于2020年1月下旬,目前已知主要通过恶意邮件渠道传播。


2. Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程,以独占文件完成加密;排除部分加密白名单文件不加密;病毒会尝试加密有写权限的网络共享文件;加密结束后,会删除系统卷影信息,以防止用户通过文件恢复功能找回文件。


3. Makop勒索病毒近期在国内开始活跃,各政企机构务必提高警惕,做好安全防范措施。


5、LockBit勒索病毒针对江西某生产企业进行攻击


12月30日,江西某生产企业遭受了名为LockBit的勒索软件的网络攻击,多台服务器被加密,迫使他们将系统离线以防止攻击蔓延。据该企业内部人士称,攻击已经导致该企业出现了生产停顿问题,因为部分重要数据存储在关闭的系统中,无法获得。





在线点评:


1. Lockbit勒索病毒出现于2019年末,主要利用RPD口令爆破进行传播。


2. 美创安全实验室研究人员通过对Lockbit勒索病毒样本进行分析发现,该病毒使用RSA+AES算法加密文件。


Part 4、勒索病毒攻击趋势


1、目标优质化


现在的勒索病毒,从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。很多企业系统因为管理的原因,或系统版本较低,不能及时安装补丁等客观因素,导致企业网络更容易被入侵,而企业数据的高价值,这便导致企业受害者倾向于支付赎金挽回数据。


2、变种多样化


各个不同的勒索病毒组织之间竞争会越来越激烈,这也会促使这些勒索病毒黑客组织不断更新,推出更多的新型的勒索病毒,同时也会加大在勒索病毒方面的运营手段。


3、赎金定制化


随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。


4、勒索传播场景多样化


过去勒索病毒传播主要以钓鱼邮件、RDP口令爆破为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播,乃至通过软件供应链传播,大大提高了入侵成功率和病毒影响面。


5、威胁公开机密数据成为勒索新手段


当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁公开受害者的机密文件来勒索。Sodinokibi勒索团伙曾在黑客论坛发声,称如果被攻击者拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。


6、勒索病毒多平台扩散


目前受到的勒索病毒攻击主要是windows系统,但也陆续出现了针对MacOS、Linux等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增加。预测勒索病毒运营团队会把更多的目光转向针对云服务器提供商或运营商,对云上的数据进行加密勒索。


7、中文定制化


中国作为拥有10亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。





8、伪勒索,数据破坏


有些勒索家族在感染目标中不断搜寻敏感信息,包括军事机密、银行信息、欺诈、刑事调查文件,行动举止完全不像为了图财。此外,有些“勒索病毒”会对文件玩了命似的多次加密,甚至对文件进行无法修复的破坏,完全断了收赎金的后路。


Part 5、防御方法


面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染。


1、针对个人用户的安全建议


养成良好的安全习惯:


1)使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。


2)重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


3)使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。不使用弱口令,以防止攻击者破解。


4)安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易才去放行操作。


5)及时给电脑打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。


6)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被攻击的风险。


减少危险的上网操作:


7)浏览网页时提高警惕,不浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。


8)不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。


9)电脑连接移动存储设备(如U盘、移动硬盘)时,应首先使用安全软件检测其安全性。


2、针对企业用户的安全建议


1)及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。


2)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。


3)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。


4)企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。


5)对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


6)尽量关闭不必要的文件共享。


7)提高安全运维人员职业素养,定期进行木马病毒查杀。


8)安装诺亚防勒索软件,防御未知勒索病毒。


Part 6美创诺亚防勒索防护能力介绍


为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。


美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。





无诺亚防勒索防护的情况下:在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.198-89F-E84”加密后缀,并且无法正常打开。





开启诺亚防勒索的情况下:双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。






查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


开启堡垒模式的情况下:为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。




服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1 网站地图