2023年6月勒索软件流行态势分析

2023-07-06 16:57:09
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2023年6月，全球新增的活跃勒索软件家族有Akira、Rhysida、8Base等家族。其中8Base是本月新增的双重勒索软件，该勒索软件团伙最初出现于2022年3月，一直相对低调，没有发动太多引人注目的攻击。然而，到了2023年6月，该勒索软件运营活动出现了较明显的增加趋势，以双重勒索方式针对多个行业的公司进行攻击。到目前为止，8Base已在其暗网勒索网站上列出了35个受害者。

以下是本月值得关注的部分热点：

1. Tellyouthepass发起多轮攻击，国内逾2000台设备中招

2. 新0day漏洞MOVEit Transfer在数据窃取攻击中被广泛使用

3. 台积电否认遭到LockBit黑客攻击，勒索软件团伙要求支付7000万美元赎金

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者所中病毒家族进行统计：Phobos家族占比25%居首位，TellyouThepass家族占比20.93%位居第二，BeijingCrypt家族占比12.21%位居第三。

本月利用java等web应用系统漏洞进行攻击传播的TellyouThepass勒索软件家族有明显上升，月内发起了多轮攻击。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2023年6月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当。

勒索软件疫情分析

Tellyouthepass发起多轮攻击，国内逾2000台设备中招

自上月开始，Tellyouthepass勒索软件异常活跃，并频繁发动攻击。自6月22日起，其又发起了新一轮大规模攻击，持续至今。攻击目标包括：金蝶K3Cloud，海康威视IVMS，用友时空KSOA，用友时空CCERP，用友时空CDM，速达天耀，用友时空（未确定具体产品），泛微OA，泛微E-Office，畅捷通T+，攻击方法仍为Web应用服务漏洞。攻击过程中，使用了C2：66.152.190[.]59。建议使用上述产品的用户，尽快更新产品补丁至最新版。

新0day漏洞MOVEit Transfer在数据窃取攻击中被广泛使用

Progress发布公告称近期有攻击者一直在利用他们的MOVEit MFT软件中的0day漏洞（CVE-2023-34362）从各类组织中执行大量数据下载操作。目前尚不清楚攻击发生的时间以及攻击背后的具体组织。

公告中表示：“Progress在MOVEit Transfer中发现了一个漏洞，该漏洞可能导致权限提升和潜在的未经授权访问环境”，并称希望用户在发布补丁前进行以下临时性防护措施：

阻止数据流向MOVEit Transfer服务器上的80和443端口（可继续使用SFTP或FTPs协议传输文件）

检查“c:\MOVEit Transfer\wwwroot\”目录确认没有可疑文件

目前已知受影响的程序及版本如下：

受影响版本	对应修复版
MOVEit Transfer 2023.0.0	MOVEit Transfer 2023.0.1
MOVEit Transfer 2022.1.x	MOVEit Transfer 2022.1.5
MOVEit Transfer 2022.0.x	MOVEit Transfer 2022.0.4
MOVEit Transfer 2021.1.x	MOVEit Transfer 2021.1.4
MOVEit Transfer 2021.0.x	MOVEit Transfer 2021.0.6

据报告称，以下IP可能与攻击有关：

l 138.197.152.201

l 209.97.137.33

l 5.252.191.0/24

l 148.113.152.144

l 89.39.105.108

台积电否认遭到LockBit黑客攻击，勒索软件团伙要求支付7000万美元赎金

芯片制造巨头台积电（Taiwan Semiconductor Manufacturing Company，简称TSMC）否认遭到黑客攻击，此前LockBit勒索软件团伙要求支付7000万美元以免泄露被窃数据。

台积电是全球最大的半导体制造商之一，其产品被广泛应用于各种设备，包括智能手机、高性能计算、物联网设备、汽车和数字消费电子产品。

本月与LockBit有关的黑客开始通过实时推特发布疑似对台积电进行的勒索软件攻击，共享了与该公司相关的信息的截屏。这些截屏显示，威胁行为者似乎对据称属于台积电的系统有重大访问权限，显示了电子邮件地址、应用程序访问权限以及各种内部系统的凭据。尽管此后该推文已被删除，但LockBit勒索软件团伙在他们的数据泄露网站上新建了一条关于台积电的条目，要求支付7000万美元，否则他们将泄露被窃数据，包括其系统的凭据。

台积电发言人称，他们并没有遭到入侵，而是其IT硬件供应商Kinmax Technology的系统遭到了黑客攻击。"台积电最近得知，我们的一家IT硬件供应商发生了一起网络安全事件，导致与服务器初始设置和配置相关的信息泄露。台积电在将每个硬件组件安装到其系统之前，都会进行一系列的广泛检查和调整，包括安全配置。经过审查，确认此事件并未影响台积电的业务运营，也未泄露任何台积电的客户信息。"

除了验证其系统没有受到任何影响外，台积电表示，他们还停止与遭受入侵的供应商合作，直到情况得到解决。

"台积电在此事件发生后立即根据公司的安全协议和标准操作程序终止了与该相关供应商的数据交换。台积电致力于增强供应商的安全意识，并确保他们遵守安全标准。"

受影响的供应商Kinmax发布了一份声明，解释他们于2023年6月29日意识到其网络中特定的测试环境受到了入侵的问题。该公司发现入侵者成功从被访问的系统中窃取了一些数据，主要涉及系统安装和配置指南，用于向客户提供默认配置。

与台积电相比，Kinmax并不是一家庞大的企业，因此LockBit要求支付7000万美元赎金的要求很可能会被忽视。

虽然在这次攻击中存在对被攻击方的混淆，但7000万美元是迄今为止赎金数额最大的案件之一。