一、Lockbit恐吓软件编译器遭“愤怒的开发者”在线泄漏
二、MSSQL服务器被TargetCompany恐吓软件攻打
三、Cisco确认阎罗王恐吓软件窃取了其失窃的公司数据
基于对360反恐吓数据的剖析研判,360银企安全集团中级恐吓研究剖析中心(CCTGA恐吓软件防范应对工作组成员)发布本报告。
感染数据剖析
针对本月恐吓软件被害者所中恐吓软件家族进行统计,TellYouThePass家族占比19.95%居首位,其次是占比14.89%的phobos,TargetCompany(Mallox)家族以12.77%高踞第三。
TellYouThePass即使在本月没有继续大规模发起功击,而且之前的中招反馈仍持续一段时间。
Phobos做为国外老牌恐吓家族,流行热度仍然比较高,主要通过暴破远程桌面传播。
LockBit恐吓软件因招募大量附属机构,因而其功击目标广泛,在国外不止针对中小型企业发起双重恐吓功击,就会对大型企业发起纯恐吓功击。
对本月被害者所使用的操作系统进行统计,高踞前三的是:Windows10、WindowsServer2008以及WindowsServer2012。
2022年9月被感染的系统中桌面系统和服务器系统占比显示,受功击的系统类型仍以桌面系统为主。
恐吓软件疫情剖析Lockbit恐吓软件编译器遭“愤怒的开发者”在线泄漏
LockBit恐吓软件受到破坏,据称该结伙最新生成被心怀不满的内部开发人员窃取了。
去年6月,LockBit恐吓软件发布了她们的3.0版加密器,代号为LockBitBlack,目前早已经过了两个月的测试。
而该版本恐吓加密器则承诺“让恐吓软件再度伟大”。其中添加新的反剖析功能、勒索软件漏洞赏金计划和新的敲诈方式。
但是,目前有两个Twitter帐号在Twitter上窃取了LockBit3.0主程序的生成器。据称,泄露者是Lockbit恐吓软件小组雇佣的程序员,她们对Lockbit的领导层倍感不满,于是决定窃取了该程序的生成器。
MSSQL服务器被TargetCompany恐吓软件攻打
研究人员称,在新一波TargetCompany(Mallox)恐吓软件功击中,易受功击的MicrosoftSQL服务器正成为功击目标。
安全研究人员表示,TargetCompany(Mallox)是目前主流的恐吓软件之一,该家族过去被称为“Mallox”,着是因为被其加密的文件会被添加“.Mallox”作为新扩充名而得名。据悉,该恐吓软件也可能与二月份发觉的“TargetCompany”勒索软件同宗。
恐吓软件感染源于被功击机器上的MS-SQL主程序通过cmd.exe和powershell.exe命令行来下载.NET文件。这让功击者可以借助有效荷载获取其他恶意软件(包括加密器),生成并运行中止特定进程和服务的BAT文件。
接出来e语言程序破解,恐吓软件荷载将自己注入AppLaunch.exe——一个合法的Windows进程中,并尝试删掉名为Raccine的开源恐吓软件免疫注册表项。
据悉,恶意软件会停用数据库恢复功能并中止数据库相关进程,使其内容可用于加密。
Cisco确认阎罗王恐吓软件窃取了其失窃的公司数据
Cisco已否认,“阎罗王”勒索软件结伙今天泄漏的数据是其在5月的网路功击中从该公司网路泄露的。但Cisco同时表示,泄露不会改变该风波对业务没有影响的初步评估。
此前,在八月份的一份报告中e语言程序破解,Cisco曾承认黑客入侵了其三名职工的VPN账户后造成其网路被“阎罗王”勒索软件破坏。但失窃数据均为来自职工Box文件夹的非敏感文件,但是在“阎罗王”勒索软件开始加密系统之前就早已遏止了功击。
而“阎罗王”勒索软件方面则辩称并非这么——但并没有提供任何明晰的证据,只分享了一个屏幕截图来表现其对虽然是开发系统的平台具有访问权限。
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
表格1.黑客邮箱
当前,通过双重恐吓或多重恐吓模式获利的恐吓软件家族越来越多,恐吓软件所带来的数据泄漏的风险也越来越大。以下是本月通过数据泄漏获利的恐吓软件家族占比,该数据仅为无法第一时间收取赎金或拒缴交赎金部份(早已支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重恐吓软件家族功击的企业或个人。若未发觉被数据存在泄漏风险的企业或个人也请第一时间自查,做好数据已被泄漏打算,采取补救举措。
本月总共有379个组织/企业遭到恐吓功击,其中包含中国14个组织/企业在本月遭到了双重恐吓/多重敲诈。
表格2.被害组织/企业
系统安全防护数据剖析
360系统安全产品,针对服务器进行全量下发系统安全防护功能,针对非服务器版本的系统仅在发觉被功击时才下发防护。在本月被功击的系统版本中,排名前三的依次为WindowsServer2008、Windows7以及WindowsServer2003。
对2022年9月被功击系统所属地域统计发觉,与之前几个月采集到的数据进行对比,地区排行和占比变化均不大。数字经济发达地区仍是功击的主要对象。
通过观察2022年9月弱口令功击态势发觉,RDP弱口令功击、MYSQL弱口令功击和MSSQL弱口令功击整体无较大波动。
恐吓软件关键词
以下是本月入选活跃恐吓软件关键词统计,数据来自360恐吓软件搜索引擎。
locked:属于TellYouThePass恐吓软件家族,因为被加密文件后缀会被更改为locked而成为关键词。该家族主要通过各类软件漏洞、系统漏洞进行传播。
devos:该后缀有三种情况,均因被加密文件后缀会被更改为devos而成为关键词。但本月活跃的是phobos恐吓软件家族,该家族的主要传播形式为:通过暴力破解远程桌面口令成功后自动投毒。
360:属于BeijngCrypt恐吓软件家族,因为被加密文件后缀会被更改为360而成为关键词。该家族主要的传播形式为:通过暴力破解远程桌面口令成功后自动投毒,本月新增通过数据库弱口令功击进行传播。
fargo3:属于TargetCompany(Mallox)恐吓软件家族,因为被加密文件后缀会被更改为fargo3。该家族传播渠道有多个,包括匿隐僵尸网路、横向渗透以及数据库弱口令爆破和远程桌面弱口令爆破。
eking:属于phobos恐吓软件家族,因为被加密文件后缀会被更改为eking而成为关键词。该家族的主要传播形式为:通过暴力破解远程桌面口令成功后自动投毒。
mkp:属于Makop恐吓软件家族,因为被加密文件后缀会被更改为mkp而成为关键词。该家族主要的传播形式为:通过暴力破解远程桌面口令成功后自动投毒。
Lockbit:属于LockBit恐吓软件家族,初期被该家族加密的文件扩充名会被更改为lockbit,但从LockBit3.0版本后,扩充名采用随机字符串,同时其文件名也将被更改。因为LockBit家族是一个极其庞大的窝点,招募了大量附属机构,因而其传播方法一般无固定的渠道,除了限于远程桌面爆破、数据库弱口令功击、漏洞借助、钓鱼电邮等均可作为该家族的传播渠道。
elbie:同eking。
world2022decoding:属于Honest恐吓软件家族,因为被加密文件后缀会被更改为world2022decoding而成为关键词。该家族的主要传播形式为:通过暴力破解远程桌面口令成功后自动投毒。
aamv:属于Stop恐吓软件家族,因为被加密文件后缀会被更改为aamv而成为关键词。该家族主要传播形式为:通过伪装成破解软件或则激活功击,诱导用户下载运行。
揭秘大师
从揭秘大师本月揭秘数据看,揭秘量最大的是GandCrab,其次是Sodinokibi。使用揭秘大师揭密文件的用户数目最高的是被Stop家族加密的设备,其次是被CryptoJoker家族加密的设备。
