2023年8月勒索软件流行态势分析

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2023年8月，全球新增的活跃勒索软件家族有INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor等家族。

以下是本月值的关注的部分热点：

1. TellYouThePass再度来袭，集中攻击OA及财务类系统平台

2. Rhysida勒索软件被锁定为近期针对医保系统的攻击事件幕后黑手

3. 日本钟表制造商精工遭BlackCat勒索软件团伙攻击

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比18.18%居首位，第二的是占比16.78%的TellYouThePass，BeijingCrypt家族以15.38%位居第三。

其中，位居第二的TellYouThePass，在8月最后一个周末，利用web漏洞发动大面积攻击。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

2023年8月被感染的系统中，桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当。

勒索软件热点事件
TellYouThePass再度来袭，集中攻击OA及财务类系统平台
8月27日，发生一起针对OA、财务类系统平台的勒索投毒攻击事件，攻击目标主要为畅捷通财务管理软件，投递病毒为“TellYouThePass”勒索病毒。此次攻击的范围波及大约1000台服务器，目前攻击所使用的载荷已下线，但攻击本身仍在自动执行中。

攻击现场如下：

目前已发现的攻击载荷如下（目前均已下线）：

hxxp://45.95.174.125/logout.hta

hxxp://45.95.173.29/a

“TellYouThePass”勒索病毒家族是一种勒索软件，最早于2019年3月出现。由于其背后始终是由单一黑客组织运营，因此该黑客组织也同样被称为TellYouThePass。根据现有线索推断，该组织为国内黑客团伙，其惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对暴露于网络上并存在有漏洞的机器发起攻击。

其曾经使用过的代表性漏洞有：“永恒之蓝”系列漏洞、WebLogic应用漏洞、Log4j2漏洞、用友OA漏洞、畅捷通漏洞等。而一旦攻击成功后，便会投递勒索病毒实施加密，并向被加密的文件添加后缀名为“.locked”。

该家族在去年发动了几轮攻击后，已经逐渐销声匿迹。但今年6月初，TellYouThePass再次卷土重来，利用畅捷通T+财务管理系统中存在的命令执行漏洞发起攻击发起了一波较为强势的攻击。而本轮攻击是今年其“重出江湖”后的第二次大规模勒索攻击。希望广大政企单位对各类网络服务、OA及财务类应用的安全问题提起重视，及时修补漏洞并进行有效的安全监控和管理。

Rhysida勒索软件被锁定为近期针对医保系统的攻击事件幕后黑手
近期针对医疗机构的一波攻击迫使美国政府机构和网络安全公司更加密切地关注Rhysida勒索软件。在美国卫生与公众服务部(HHS)发布安全公告后，CheckPoint、思科Talos和趋势科技均发布了有关Rhysida的报告，对其攻击者进行密切关注。今年6月，Rhysida在其数据泄露网站上泄露了从智利陆军（Ejército de Chile）窃取的文件后首次进入公众视野。在当时，安全人员对Rhysida的初步分析表明，该勒索软件正处于早期开发阶段，缺少大多数病毒株中常见的标准功能。如持久性机制、卷影复制擦除、进程终止等。

而近期Rhysida在暗网数据泄露网站列出了澳大利亚的一家医疗机构，并在对外宣称这些数据被盗之前曾给对方一周的时间支付赎金。根据美国卫生与公众服务部(HHS)8月初发布的一份公告警告称：虽然Rhysida仍在使用较为基础的加密程序，但其扩散规模已发展到了非常危险的程度。最近，攻击者更是表现出对医疗保健相关机构的特别关注。

据消息人士透露，Rhysida是近期Prospect Medical Holdings遭受网络攻击的幕后黑手。该公司的系统目前仍然因受到攻击而中断，并已影响了美国各地的17家医院和166家诊所。 但Rhysida尚未宣布对此次攻击负责，PMH也没有公布有关勒索软件团伙是否是此次攻击幕后黑手的电子邮件。

日本钟表制造商精工遭BlackCat勒索软件团伙攻击
2023年8月10日，精工公司曾发布了一份数据泄露通知，通知称未经授权的第三方获得了对其IT基础设施至少是部分的访问权限，并可能窃取了内部数据。精工的声明中写道：“似乎在2023年7月28日，一股身份不明的团体在未经授权的情况下获得了对我们至少一台服务器的访问权限。”……“随后的8月2日，我们委托外部网络安全专家团队对情况进行调查和评估。”……“因此，我们现在可以合理地确定存在被入侵的情况，并且我们公司及集团公司存储的一些信息可能已遭到泄露。”据此，精工向可能受影响的客户及业务合作伙伴道歉，并敦促他们警惕可能冒充精工的电子邮件或其他信息。

而在8月21日，BlackCat勒索软件组织声称是精工遭到攻击事件的幕后黑手，并发布了他们声称在攻击期间窃取到的数据样本。在发布页中，攻击者一并嘲笑了精工的IT安全性，并泄露了疑似是生产计划、员工护照扫描件、新型号发布计划和专项实验室测试结果等内容。最令人担忧的是，攻击者泄露了他们声称是机密技术原理图和精工手表设计的数据样本。

目前，精工方面尚未对当前发生的数据泄露事件发表回应。

黑客信息披露
以下是本月收集到的黑客邮箱信息：

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows Server 2012。

对2023年8月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2023年8月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

l  locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。

l  360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。

l  devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l  halo：同360。

l  mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。

l  faust：同devos。

l  malloxx：同mallox。

l  wis：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l  mkp：同wis。

l  malox：同mallox。

解密大师
从解密大师本月解密数据看，解密量最大的是GandCrab，其次是Loki。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

作者：樱花色的彼方 https://www.bilibili.com/read/cv26339582/?from=search&spm_id_from=333.337.0.0 出处：bilibili