打开微信扫一扫
2022年4月,全球新增的活跃勒索病毒家族有:Onyx、Industrial Spy、BlackBasta、Pipikaki、BlockZ、Phantom、Blaze等家族,其中Onyx、Industrial Spy、BlackBasta均为双重勒索勒索病毒家族。
本月最值得关注的有三个热点:
1. Magniber勒索病毒再次活跃,大量用户因下载伪装成windows 10的更新程序导致文件被加密。
2. 新型勒索病毒Onyx勒索病毒对大文件进行直接销毁。
3. 风力涡轮机公司Nordex、Snap-on遭遇Conti勒索团伙攻击,同时发现已经黑客利用泄露的Conti源码攻击俄罗斯公司。
4. 美国牙科协会受到Black Basta勒索病毒攻击。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,TargetCompany(Mallox)家族占比14.95%居首位,其次是占比14.71%的Rook,phobos家族以12.99%位居第三。
本月传播排名前五的家族,分别采用了不同的传播方式。勒索病毒多样化的同时,传播渠道也在多元化。其中:
• TargetCompany(Mallox)通过暴力破解成功获取数据库口令后、下发远程工具投毒或直接下发勒索病毒,同时具备内网横向移动能力。
• Rook利用携带恶意代码的第三方软件进行传播,
• Phobos利用暴力破解远程桌面口令后投毒。
• TellYouThePass利用多种Nday漏洞进行传播。
• Magniber利用网页挂马,伪装成升级软件等方式进行传播。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows 7。
2022年4月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主。与上个月相比,无较大波动。
勒索病毒疫情分析
Magniber伪装成Windows 10升级包进行传播
360安全大脑在4月底监控到Magniber再次活跃,此次传播不仅利用利用之前的网页挂马,还通过伪装成Windows 10升级包诱导用户下载运行。通常受害者是通过论坛、破解软件网站等地方下载文件时跳转到第三方云盘。下载时通常会下载到一个Windows 10升级包,还可能会跳转到色情、广告、购物等网站。
在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2012。
对2022年4月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。