2022勒索軟件流行態(tài)勢報(bào)告-2023.11

2022

年勒索軟件流行態(tài)勢報(bào)告高級(jí)威脅研究分析中心2023

年

1

月前言本次報(bào)告以

2022

年全年

360

政企安全高級(jí)威脅研究分析中心反病毒部（CCTGA

勒索軟件防范應(yīng)對(duì)工作組成員）所監(jiān)測、分析與處置的勒索軟件事件為數(shù)據(jù)基礎(chǔ)，并結(jié)合國內(nèi)外與勒索軟件研究相關(guān)權(quán)威數(shù)據(jù)及新聞報(bào)道進(jìn)行綜合研判、梳理與匯總而成。將重點(diǎn)關(guān)注國內(nèi)勒索軟件的發(fā)展動(dòng)態(tài)，同時(shí)也加入了國際熱點(diǎn)事件與形勢的分析判斷，旨在評(píng)估勒索軟件在2022

年所展現(xiàn)出來的傳播及演化態(tài)勢，進(jìn)而對(duì)勒索軟件在未來可能會(huì)產(chǎn)生的發(fā)展方向進(jìn)行探究，以此幫助個(gè)人、企業(yè)、政府機(jī)構(gòu)更好的做出安全規(guī)劃，降低被勒索攻擊風(fēng)險(xiǎn)。360

反病毒部是

360

政企安全集團(tuán)的核心能力支持部門，由一批常年奮戰(zhàn)在網(wǎng)絡(luò)安全一線的攻防對(duì)抗專家組成。部門負(fù)責(zé)流行病毒木馬的監(jiān)測、防御、處置和新安全威脅研究。維護(hù)著

360

高級(jí)威脅主動(dòng)防御系統(tǒng)、360

反勒索服務(wù)等基礎(chǔ)安全服務(wù)，并為用戶提供了橫向滲透防護(hù)、無文件攻擊防護(hù)、軟件劫持防護(hù)、挖礦木馬防護(hù)等多項(xiàng)防護(hù)功能，保護(hù)廣大網(wǎng)民上網(wǎng)安全。光明網(wǎng)網(wǎng)絡(luò)安全頻道是光明網(wǎng)主辦的一級(jí)重點(diǎn)頻道，于

2022

年

1

月份創(chuàng)建上線，秉持“共建網(wǎng)絡(luò)安全

共享網(wǎng)絡(luò)文明”的宗旨，設(shè)置了行業(yè)要聞、大智移云、數(shù)字安全、隱私保護(hù)、技術(shù)前沿、網(wǎng)安科普、評(píng)論觀察、對(duì)話訪談等欄目。網(wǎng)絡(luò)安全頻道成立一年來，持續(xù)關(guān)注互聯(lián)網(wǎng)及網(wǎng)絡(luò)安全發(fā)展態(tài)勢，通過組織品牌活動(dòng)、開設(shè)重點(diǎn)欄目、輸出科普產(chǎn)品等方式，在互聯(lián)網(wǎng)及網(wǎng)絡(luò)安全領(lǐng)域取得良好反響。摘要

360

反勒索服務(wù)全年共接收并處理了超

4700

例勒索軟件攻擊求助，其中近

4300

例確認(rèn)遭受勒索軟件攻擊。全年總體勒索相關(guān)反饋量較為平穩(wěn)，僅在

10

月、11

月這兩個(gè)月反饋量有所下降。

國內(nèi)流行勒索軟件家族以

phobos、Magniber、TellYouThePass

為主，這三大勒索軟件家族的受害者占比約為

37.3%。逐月分析流行勒索軟件各家族占比，則發(fā)現(xiàn)通過弱口令或偽裝成激活/破解軟件進(jìn)行傳播的勒索軟件家族感染量都相對(duì)平穩(wěn)。勒索軟件加密手段日漸趨同，說明主流技術(shù)方案已基本成熟，也意味著通過代碼漏洞破解勒索軟件將會(huì)越來越困難。遠(yuǎn)程桌面雖然仍舊是勒索軟件最主要的入侵方式，但網(wǎng)頁掛馬及漏洞攻擊兩種入侵手段的利用率在今年則均有顯著提升。三種入侵方式在總?cè)肭至恐姓急瘸^

7

成。雙重/多重勒索已成發(fā)展趨勢，LockBit、BlackCat(ALPHV)、Black

Basta

三大家族領(lǐng)頭，其中

BlackCat(ALPHV)更是以

2022

年新型家族的身份占據(jù)“榜眼”位置。雙重/多重勒索的重點(diǎn)攻擊目標(biāo)鎖定在加工制造、服務(wù)、金融與貿(mào)易等行業(yè)。美國成為此類攻擊的重災(zāi)區(qū)。勒索軟件家族更迭不休，既有新增也有消亡。各國警方打擊成為勒索軟件消亡的主要原因。廣東、山東、浙江三省遭勒索軟件攻擊最多。桌面操作系統(tǒng)依然是受攻擊的主要目標(biāo)，而

NAS

等特種設(shè)備則繼去年進(jìn)入勒索軟件的攻擊視野后受到攻擊者的“青睞”，受攻擊占量進(jìn)一步提高。

教育、軟件&互聯(lián)網(wǎng)、制造業(yè)成為國內(nèi)最受勒索軟件的主要目標(biāo)，據(jù)分析這可能與疫情影響下與網(wǎng)課增長有關(guān)。在攻擊

IP

來源方面，IP

地址歸屬俄羅斯的成為勒索攻擊的第一大來源，英國、荷蘭等地則緊隨其后。勒索軟件聯(lián)系郵箱超

9

成為匿名郵箱，難以溯源。勒索軟件入侵手段并未發(fā)生重大變動(dòng)，但各類漏洞的利用則在形形色色的入侵手段中扮演了越發(fā)重要的作用。目錄第一章

勒索軟件攻擊形勢........................................................................................................

1一、

勒索軟件概況.............................................................................................................................

1(一)

勒索家族分布.........................................................................................................................2(二)

主流勒索軟件趨勢.................................................................................................................3(三)

加密方式分布.........................................................................................................................4(四)

編譯時(shí)間看勒索軟件.............................................................................................................5(五)

勒索贖金分析.........................................................................................................................5二、

勒索軟件傳播方式.....................................................................................................................

6三、

多重勒索與數(shù)據(jù)泄露.................................................................................................................

7(一)

行業(yè)統(tǒng)計(jì).................................................................................................................................7(二)

國家與地區(qū)分布.....................................................................................................................8(三)

家族統(tǒng)計(jì).................................................................................................................................9(四)

逐月統(tǒng)計(jì)...............................................................................................................................10(五)

數(shù)據(jù)泄露的負(fù)面影響...........................................................................................................11四、

勒索軟件家族更替...................................................................................................................

13(一)

每月新增傳統(tǒng)勒索情況.......................................................................................................13(二)

每月新增雙重/多重勒索情況.............................................................................................15第二章

勒索軟件受害者分析..................................................................................................

17一、

受害者所在地域分布...............................................................................................................

17二、

受攻擊系統(tǒng)分布.......................................................................................................................

18三、

受害者所屬行業(yè).......................................................................................................................

19四、

受害者支付贖金情況...............................................................................................................

20五、

對(duì)受害者影響最大的文件類型...............................................................................................

21六、

受害者遭受攻擊后的應(yīng)對(duì)方式...............................................................................................

21第三章

勒索軟件攻擊者分析..................................................................................................

23一、

黑客使用

IP..............................................................................................................................

23二、

勒索聯(lián)系郵箱的供應(yīng)商分布...................................................................................................

23三、

攻擊手段...................................................................................................................................

24(一)

弱口令攻擊...........................................................................................................................24(二)

橫向滲透...............................................................................................................................25(三)

利用系統(tǒng)與軟件漏洞攻擊...................................................................................................26(四)

掛馬與釣魚攻擊...................................................................................................................28(五)

破解軟件與激活工具...........................................................................................................29(六)

僵尸網(wǎng)絡(luò)...............................................................................................................................30(七)

供應(yīng)鏈攻擊...........................................................................................................................30第四章

勒索軟件發(fā)展新趨勢分析...........................................................................................31一、

勒索軟件攻擊發(fā)展...................................................................................................................

31(一)

Wiper

勒索在現(xiàn)代戰(zhàn)爭中顯現(xiàn)威力，成為年度熱點(diǎn)........................................................31(二)

勒索常態(tài)化，雙重勒索在國內(nèi)蔓延...................................................................................31(三)

國內(nèi)現(xiàn)規(guī)?；簦粢鈭D多元化...............................................................................32(四)

云服務(wù)面臨的多重勒索風(fēng)險(xiǎn)...............................................................................................32二、

勒索軟件的防護(hù)、處置與打擊...............................................................................................

32(一)

以創(chuàng)新驅(qū)動(dòng)反勒索技術(shù)發(fā)展——安全產(chǎn)品競爭熱點(diǎn).......................................................32(二)

加密貨幣監(jiān)管，斬?cái)嗬账髻Y金鏈條...................................................................................33第五章

安全建議......................................................................................................................34一、

針對(duì)企業(yè)用戶的安全建議.......................................................................................................

34(一)

發(fā)現(xiàn)遭受勒索軟件攻擊后的處理流程...............................................................................34(二)

企業(yè)安全規(guī)劃建議...............................................................................................................34(三)

遭受勒索軟件攻擊后的防護(hù)措施.......................................................................................35二、

針對(duì)個(gè)人用戶的安全建議.......................................................................................................

36(一)

養(yǎng)成良好的安全習(xí)慣...........................................................................................................36(二)

減少危險(xiǎn)的上網(wǎng)操作...........................................................................................................36(三)

采取及時(shí)的補(bǔ)救措施...........................................................................................................36三、

不建議支付贖金.......................................................................................................................

36四、

勒索事件應(yīng)急處置清單...........................................................................................................

37附錄

1.

2022

年勒索軟件大事件............................................................................................39一、

2022

年

QNAP

設(shè)備多次遭到勒索攻擊....................................................................................

39二、

本土勒索軟件家族

COFFEE

開始傳播........................................................................................42三、

烏克蘭連番遭遇多輪“擦除器”攻擊...................................................................................

44四、

LAPSUS$頻繁作案，天才少年被捕.........................................................................................

45五、

MAGNIBER

偽裝成

WINDOWS

升級(jí)包進(jìn)行傳播................................................................................46六、

哥斯達(dá)黎加遭

CONTI

攻擊宣布國家進(jìn)入緊急狀態(tài).................................................................

48七、

新型勒索軟件

7LOCKER

通過

OA

系統(tǒng)漏洞進(jìn)行傳播................................................................49八、

LOCKBIT

3.0

來襲......................................................................................................................

50九、

SAFESOUND

勒索軟件已被破解...................................................................................................

54十、

TELLYOUTHEPASS

針對(duì)中小微企業(yè)用戶發(fā)起大規(guī)模勒索攻擊...................................................55附錄

2.

360

安全衛(wèi)士反勒索防護(hù)能力...................................................................................57一、

弱口令防護(hù)能力.......................................................................................................................

57二、

數(shù)據(jù)庫保護(hù)能力.......................................................................................................................

59三、

WEB

服務(wù)漏洞攻擊防護(hù).............................................................................................................

59四、

橫向滲透防護(hù)能力...................................................................................................................

60五、

漏洞防護(hù)能力...........................................................................................................................

61六、

提權(quán)攻擊防護(hù)...........................................................................................................................

63七、

掛馬網(wǎng)站防護(hù)能力...................................................................................................................

63八、

釣魚郵件附件防護(hù)...................................................................................................................

64附錄

3.

360

解密大師..............................................................................................................65附錄

4.

360

勒索軟件搜索引擎..............................................................................................

66第一章

勒索軟件攻擊形勢2022

年，從俄烏戰(zhàn)爭到疫情的新變化，國內(nèi)外發(fā)生了一系列大事件，也影響著網(wǎng)絡(luò)安全的發(fā)展形勢。在勒索軟件攻擊方面，相較于過去幾年，2022

年勒索軟件整體傳播勢頭相對(duì)平穩(wěn)，雖然每月均有新增家族，各家族也在不斷試探著新的傳播形式與勒索模式，但全年未出現(xiàn)特別大規(guī)模的攻擊事件。這其中，俄烏之間互投多輪“擦除器”勒索軟件攻擊事件，進(jìn)一步展現(xiàn)了網(wǎng)絡(luò)戰(zhàn)在現(xiàn)代戰(zhàn)爭與國際對(duì)抗中的應(yīng)用。此外，LockBit

更新至

3.0

版的同時(shí)也加強(qiáng)了對(duì)大型政企目標(biāo)的攻勢；而

Conti

更是直接瞄準(zhǔn)各國政府發(fā)起攻擊，該家族甚至一度讓哥斯達(dá)黎加國家政府由于勒索攻擊而停擺。這都預(yù)示著勒索攻擊，已經(jīng)不局限于對(duì)個(gè)人或企業(yè)造成威脅，其攻擊影響已經(jīng)開始觸及國家安全。2022

年，國內(nèi)的勒索軟件流行情況依然不容樂觀，攻擊此起彼伏，以

Coffee

為代表的本土勒索軟件強(qiáng)勢興起，意味著這一條黑色產(chǎn)業(yè)鏈也已經(jīng)在國內(nèi)扎根。已經(jīng)有越來越多的不法人員有組織的參與其中——這將對(duì)國內(nèi)未來的網(wǎng)絡(luò)安全形成更多挑戰(zhàn)。總體而言，2022

年的勒索軟件攻擊事件數(shù)量相對(duì)平穩(wěn)，但勒索軟件攻擊引起的數(shù)據(jù)泄露量則有較明顯上漲，且國內(nèi)勒索黑產(chǎn)的發(fā)展，將給未來帶來更多挑戰(zhàn)。根據(jù)

360

安全大腦統(tǒng)計(jì)，2022

年共處理反勒索服務(wù)求助案例

4700

余例。反饋案例中，單個(gè)企業(yè)大面積中招的事件進(jìn)一步增多，攻擊影響依然在逐步擴(kuò)大。本章將對(duì)

2022

年全年，360

政企安全檢測到的勒索軟件相關(guān)事件與數(shù)據(jù)進(jìn)行分析，并給出解讀。一、

勒索軟件概況2022

年全年,360

反勒索服平臺(tái)、360

解密大師兩個(gè)渠道，一共接收并處理了近

4700

位遭遇勒索軟件攻擊的受害者求助，其中近

4300

位經(jīng)核實(shí)確認(rèn)為遭受了勒索軟件的攻擊。1下圖給出了在

2022

年全年，每月通過

360

安全衛(wèi)士反勒索服務(wù)和

360

解密大師渠道提交申請(qǐng)并最終確認(rèn)感染勒索軟件的有效求助量情況。2022

年整體勒索反饋量較為平穩(wěn)。僅在

10

月、11

月兩個(gè)月，由于沒有主流的勒索軟件出現(xiàn)重要更新變種亦未出現(xiàn)較為流行的新型勒索軟件，故對(duì)應(yīng)的反饋量也有所下降。而在其它幾個(gè)月的反饋量都維持在一個(gè)相對(duì)穩(wěn)定的量級(jí)，未出現(xiàn)較大波動(dòng)。(一)勒索家族分布下圖給出的是根據(jù)

360

反勒索服務(wù)和

360

解密大師數(shù)據(jù)所計(jì)算出的

2022

年勒索軟件家族流行占比分布圖。其中，PC

端系統(tǒng)中

phobos、Magniber、TellYouThePass

這三大勒索軟件家族的受害者占比最多。TOP10

家族中僅

Rook

勒索軟件是在

2022

年

1

月初被發(fā)現(xiàn)的新型勒索家族，其它2勒索軟件均在去年甚至以往數(shù)年里始終處于活躍狀態(tài)。值的注意的是，在今年的

TOP10

家族中，僅

3

個(gè)勒索家族（phobos、Makop、Buran）仍只利用暴力破解遠(yuǎn)程桌面成功后手動(dòng)投毒進(jìn)行傳播，勒索軟件的傳播方式越來越多樣化。(二)主流勒索軟件趨勢我們匯總了

2022

年的各月的勒索軟件家族月度感染量

TOP10

數(shù)據(jù)，發(fā)現(xiàn)僅通過弱口令進(jìn)行傳播的

phobobs、Makop、Buran

勒索軟件家族感染量相對(duì)平穩(wěn)；同時(shí)通過偽裝成破解軟件/激活工具的

Stop

勒索軟件家族在今年感染量也趨于相對(duì)平穩(wěn)；而通過其它渠道進(jìn)行傳播的勒索軟件家族則受傳播渠道本身的不穩(wěn)定性影響，對(duì)應(yīng)的感染量波動(dòng)也會(huì)相對(duì)較大，例如：

利用掛馬網(wǎng)站進(jìn)行傳播的

Magniber

勒索軟件，在

1

月、5

月出現(xiàn)快速增長，并在

6

月小幅落回后逐漸消失。利用各種系統(tǒng)、軟件漏洞進(jìn)行傳播的

TellYouThePass

勒索軟件家族，在

8

月出現(xiàn)爆發(fā)式增長，但爆發(fā)勢頭僅維持了不足一個(gè)月后便在

9

月大幅度回落，后又在

12

月再次出現(xiàn)感染量大幅度增長。

利用“匿影”僵尸網(wǎng)絡(luò)進(jìn)行傳播的

Rook

勒索軟件家族則僅在

2

月、4

月出現(xiàn)過兩輪爆發(fā)式增長。3(三)加密方式分布我們對(duì)

2022

年仍在流行且具有一定代表性的勒索軟件家族進(jìn)行分析。統(tǒng)計(jì)了各家族的加密算法及相關(guān)信息，基本情況如下表：家族名稱編譯語言加密算法RSA1024AES256非對(duì)稱密鑰生成BeijingCryptC++內(nèi)置的

RSA-1024

公鑰RSA1024AES/Chacha20RSA2048/512AES256BlackCatBuranHiveRustDelphiGo內(nèi)置的

RSA-1024

公鑰內(nèi)置的

RSA-2048

公鑰內(nèi)置算法生成的

RSA-512

密鑰對(duì)RSA4096內(nèi)部實(shí)現(xiàn)流加密RSA1024內(nèi)部實(shí)現(xiàn)Chacha20RSA2048AES256內(nèi)置的

RSA-4096

公鑰內(nèi)置的

RSA-1024

公鑰LockBitC++內(nèi)置的

RSA-2048

公鑰LokiC#CSP

生成的

RSA-2048

密鑰對(duì)RSA1024AES256MakopphobosC++C++內(nèi)置的

RSA-1024

公鑰內(nèi)置的

RSA-1024

公鑰RSA1024AES256Curve25519AES256內(nèi)置的

Curve25519

公鑰RevilC++內(nèi)置算法生成的

Curve25519

密鑰對(duì)Salsa20RSA1024Salsa20StopC++MASMC#使用從服務(wù)器下載文件中的

RSA-1024

公鑰內(nèi)置的

RSA-1024

公鑰RSA1024AES128MagniberRSA1024AES256內(nèi)置的

RSA-1024

公鑰TellyouthepassRSACryptoServiceProvide

生成的

RSA-1024

密鑰對(duì)2022

年代表性勒索軟件家族編寫語言及算法實(shí)現(xiàn)方案經(jīng)匯總整理后發(fā)現(xiàn)，雖然各個(gè)勒索軟件家族都有各自的發(fā)展方向——有些甚至互相排擠，但在一些基礎(chǔ)技術(shù)方案上，各個(gè)家族都有“趨同”的表現(xiàn)。即：

加密方案均使用對(duì)稱加密算法與非對(duì)稱加密算法相互結(jié)合的多級(jí)加密方案。初始密鑰均采用內(nèi)置非對(duì)稱加密公鑰的方法，來兼顧加密強(qiáng)度和解密的靈活性。均開始使用分片加密、頭部數(shù)據(jù)加密等方法，以此來提升加密速度。以上這些共性可以看出，勒索軟件在長期對(duì)抗中，越來越趨向?qū)I(yè)化與標(biāo)準(zhǔn)化，可預(yù)見在接下來通過技術(shù)方案破解勒索軟件的難度將越來越大。4(四)編譯時(shí)間看勒索軟件我們針對(duì)

2022

年捕獲到的流行勒索軟件樣本進(jìn)行分析，并提取了其編譯時(shí)間。從編譯時(shí)間看，2022

年流行的勒索軟件編譯時(shí)間與

2021

年有著較為明顯的區(qū)別。其中最顯著的一點(diǎn)就是：編譯時(shí)間不再呈現(xiàn)出一個(gè)平滑的波形，而是大量集中與

22

點(diǎn)這一個(gè)單一時(shí)間節(jié)點(diǎn)上。經(jīng)分析判斷，出現(xiàn)這一情況的主要原因可能與今年幾款疑似“國產(chǎn)”的勒索軟件的流行有關(guān)。顯然，晚間

10

點(diǎn)左右是這些國內(nèi)黑客較為活躍的“工作時(shí)間”，這自然也就形成了大量在此時(shí)間點(diǎn)上被編譯出的勒索軟件樣本。(五)勒索贖金分析基于

360

反勒索服務(wù)

2021

年

1

月至

2022

年

8

月的

2736

個(gè)案例進(jìn)行贖金分析，保守計(jì)算黑客至少向

1939

位受害者索要過

1400

萬美元的贖金，受害者平均說要贖金金額

7220

美元。5以下是我們統(tǒng)計(jì)的部分家族的一般贖金情況：家族Stop金額備注450

美元~900

美元72

小時(shí)內(nèi)聯(lián)系，需支付

450

美元。該家族針對(duì)受害者設(shè)備量，被加密文件量不同索要不同的金額，通常在

10000

美元左右。phobos5000

美元~15000

美元GlobeImposterMagniber1000

美元起，上不封頂4000

美元左右該家族和

phobos

家族一樣，通常需要

10000

美元。金額會(huì)有浮動(dòng)但波動(dòng)不大，通常在

4000

美元左右。傳播渠道多變，價(jià)格多變，前期主要以個(gè)人為目標(biāo)，后期主要以企業(yè)。個(gè)人一般

4000

美元，企業(yè)約

1

萬美元。Rook

家族曾在勒索提示信息中明確索要

4000

元人民幣。今年新增勒索，出現(xiàn)時(shí)間短。明確索要

0.1BTC該家族也是比特幣計(jì)價(jià)。Mallox4000

美元起，上不封頂RookBlueSky4000

元0.1BTC≈14000

元(按當(dāng)前價(jià)格)0.15BTC≈22000

元(按當(dāng)前價(jià)格)4000

美元~10000

美元TellYouThePassBeijingCryptCryLock中間價(jià)格在

7000

美元左右。2000

美元~15000

美元通常在

8500

美元YourData1000

美元~15000

美元波動(dòng)價(jià)格，通常在

7000

美元流行勒索軟件家族索要贖金金額此外，根據(jù)

360

安服人員在勒索軟件處置現(xiàn)場跟進(jìn)處理的案例詳情以及已經(jīng)被公開報(bào)道過的贖金進(jìn)行統(tǒng)計(jì)，贖金較高的幾個(gè)行業(yè)有：

生活產(chǎn)品零售和大型電器零售行業(yè)，被索要贖金往往高達(dá)

4000

萬美元；清潔能源行業(yè)，被索要贖金高達(dá)

2000

萬美元；科技文化行業(yè)的知識(shí)產(chǎn)權(quán)數(shù)據(jù)，被索要贖金一般為

500

萬美元；房地產(chǎn)行業(yè)，被索要贖金一般可達(dá)到

400

萬美元；更多具體數(shù)據(jù)如下：行業(yè)零售贖金40001

萬美元2000.9

萬美元500

萬美元400

萬美元1.85

萬美元9500

美元能源科技文化房地產(chǎn)信息技術(shù)環(huán)境醫(yī)學(xué)9500

美元旅游5625

美元保險(xiǎn)2500

美元典型行業(yè)受到勒索金額二、

勒索軟件傳播方式下圖給出了

2022

年攻擊者投放勒索軟件時(shí)使用到的各種方式占比情況。根據(jù)統(tǒng)計(jì)可以6看出：遠(yuǎn)程桌面入侵仍然是用戶計(jì)算機(jī)感染勒索軟件的最主要方式；其次是通過網(wǎng)頁掛馬方式投放勒索軟件；通過利用漏洞投放勒索軟件導(dǎo)致中招的案例相對(duì)往年有大幅度的上升。對(duì)于這些攻擊手段的具體描述，將在第三章

“勒索軟件攻擊者分析”的第三節(jié)“攻擊手段”中進(jìn)行具體說明。三、

多重勒索與數(shù)據(jù)泄露近年來，通過雙重勒索或多重勒索模式獲利的勒索軟件攻擊團(tuán)伙越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也急劇增加。本章將通過@darktracer_int

提供的數(shù)據(jù)進(jìn)行多維度分析，該數(shù)據(jù)僅反應(yīng)未在第一時(shí)間繳納贖金或拒繳納贖金企業(yè)情況。(一)行業(yè)統(tǒng)計(jì)從行業(yè)劃分來看，加工制造業(yè)、服務(wù)業(yè)、金融與貿(mào)易分別占據(jù)了行業(yè)分布的前三位。這一數(shù)據(jù)與之前并無較大變化，主要還是由于勒索軟件較為青睞此類擁有較大規(guī)模、體量及資金流的行業(yè)——這促使了其獲利的可能性及空間相較于其他行業(yè)會(huì)有顯著的提高。7此外，此類行業(yè)的

IT

設(shè)備及網(wǎng)絡(luò)規(guī)模也普遍較大，這也讓黑客的入侵更加有的放矢。而位居第四位的互聯(lián)網(wǎng)行業(yè)也進(jìn)一步印證了這一點(diǎn)。(二)國家與地區(qū)分布從遭到數(shù)據(jù)泄露機(jī)構(gòu)所在地分布情況來看，雖然美國的占比相較去年下降了超過

10

個(gè)百分點(diǎn)，但近四成的占比依然是受影響最嚴(yán)重的國家，且這一占比仍舊遠(yuǎn)超其他國家或地區(qū)。8下圖為根據(jù)全球地區(qū)分布數(shù)據(jù)所繪制的更加直觀的地區(qū)分布圖：但關(guān)于該數(shù)據(jù)有三點(diǎn)必須說明：1.

此處僅為被公開的數(shù)據(jù)泄露情況，而美國機(jī)構(gòu)受影響較大主要還是其規(guī)模及知名度決定的。并不意味著其他國家和地區(qū)受勒索軟件的影響不大，甚至不代表其他國家和地區(qū)受到勒索軟件的威脅就必定小于美國。2.

與去年數(shù)據(jù)對(duì)比，其他國家或地區(qū)遭到數(shù)據(jù)泄露的情況普遍增加。尤其需要注意的是我國——從去年的

2.05%上升了超過

1.2

個(gè)百分點(diǎn)至今年的

3.32%。這一點(diǎn)說明相關(guān)的攻擊組織正逐步把注意力轉(zhuǎn)移到更廣闊的地域，我們必須做好相應(yīng)的安全防護(hù)和應(yīng)急預(yù)案。3.

LockBit

勒索軟件團(tuán)伙曾在暗網(wǎng)發(fā)布的一篇文章中提到，該團(tuán)伙的成員來自全世界許多不同國家，其中就包括中國。此外從

Conti

的內(nèi)部泄露的數(shù)據(jù)看，該組織中也有中國黑客參與到雙重/多重勒索中來，這也從側(cè)面反應(yīng)出為何今年國內(nèi)被雙重/多從勒索感染的組織或企業(yè)越來越多。(三)家族統(tǒng)計(jì)2022

年參與雙重/多重勒索活動(dòng)的一共有

65

個(gè)勒索軟件家族。單從數(shù)量上比較，2022年相比于

2021

年新增了

12

個(gè)勒索家族，但在

2021

年還有部分家族已停止運(yùn)營，因此

2022年新增的雙重、多重勒索軟件家族數(shù)實(shí)際上并不止

12

個(gè)。僅在

TOP10

家族的榜單中就有BlackCat(ALPHV)、BianLian、Royal

三個(gè)家族為

2022

年的新增家族。9在

TOP10

家族中，LockBit

勒索軟件家族不僅是今年最為活躍的，還是傳播歷史最久的一個(gè)家族；Conti

勒索軟件家族則因內(nèi)部數(shù)據(jù)泄露、俄烏沖突等一系列事件，導(dǎo)致其不得關(guān)閉其數(shù)據(jù)泄露網(wǎng)站等基礎(chǔ)設(shè)施；BianLian

勒索軟件家族是在

2022

年

11

月才出現(xiàn)的一款新型雙重勒索家族，而就是在其出現(xiàn)的短短兩個(gè)月時(shí)間內(nèi)，被其公布的受害組織或企業(yè)就已多達(dá)

74

家，其實(shí)力及危害程度可見一斑。(四)逐月統(tǒng)計(jì)從數(shù)據(jù)泄露的相關(guān)統(tǒng)計(jì)來看，總體有一定的波動(dòng)，但并未出現(xiàn)較大規(guī)模的爆發(fā)跡象。該數(shù)據(jù)與

360

反勒索服務(wù)所接收到的感染反饋量數(shù)據(jù)進(jìn)行比對(duì)，其區(qū)別主要在于并未出現(xiàn)

10

月、11

月的顯著“波谷”。這主要是因?yàn)閮煞矫娴脑颍阂弧⒃摂?shù)據(jù)來源主要是國外數(shù)據(jù)，與國內(nèi)數(shù)據(jù)并無必然且直接的相關(guān)性。10二、數(shù)據(jù)泄露本身具有一定的“滯后性”，攻擊者往往是在對(duì)企業(yè)完成攻擊之后進(jìn)行反復(fù)交涉及討價(jià)還價(jià)，在無法獲取到滿意的贖金后才會(huì)發(fā)布竊取到的數(shù)據(jù)。故此攻擊時(shí)間和與之對(duì)應(yīng)的數(shù)據(jù)泄露時(shí)間，往往有數(shù)月的時(shí)間差。(五)數(shù)據(jù)泄露的負(fù)面影響一般勒索，通過加密用戶重要數(shù)據(jù)，迫使用戶支付數(shù)據(jù)。但這種攻擊方式，存在多種防范手段。對(duì)于企業(yè)用戶，一般會(huì)通過數(shù)據(jù)備份等手段，在黑客對(duì)數(shù)據(jù)產(chǎn)生破壞時(shí)，能夠快速恢復(fù)。多重勒索也就應(yīng)運(yùn)而生，而在多重勒索中，又以數(shù)據(jù)勒索最為流行。通過數(shù)據(jù)勒索，會(huì)給受害企業(yè)多方面的壓力，迫使受害企業(yè)與攻擊者談判，提高贖金支付率。其常見的危害包括下面幾種。聲譽(yù)恐嚇-聲譽(yù)受損，客戶被騷擾聲譽(yù)恐嚇主要包括幾個(gè)方面：一、通過從受害組織/企業(yè)處竊取到的數(shù)據(jù)設(shè)法聯(lián)系到其客戶，再以電話、郵件等方式告知與其合作的某某公司已被勒索軟件攻擊，且存在數(shù)據(jù)泄露情況；二、通過聯(lián)系媒體對(duì)攻擊事件進(jìn)行報(bào)道，從輿論層面給受害者帶去壓力，有的勒索軟件團(tuán)伙甚至擁有自己的媒體運(yùn)營人員。11通常，對(duì)于不愿意支付贖金的情況，勒索軟件團(tuán)伙是非常樂意有更多的媒體去報(bào)道，某些家族甚至?xí)⑾嚓P(guān)的新聞報(bào)道鏈接粘貼到其贖金談判的頁面中以實(shí)現(xiàn)更有效的威脅：RANSOMEXX

勒索軟件贖金談判頁面中粘貼的大量新聞報(bào)道競拍-販賣受害者數(shù)據(jù)，價(jià)值最大化由于勒索軟件免費(fèi)發(fā)布的受害企業(yè)數(shù)據(jù)經(jīng)常在

Telegram

頻道和地下網(wǎng)絡(luò)犯罪論壇中轉(zhuǎn)售，故此勒索軟件團(tuán)伙也意識(shí)到可以通過公開競拍的形式來更大程度的獲取利益。在

2020

年

6

月，Sodinokbi

首次在其數(shù)據(jù)泄露網(wǎng)站中創(chuàng)建了類似

eBay

的拍賣頁面，并以

5

萬美元的價(jià)格拍賣從加拿大農(nóng)業(yè)竊取到的數(shù)據(jù)。其后

AvosLocker

受到啟發(fā)，也將其數(shù)據(jù)泄露網(wǎng)站進(jìn)行更新，創(chuàng)建了自己的拍賣系統(tǒng)。12四、

勒索軟件家族更替(一)每月新增傳統(tǒng)勒索情況360

安全大腦監(jiān)控到，每月都不斷有新的勒索軟件出現(xiàn)。以下是

2022

年每月新出現(xiàn)的傳統(tǒng)勒索軟件(僅通過加密文件對(duì)受害者進(jìn)行勒索)的部分記錄信息：月份1

月2

月3

月4

月5

月6

月7

月8

月9

月10

月11

月12

月新增傳統(tǒng)勒索軟件Coffee、DeadBolt、Koxic、Trap、EvilNominatusSutur、D3adCrypt、Sojusz、Unlock、IIMxTFarAttack、Venus、Sojusz、KalajaTomorr、GoodWill、AntiWar、IceFire、AcepyPipikaki、BlockZ、Phantom、Blaze7Locker、EAF、QuickBubck、PSRansomBlueSky、Agenda、Kawaii、DamaCrypt、RedTeamStop247、RoBaj、Checkmate、LunaMoishsa、Filerec、iceFire、CryptOnBallacks、BlackBit、DoyUKPrestige、Ransom

CartelPCOK、SomniaSeoul、Lucknite、Blocky、HentaiLocker針對(duì)以上新增勒索軟件家族，我們對(duì)其中幾個(gè)典型家族進(jìn)行具體的說明：CoffeeCoffee

勒索軟件家族在

2022

年對(duì)高校師生發(fā)起多次針對(duì)性攻擊：第一次攻擊：通過軟件捆綁和

QQ

群釣魚傳播且危害極大，不僅具備蠕蟲性質(zhì)，其潛伏期還高達(dá)數(shù)百日。第二次攻擊：選擇偽裝成學(xué)校郵箱(jcc@eudumail.cloud)向各高校老師發(fā)送名為《2021年度本單位職工個(gè)稅補(bǔ)繳名單》的釣魚郵件，通過對(duì)受害者分析發(fā)現(xiàn)受害者主要來自今年和去年申請(qǐng)《國家自然科學(xué)基金》項(xiàng)目的高校教師與科研院人員。第三次攻擊：通過發(fā)送

QQ

文件進(jìn)行傳播，新變種對(duì)加密觸發(fā)方式、加密格式、遠(yuǎn)程勒索

shellcode

C2

獲取方式等進(jìn)行了更新調(diào)整。新變種通過郵箱傳播，加密過程更加隱蔽，潛伏期最多可長達(dá)

15

天，同時(shí)使用

DNS

隧道技術(shù)來獲取

C2

信息，免殺能力更強(qiáng)。DeadBolt2022

年

1

月

5

日，DeadBolt

勒索軟件家族使用

0day

針對(duì)全球

QNAP

NAS

設(shè)備發(fā)起針對(duì)性攻擊，設(shè)備中存儲(chǔ)的文件的文件名會(huì)被追加一個(gè)名為.deadbolt

的文件擴(kuò)展名。而設(shè)備的登錄頁面會(huì)被劫持顯示一個(gè)勒索頁面：內(nèi)容為“警告：您的文件已被

DeadBolt

鎖定”等。該頁面會(huì)向受害者索要

0.03

個(gè)比特幣作為贖金。此外，病毒還在勒索頁面中生成：如果

QNAP

向他們支付

5

個(gè)比特幣，DeadBolt

勒索軟件團(tuán)伙將提供

0day

漏洞的全部詳細(xì)信息。他們還愿意以

50

個(gè)比特幣的售價(jià)向

QNAP

出售可以為所有受害者解密文件的主密鑰和

0day

信息。13Rook該家族最早出現(xiàn)于

2022

年

1

月下旬，通過

360

安全大腦長期的跟蹤發(fā)現(xiàn)，該家族很大概率是國內(nèi)人制作。該勒索軟件家族主要通過匿隱僵尸網(wǎng)絡(luò)進(jìn)行傳播，最常用的擴(kuò)展名為.Rook，其勒索提示信息模仿

Sodinokibi

勒索軟件家族的勒索提示信息，勒索提示信息中雖有提到若受害者不在

3

天內(nèi)支付贖金將開始泄露竊取到的文件，但尚未發(fā)現(xiàn)該家族有竊取數(shù)據(jù)行為。360

安全大腦還曾監(jiān)控到該家族想通過使用

LockBit、BlackCat

等熱門雙重勒索軟件家族的擴(kuò)展名和勒索提示信息，企圖迷惑受害者。目前該家族已將勒索提示信息全部采用中文。BlueSkyBlueSky

勒索軟件家族最早出現(xiàn)于

2022

年

6

月，該家族利用了

GlobeImposter

勒索軟件家族傳播渠道之一的

SQLGlobeImposter

進(jìn)行傳播(該渠道是黑客通過暴力破解方式獲取到數(shù)據(jù)庫密碼后向被攻陷設(shè)備投放各類型病毒木馬)，受害者通常會(huì)被索要

0.1

比特幣作為贖金(約等于人民幣

13291

元)。RobajRoBaj

勒索軟件是一款使用

C#編寫，通過暴力破解遠(yuǎn)程桌面登錄口令的方式入侵系統(tǒng)并手動(dòng)投毒。但較為不同的是，該病毒不僅提供了中文勒索信息，其自身還被蠕蟲感染，具有蠕蟲功能。這也讓是受害者面臨的威脅與損失加倍擴(kuò)大。360

高級(jí)威脅研究分析中心目前已完成對(duì)該病毒的破解，有中招的用戶，可以聯(lián)系我們進(jìn)行解密。該勒索軟件使用典型的勒索攻擊方式，攻擊者在拿下目標(biāo)后會(huì)首先投放橫移工具，如Netpass64.exe、windows

密碼破解器等，并創(chuàng)建后門賬戶以備后用：之后開始進(jìn)一步橫向滲透，擴(kuò)大攻擊范圍。當(dāng)拿到核心設(shè)備或已掌握大量設(shè)備后，攻擊者最終會(huì)投放勒索軟件RoBaj-S.exe

實(shí)施破壞工作。CheckmateCheckmate

勒索軟件最早出現(xiàn)于

2022

年

5

月

28

日，是一款專門針對(duì)

NAS（網(wǎng)絡(luò)存儲(chǔ)設(shè)備）進(jìn)行攻擊的勒索軟件。通過對(duì)暴力在互聯(lián)網(wǎng)上的

SMB

服務(wù)發(fā)起攻擊，并使用字典來爆破弱密碼賬戶。受害者通常會(huì)被所要價(jià)值

1.5

萬美元的比特幣。PipikakiPipikaki

勒索軟件家族雖然

4

月份已在國外被發(fā)現(xiàn)，但

6

月才開始在國內(nèi)變的活躍。通過

360

安全大腦監(jiān)控到的數(shù)據(jù)分析到，該家族不僅利用暴力破解遠(yuǎn)程桌面弱口令后手動(dòng)投毒，還通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。受害者被攻擊的設(shè)備通常是在之前運(yùn)行過

AutoDesk

注冊(cè)機(jī)、cad

注冊(cè)機(jī)、KMS

注冊(cè)機(jī)等工具。這些程序通常帶有惡意代碼，會(huì)向受害者機(jī)器內(nèi)寫入計(jì)劃任務(wù)，定時(shí)啟動(dòng)達(dá)到長期駐扎在受害者系統(tǒng)的目的，然后由僵尸網(wǎng)絡(luò)控制著決定向其下發(fā)什么類型的病毒木馬，因此受害者運(yùn)行這類工具后文件并不會(huì)馬上被加密。14(二)每月新增雙重/多重勒索情況另經(jīng)統(tǒng)計(jì)發(fā)現(xiàn)，2022

年各月也時(shí)常出現(xiàn)新的勒索軟件加入到雙重/多重勒索模式的行列中

。僅

360

安全大腦監(jiān)控到的此類雙重/多重勒索軟件家族在本年度就共計(jì)新增

26

個(gè)。具體家族名及出現(xiàn)時(shí)間分布如下：月份1

月2

月3

月4

月5

月6

月7

月8

月9

月10

月11

月12

月新增雙重/多重勒索NightSky-PandoraOnyx、Industrial

Spy、BlackBastaCheers、RansomHouse、MindwareCrimson

Walrus、SiegedSecRedAlert、Lilith、BianLian、0megaD0N#T

(Donut

Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOPz6wkg、SpartaSexyPhotos、AzovRoyal、Play-針對(duì)以上新增雙重/多重勒索軟件家族，我們對(duì)其中幾個(gè)典型家族進(jìn)行具體的說明：Black

Basta2022

年

4

月

22

日，美國牙科協(xié)會(huì)（ADA）遭受了網(wǎng)絡(luò)攻擊，迫使被攻擊的服務(wù)器下線。此次攻擊嚴(yán)重干擾了其各種在線服務(wù)、電話、電子郵件和網(wǎng)絡(luò)通信等功能。ADA

網(wǎng)站目前僅顯示一條公式，表明他們的網(wǎng)站正在努力恢復(fù)系統(tǒng)運(yùn)行。目前，一個(gè)名為

Black

Basta

的新型勒索軟件團(tuán)伙聲稱對(duì)此次攻擊事件負(fù)責(zé)，并已經(jīng)開始泄露據(jù)稱是在

ADA

攻擊期間竊取到的數(shù)據(jù)。該團(tuán)伙的數(shù)據(jù)泄露網(wǎng)站聲稱已經(jīng)泄露了大約2.8

GB

的數(shù)據(jù)，同時(shí)其還指出這是攻擊中被盜數(shù)據(jù)的

30%。這些數(shù)據(jù)包括

W2

表單、NDA、會(huì)計(jì)電子表格以及數(shù)據(jù)泄漏頁面上共享的屏幕截圖中有關(guān)

ADA

的會(huì)員信息。AzovAzov

是一款新型的數(shù)據(jù)擦拭器，正在通過盜版軟件、密鑰生成器和廣告軟件大量傳播，同時(shí)該軟件試圖通過虛假消息謊稱某安全研究員為其幕后黑手。該軟件的了勒索信息文件名為“RESTORE_FILES.txt”。在信息中，該軟件宣稱之所以攻擊當(dāng)前設(shè)備是為了抗議克里米亞被占領(lǐng)，也是因?yàn)槲鞣絿以趲椭鸀蹩颂m對(duì)抗俄羅斯方面做得不夠。此外，由于無法聯(lián)系攻擊者支付贖金，該勒索軟件被歸類為數(shù)據(jù)清除器，而不是通常的加密型勒索軟件。OnyxOnyx

勒索軟件最早出現(xiàn)于

2022

年

4

月，其會(huì)直接對(duì)大文件進(jìn)行破壞而非加密。這樣，即使受害者支付了贖金也無法解密這些被破壞的文件。15與目前大多數(shù)勒索軟件一樣，Onyx

作者會(huì)在加密文件之前從其設(shè)備中竊取數(shù)據(jù)。而這些數(shù)據(jù)會(huì)被用于雙重勒索計(jì)劃——如果不支付贖金，他們便會(huì)威脅要公開發(fā)布這些敏感數(shù)據(jù)。目前為止，該勒索軟件團(tuán)伙已經(jīng)在其網(wǎng)站上泄露了

6

所機(jī)構(gòu)的數(shù)據(jù)，其中

5

所出自美國。但在加密方面，該勒索軟件的手段則比較“獨(dú)特”。其會(huì)加密文件大小小于

200MB

的文件，但會(huì)對(duì)大于

200MB

的文件用隨機(jī)的垃圾數(shù)據(jù)覆蓋其內(nèi)容，而不是對(duì)其進(jìn)行加密。由于這只是隨機(jī)創(chuàng)建的數(shù)據(jù)，因此包括攻擊者在內(nèi)，任何人都無法解密這些被破壞的大文件。即使受害者支付贖金，也只有可能恢復(fù)較小的加密文件?；谠创a進(jìn)行分析，該功能并非編程錯(cuò)誤，而是病毒作者有意為之。因此，建議受害者不要支付贖金。16第二章

勒索軟件受害者分析基于

360

反勒索服務(wù)，求助用戶所提供的信息，我們對(duì)

2022

年全年遭受勒索軟件攻擊的受害人群做了分析。在地域分布方面并沒有顯著變化，依舊以數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)和人口密集地區(qū)為主。而受感染的操作系統(tǒng)、所屬行業(yè)則受今年流行的勒索軟件家族影響，與以往有較為明顯的變化。一、

受害者所在地域分布以下是對(duì)

2022

年攻擊系統(tǒng)所屬地域采樣制作的分部圖，總體而言地區(qū)排名和占比變化波動(dòng)始終均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。17下圖為根據(jù)全球地區(qū)分布數(shù)據(jù)所繪制的更加直觀的地區(qū)分布圖：二、

受攻擊系統(tǒng)分布對(duì)

2022

年受攻擊的操作系統(tǒng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，位居前三的系統(tǒng)為

Windows

10、Windows

7和

Windows

Server

2008。這也是目前市面上較為主流的操作系統(tǒng)，可見系統(tǒng)本身的“安全性”對(duì)攻擊的防護(hù)起到的作用并沒有那么顯著——整體數(shù)據(jù)反應(yīng)出的情況依然是使用更廣泛的系統(tǒng)所受攻擊也更多。其中國內(nèi)

TOP10

家族中的

Magniber

勒索軟件家族還曾專門對(duì)Windows

10

系統(tǒng)發(fā)起過針對(duì)性攻擊。而就操作系統(tǒng)類型而言，依然是桌面系統(tǒng)占據(jù)將近

7

成，服務(wù)器系統(tǒng)則不到

3

成。今年18雖然

NAS

設(shè)備僅占到了所有系統(tǒng)類型中的

0.7%左右。但越來越多的勒索軟件家族開始將其攻擊對(duì)象瞄準(zhǔn)

NAS

設(shè)備，例如：ech0Raix、QLocker、DeadBolt、AgeLocker、CheckMate

等勒索家族。三、

受害者所屬行業(yè)對(duì)來自反勒索服務(wù)申訴的受害者所屬行業(yè)進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)：教育、軟件與互聯(lián)網(wǎng)、制造業(yè)分列受影響最為嚴(yán)重的前三類行業(yè)。19排名靠前的行業(yè)的機(jī)構(gòu)規(guī)模和計(jì)算機(jī)設(shè)備規(guī)模普遍較大。而除此之外，教育行業(yè)雖然再以往受勒索攻擊影響也不低，但今年則是首次沖上了該統(tǒng)計(jì)的榜首。根據(jù)相關(guān)信息推測，這可能與該行業(yè)對(duì)相關(guān)軟件的漏洞修補(bǔ)及軟件更新速度、頻度不足有關(guān)，同時(shí)也與今年由于疫情影響，網(wǎng)課的課程量、網(wǎng)課平臺(tái)及網(wǎng)課相關(guān)軟件的使用均有大量增加有著一定的相關(guān)性。四、

受害者支付贖金情況通過對(duì)受害者支付贖金的情況進(jìn)行問卷調(diào)查，我們發(fā)現(xiàn)絕大部分受害者在受到攻擊后并不會(huì)選擇支付贖金。而不支付贖金的理由則主要是不相信黑客及不想縱容黑客。此外還有一點(diǎn)值得注意的是，在對(duì)受害者的調(diào)查中，選擇“已支付”的受害者無論是絕20對(duì)數(shù)量還是相對(duì)占比與往年相比均有顯著提升。經(jīng)研判，認(rèn)為這一現(xiàn)象與越來越多的中大型企業(yè)遭勒索攻擊有關(guān)。畢竟與個(gè)人用戶或中小型企業(yè)相比，中大型企業(yè)的數(shù)據(jù)價(jià)值都顯然更高，同時(shí)對(duì)于高額的贖金也有更強(qiáng)的承受能力。此外，雙重勒索軟件的增多引發(fā)的數(shù)據(jù)泄露問題也是中大型企業(yè)更加不愿面對(duì)的重大威脅。五、

對(duì)受害者影響最大的文件類型與往年情況沒有明顯變化，對(duì)勒索軟件受害者而言最為重要的文件類型依然是辦公文檔、數(shù)據(jù)庫以及照片視頻。這也和目前反饋用戶中企業(yè)辦公設(shè)備中招數(shù)量占比較高有關(guān)，大量的辦公相關(guān)資料、文檔的重要性變得尤為突出。而相對(duì)的，現(xiàn)在越來越多的郵件或聊天記錄以及游戲存檔大多數(shù)都有云備份，所以反而不會(huì)對(duì)受害者造成很大的困擾和威脅。六、

受害者遭受攻擊后的應(yīng)對(duì)方式分析受害者遭受攻擊后第一事件的應(yīng)對(duì)方式。與以往相同，查殺病毒和聯(lián)系技術(shù)人員屬于較為常見的“本能反應(yīng)”。而與往年最大的區(qū)別是：“斷開網(wǎng)絡(luò)”這一選項(xiàng)有了非常顯著的提升——顯然，第一時(shí)間阻斷惡意軟件傳播這一行之有效的手段被越來越多的受害用戶所熟知。21此外，重裝系統(tǒng)的占比依然較高，但這一習(xí)慣其實(shí)對(duì)于勒索軟件這一特殊的病毒類型而言作用并不大，反而對(duì)技術(shù)人員的時(shí)候處置及分析復(fù)盤設(shè)置了較大障礙。所以建議對(duì)數(shù)據(jù)敏感性較高的中毒設(shè)備盡量采取上文所屬的斷網(wǎng)而非重裝系統(tǒng)的處理方式，這會(huì)大大方便技術(shù)人員的后續(xù)分析。22第三章

勒索軟件攻擊者分析2022

年的數(shù)據(jù)分析顯示，雖然針對(duì)遠(yuǎn)程桌面的弱口令爆破依然是黑客首選的入侵方式，但利用釣魚或掛馬手段進(jìn)行的攻擊有較為顯著的增加，而利用各種系統(tǒng)或軟件漏洞進(jìn)行入侵的占比更是暴增了超過

13

個(gè)百分點(diǎn)，直接躍升至入侵方式的第三位。這一方面可能是由于企業(yè)用戶在弱口令方面的防護(hù)有所加強(qiáng)，另一方面也說明黑客在更為行之有效的入侵方法上有著更多的嘗試并顯然卓有成效。在黑客的聯(lián)系方式上，更多的使用了電子郵箱或自行搭建的贖金談判頁面，此外也有不少黑客會(huì)使用到洋蔥網(wǎng)絡(luò)聊天室以及

Jabber、Telegram、Tox

等匿名聊天工具。一、

黑客使用

IP在對(duì)申請(qǐng)了反勒索服務(wù)的用戶受攻擊情況進(jìn)行統(tǒng)計(jì)后，我們發(fā)現(xiàn)雖然勒索軟件的主要入口來源于依然是遠(yuǎn)程桌面的弱口令入侵，但各種釣魚/掛馬以及漏洞攻擊的入侵方式與往年相比均有明顯提升。對(duì)于常規(guī)入侵方式的攻擊來源

IP

進(jìn)行進(jìn)一步分析發(fā)現(xiàn)，其歸屬最多的是來自俄羅斯地區(qū)，其次則是英國和荷蘭。二、

勒索聯(lián)系郵箱的供應(yīng)商分布目前主流的聯(lián)系方式有三種：第一種：通過黑客提供的網(wǎng)址進(jìn)入黑客獨(dú)立搭建的聊天室，進(jìn)行一對(duì)一對(duì)話。這種方式通常出現(xiàn)于雙重/多重勒索模式中，部分家族還需受害者注冊(cè)或使用黑客勒索提示信息中提到的賬戶和密碼或唯一的

ID

進(jìn)行登錄才能進(jìn)行對(duì)話。23第二種：黑客通過提供第三方賬戶，例如:Jabber、Telegram、Tox

等第三方匿名聊天工具進(jìn)行贖金談判，這種情況通常被

Stop、phobos、Standby

等勒索家族使用。第三種：也是本章節(jié)著重強(qiáng)調(diào)的一個(gè)方式，通過黑客提供的郵件進(jìn)行聯(lián)系，通常為了能被受害者聯(lián)系到(可能會(huì)出現(xiàn)郵箱賬號(hào)被禁用等情況導(dǎo)致不能使用)，一般會(huì)留下至少

2

個(gè)郵箱，并定期進(jìn)行更換，或者同一個(gè)家族有多個(gè)傳播者，不同傳播者使用不同的郵箱，導(dǎo)致活躍的郵箱相對(duì)以上兩種會(huì)多很多。通過對(duì)

2022

年收集到的黑客郵箱進(jìn)行數(shù)據(jù)分析,我們發(fā)現(xiàn)勒索軟件作者更偏愛Tutanota

、ProtonMail、OvOConsulting

三家網(wǎng)站所提供的郵箱服務(wù)，我們推測這是病毒作者出于自身習(xí)慣、隱藏信息、注冊(cè)便捷度等幾方面綜合考慮后的結(jié)果。針對(duì)

TOP10

郵件服務(wù)商提供的郵箱屬性進(jìn)行研究發(fā)現(xiàn)，其中匿名郵箱占到了總量的

91.25%。三、

攻擊手段(一)弱口令攻擊弱口令攻擊，也就是有限口令暴破攻擊,依然是今年最為流行的攻擊手段。在互聯(lián)網(wǎng)上公開的服務(wù)和設(shè)備，均面臨此類攻擊的風(fēng)險(xiǎn)，使用過于簡單的口令、已經(jīng)泄露的口令或一些內(nèi)置的固定口令是造成設(shè)備被攻陷的最常見原因。計(jì)算機(jī)中涉及到弱口令暴破攻擊的暴露面，主要包括遠(yuǎn)程桌面弱口令、SMB

弱口令、RPC遠(yuǎn)程過程調(diào)用、數(shù)據(jù)庫管理系統(tǒng)弱口令(例如

MySQL、SQL

Server、Oracle

等)、Tomcat

弱口令、phpMyAdmin

弱口令、VNC

弱口令、FTP

弱口令等。除了常見的計(jì)算機(jī)弱口令攻擊，針對(duì)

NAS

設(shè)備、路由器這類家用網(wǎng)絡(luò)設(shè)備的弱口令攻擊近年來也成增長態(tài)勢，比如

eCh0raix勒索軟件就是通過

NAS

設(shè)備的弱口令進(jìn)行傳播并在成功攻入設(shè)備后加密其中存儲(chǔ)的數(shù)據(jù)的。今年國內(nèi)排名前

10

的勒索軟件家族中有

6

個(gè)家族均涉及到弱口令攻擊傳播，其中

3

個(gè)家族更是將弱口令攻擊作為其主要傳播手段。而合理的安全規(guī)劃和設(shè)置，可以有效降低設(shè)備被弱口令攻擊的風(fēng)險(xiǎn)。24(二)橫向滲透橫向滲透是企業(yè)內(nèi)網(wǎng)、大型局域網(wǎng)面臨的最常見勒索攻擊威脅。針對(duì)企業(yè)的勒索軟件攻擊，經(jīng)常可以看到單次攻擊事件導(dǎo)致的大量設(shè)備同時(shí)中招，甚至整個(gè)內(nèi)網(wǎng)癱瘓。黑客拿下一個(gè)客戶端之后，一般會(huì)利用多種攻擊手段刺探內(nèi)網(wǎng)情況，并橫向移動(dòng)到內(nèi)網(wǎng)其它設(shè)備中。最受黑客歡迎的攻擊目標(biāo)當(dāng)屬企業(yè)的域控服務(wù)器、管控服務(wù)器，拿下此類設(shè)備，往往意味著拿下了整個(gè)企業(yè)的設(shè)備管理權(quán)。除管控服務(wù)器外，企業(yè)內(nèi)網(wǎng)大量設(shè)備使用相同的軟件配置，相同的口令設(shè)置，也是一大風(fēng)險(xiǎn)，攻擊者在拿下單臺(tái)設(shè)備后，可以通過這臺(tái)設(shè)備提取到的密鑰攻擊具有相同配置的所有其它設(shè)備。一般來說，企業(yè)內(nèi)網(wǎng)中的設(shè)備，防護(hù)相對(duì)薄弱，經(jīng)常存在沒有及時(shí)更新系統(tǒng)補(bǔ)丁的設(shè)備存在，這類設(shè)備也是攻擊者內(nèi)網(wǎng)滲透的重點(diǎn)，黑客常用的橫向滲透工具包，都集成了大量漏洞利用工具，如果沒有及時(shí)更新補(bǔ)丁，很容易成為狩獵目標(biāo)。25下面整理了一些勒索家族常用的攻擊工具，包括進(jìn)程查看器，端口掃描工具，口令提取工具，各種內(nèi)網(wǎng)滲透工具。黑客通過這些工具大大簡化了攻擊過程，降低了黑客的攻擊門檻。勒索家族BeijingCryptBuran使用的黑客工具PChunter

/

Everthing

/

Process

HackerMimikatz

/

PChunter

/

NetworkShareCrylockHrWordGlobeImposterV2HonestProcess

Hacker

/

NetScanProcess

Hacker

/

NetworkShare

/

PChunterNetworkShare

/

Process

Hacker

/

HrWord

/

PChunter

/

Password

RecoveryPChunter

/

Process

Hacker

/

Process

Explorer

/

NetScan

/

dfcontrol

/

netpass

/NetworkShareLockBitMakopMallNetScanPChunter

/

kportscan

/

Process

Hacker

/

Network

Password

Recovery

/

ydayk

/NetworkShare

/

DataBase

GMER

/

netpass

/

NetScan

/

Mimikatz

/

NLBrute

/dfcontrolphobos(三)利用系統(tǒng)與軟件漏洞攻擊利用漏洞進(jìn)行傳播與攻擊，是最為典型的一類攻擊方法。