2022年5月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索病毒进行了全方位的监测与防御，为大量需要帮助的用户提供360反勒索服务。 2022年5月，全球新增的活跃勒索病毒家族有：7Locker、EAF、QuickBubck、PSRansom、 Cheers、RansomHouse、Mindware等家族，其中Cheers、RansomHouse、Mindware均为具有 双重勒索功能的家族。 本月最值得关注的有三个热点： 一、5月初开始，Magniber将Windows11加入到其攻击目标中，本月被该家族感染的 受害者数量达到历史数据最高峰。 二、TargetCompany(Mallox)勒索病毒新增Web应用入侵渠道，迎来一波快速传播。 三、本月新增通过OA系统漏洞进行传播的7Locker勒索病毒。 四、哥斯达黎加因多个政府部门遭Conti攻击宣布国家进入紧急状态。 基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 根据本月勒索病毒受害者排查反馈统计，Magniber家族占比46.17%居首位，其次是占 比15.52%的TargetCompany(Mallox)，phobos家族以10.15%位居第三。 本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的 Magniber勒索病毒而中招，首次出现单个家族感染量占比近50%的“霸榜”现象。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2008以及Windows7。2022年5月被感染的系统中桌面系统和服务器系统占比显示，因Magniber勒索病毒攻 击这针对Windows10和Windows11，导致桌面PC占比上涨。 勒索病毒疫情分析 Magniber勒索病毒再升级，剑指win11 今年4月底，Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播，360安全 大脑对其进行了预警。 而5月初，360安全大脑再次监测到该家族新增对Windows11系统的攻击，其主要传 播的包名也有所更新，比如： win10-11_system_upgrade_software.msi covid.warning.readme.xxxxxxxx.msi其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时， 会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载 情况。 以下是该病毒近期传播针对Windows11的攻击态势图： 遭到该勒索病毒加密后，文件后缀会被修改为随机后缀，且每个受害者会有一个独立的 支付页面——若不能在规定时间内支付赎金，该链接将失效。若受害者能在5天内支付赎金， 则只需支付0.09个比特币(截止该报告撰写时，约合人民币17908元)，而超过5天赎金将 会翻倍。 新增Web应用入侵渠道，Mallox勒索病毒迎来一波快速传播 本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web 应用发起攻击，包括SpringBoot、Weblogic、通达OA等。在其拿下目标设备权限后还会 尝试在内网中横向移动，获取更多设备的权限，危害性极大。360提醒用户加强防护，并建 议使用360终端安全产品提供的安全补丁，防御查杀该病毒。 360安全大脑监测历史显示，Mallox（又被称作TargetCompany）于2021年10月进入中国，早期主要通过SQLGlobeImposter渠道进行传播（通过获取到数据库口令后，远程下 发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用）。而今年GlobeImposter勒索 病毒的传播量逐渐下降，Mallox就逐渐占据了这一渠道。 除了传播渠道之外，360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的 WebShell，而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备，攻击 者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程 登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的 其它机器。在获取到最多设备权限后开始部署勒索病毒。 新增通过OA系统漏洞进行传播的7Locker勒索病毒 近日360安全大脑监控到一款新型勒索病毒7Locker，该病毒使用java语言编写，并 通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩，被加 密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的ClientKey查看具体赎金要求以 及指定的赎金支付地址。 另外，根据目前已掌握的信息推测：该家族的传播事件有很大概率是中国台湾黑客针对 中国内陆发起的勒索攻击。哥斯达黎加因多个政府部门遭Conti攻击宣布国家进入紧急 状态 5月8日星期日，新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态，理由是多个 政府机构正遭到Conti勒索病毒攻击。 Conti勒索病毒最初声称上个月对哥斯达黎加政府进行了攻击。该国的公共卫生机构哥 斯达黎加社会保障基金（CCSS）早些时候曾表示，“正在对Conti勒索病毒进行外围安全审 查，以验证和防止其可能再次发动攻击。” 目前，Conti已发布了大约672GB的数据，其中似乎包含属于哥斯达黎加政府机构的 数据。黑客信息披露 以下是本月收集到的黑客邮箱信息： [email protected]@stealthypost.net [email protected] [email protected] @pipikaki [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]@time2mail.ch [email protected][email protected]@privatemail.com [email protected] [email protected] [email protected] [email protected]@proxy.tg [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected][email protected] [email protected] [email protected] [email protected]@tutanota.com [email protected] [email protected] [email protected] [email protected] [email protected]@tutanota.com [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]@airmail.cc [email protected] [email protected] [email protected] [email protected]@nerdmail.co [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] d3add@t