国产日韩欧美日韩_日韩在线成人不卡毛片_日韩精品 深夜影院在线观看视频_无套内射无毛少妇_美女裸体扒开屁股桶到爽_在线播放亚洲成人_se成人国产精品_欧美日韩德国在线观看_日韩人妻潮喷视频_亚洲国产精品校园激情

行業(yè)新聞
通知公告

2023年5月主流勒索軟件說明

時間:2023-06-16 來源:

2023年5月,全球新增的活躍勒索軟件家族有: BlackSuit、Zhong、AlphaWare、EXISC等家族。其中BlackSuit會修改被勒索設(shè)備的桌面壁紙;EXISC是本月新增的一款以企業(yè)為目標的勒索軟件。

以下是本月值得關(guān)注的部分熱點:

1. Linux版RTM Locker勒索軟件將VMware ESXi服務(wù)器作為攻擊目標

2. 跨國科技公司ABB遭到Black Basta勒索軟件攻擊

3. 以Zimbra服務(wù)器為目標的新型勒索軟件MalasLocker,要求受害者進行“慈善捐款”

感染數(shù)據(jù)分析

針對本月勒索軟件受害者所中病毒家族進行統(tǒng)計:Phobos家族占比25.42%居首位,占比15.25%的BeiJingCrypt家族和占比14.41%的TellYouThePass家族分居二三位。

71d89ec77a2b1c72c9b11b9ca1da1935_t017155bb8051521ed6.png

 

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計,位居前三的是:Windows Server 2012、Windows 10以及Windows Server 2008。

d6ec8573c91776eecc40f6fa08809432_t0197caa4ea4c2acc67.png

2023年5月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示,受攻擊的服務(wù)器設(shè)備再次超過桌面終端。經(jīng)分析推測——這與近期針對部署了Java環(huán)境的服務(wù)器進行定向投毒的Tellyouthepass勒索軟件的活躍有很大關(guān)系。

c37e248501194f7e857a37fa571b2e09_t0117b27fa5cb7057e6.png

勒索軟件疫情分析

Linux版RTM Locker勒索軟件將VMware ESXi服務(wù)器作為攻擊目標

RTM Locker團伙自2015年以來一直活躍于金融欺詐領(lǐng)域,一度以傳播用于金融詐騙的木馬而著稱。在今年4月底,安全研究人員發(fā)現(xiàn)RTM Locker勒索軟件推出了一項新的勒索軟件即服務(wù)(Raas)活動,并開始招募附屬機構(gòu)————這其中也包括了來自前Conti集團的附屬機構(gòu)。

  據(jù)稱,RTM目前已將其目標擴展到了Linux系統(tǒng)和VMware ESXi服務(wù)器。在過去幾年中,很多企業(yè)已越來越多的將服務(wù)系統(tǒng)轉(zhuǎn)向虛擬機。因此,各類組織的服務(wù)器通常分布在專用設(shè)備和運行多個虛擬服務(wù)器的VMware ESXi服務(wù)器上。而勒索軟件也順應(yīng)了這一趨勢————創(chuàng)建了專門針對ESXi服務(wù)器的Linux版勒索軟件,以成功加密企業(yè)的所有重要數(shù)據(jù)。

  研究人員分析發(fā)現(xiàn),RTM Locker的Linux版本是基于現(xiàn)已解散的Babuk勒索軟件的泄露源代碼改寫的。而且其似乎是專門為攻擊VMware ESXi系統(tǒng)而編寫的————因為它包含了大量用于管理虛擬機的命令。此外,目前已知該版本的RTM使用ECDH算法進行非對稱加密,同時使用ChaCha20進行對稱加密。

  跨國科技公司ABB遭到Black Basta勒索軟件攻擊

  瑞士跨國電氣化和自動化技術(shù)供應(yīng)商ABB,遭到了Black Basta勒索軟件攻擊,據(jù)報道此次攻擊已經(jīng)影響了其業(yè)務(wù)運營。該公司與眾多客戶和地方政府合作,包括沃爾沃、日立、DS Smith、納什維爾市政府和薩拉戈薩市政府等重要客戶。

  5月7日,該公司遭到Black Basta勒索軟件團伙發(fā)動的網(wǎng)絡(luò)攻擊。據(jù)悉本次勒索軟件攻擊主要針對該公司的Windows Active Directory,影響了數(shù)百臺設(shè)備。而作為對此次攻擊的安全響應(yīng),ABB終止了與客戶的VPN連接以防止勒索軟件傳播到其他網(wǎng)絡(luò)。

  目前,ABB發(fā)表聲明稱其“最近檢測到了一個直接影響某些位置和系統(tǒng)的IT安全事件。為了解決這種情況,ABB已經(jīng)并將繼續(xù)采取措施來控制這一事件,而這種控制措施對其運營造成了一些干擾”……但同時也表示其“絕大多數(shù)系統(tǒng)和工廠現(xiàn)在都在運行,ABB將繼續(xù)以安全的方式為其客戶服務(wù)?!?br/>

  以Zimbra服務(wù)器為目標的新型勒索軟件MalasLocker,要求受害者進行“慈善捐款”

據(jù)報道,一款針對Zimbra服務(wù)器進行入侵之后竊取電子郵件,并加密文件的新型勒索軟件MalasLocker出現(xiàn)。與以往勒索軟件不同的是——該勒索軟件攻擊者并沒有要求受害者,直接向他們支付贖金,而是要求向慈善機構(gòu)捐款以提供解密工具并防止數(shù)據(jù)泄露。

該勒索軟件于2023年3月底開始針對Zimbra服務(wù)器發(fā)起攻擊并進行加密,受害者均表示發(fā)現(xiàn)上傳到一下兩個路徑中存在可疑的JSP文件。

l  /opt/zimbra/jetty_base/webapps/zimbra/

l  /opt/zimbra/jetty/webapps/zimbra/public/

而相關(guān)的jsp文件名可能有如下幾個:

l  info.jsp

l  noops.jsp

l  heartbeat.jsp

153bc75da0031dc3c19dcc801236960b_t01fe9e605c482f0c61.png

  與常規(guī)的勒索軟件最大的區(qū)別,該家族的贖金訴求:其會要求受害者向他們“批準”的非營利慈善機構(gòu)捐款。并稱“只是不喜歡公司和經(jīng)濟不平等”“這是雙贏的,如果您愿意,您可能可以從捐款中獲得減稅和良好的公關(guān)形象”

黑客信息披露

以下是本月收集到的黑客郵箱信息:

03bb9e91e6c324ea65d9984e769c721a_t0173f84235be4f1121.png

4cfd195ab955250f483153368c67ccb0_t01842635b79c339c93.png

表格1. 黑客郵箱

  當(dāng)前,通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多,勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比情況統(tǒng)計,該數(shù)據(jù)僅為未在第一時間繳納贖金或拒繳納贖金部分(已經(jīng)支付贖金的企業(yè)或個人,可能不會出現(xiàn)在這個清單中)。

731b8876fa1028c59f2ec69e2b3495b2_t01fd1156f54ca4f2fb.png

      以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查,做好數(shù)據(jù)已被泄露準備,采取補救措施。 

    本月總共有560個組織/企業(yè)遭遇勒索攻擊,其中有5個中國組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。有6個組織/企業(yè)未被標明,因此不再以下表格中。

6f638cee1ee094b7b7d896c8ee49254d_t0168a847634bd799c0.png

3b526a910a18b71374a6ac69ad167d15_t01e7339f329ae87200.png

fdf84750cdbfd2727d148d2e44b1de5a_t01fe1513264cdc901a.png

2f7487f3c1bd5c5dc1c0a5972c906b94_t018d69dc4bde306238.png

d989add86c71bd2d527ef829ee80bc19_t01588f0144f4cdbbad.png

50d557ddc206e128973e4872bfcf1120_t0174ce5f19f025d953.png

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

  目前屬于請到廣聚信息的客戶已經(jīng)協(xié)助加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中,排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2016。

ac43bd2410752f3807d406e9eba86a7c_t019ea952b51e891ebd.png

對2023年5月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn),與之前幾個月采集到的數(shù)據(jù)進行對比,地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

91ce83ce15e169bae8b449bf7b07e22e_t0116fd6a944aebb049.png

通過觀察2023年5月弱口令攻擊態(tài)勢發(fā)現(xiàn),RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

dc48636e84f9f221a8f4ddf3aee6a9ea_t0121af70e7052670b1.png

  • 24小時服務(wù)電話:400-001-9776-2線
  • 商務(wù)合作:gjsec@guangjusec.com
  • 高新區(qū)行政:青島市高新區(qū)和源路2號27棟1706室
    黃島區(qū)行政:青島市黃島區(qū)江山南路480號訊飛未來港718室