2023年5月主流勒索軟件說明

2023年5月，全球新增的活躍勒索軟件家族有: BlackSuit、Zhong、AlphaWare、EXISC等家族。其中BlackSuit會修改被勒索設備的桌面壁紙；EXISC是本月新增的一款以企業(yè)為目標的勒索軟件。

以下是本月值得關注的部分熱點：

1. Linux版RTM Locker勒索軟件將VMware ESXi服務器作為攻擊目標

2. 跨國科技公司ABB遭到Black Basta勒索軟件攻擊

3. 以Zimbra服務器為目標的新型勒索軟件MalasLocker，要求受害者進行“慈善捐款”

感染數據分析

針對本月勒索軟件受害者所中病毒家族進行統計：Phobos家族占比25.42%居首位，占比15.25%的BeiJingCrypt家族和占比14.41%的TellYouThePass家族分居二三位。

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows Server 2012、Windows 10以及Windows Server 2008。

2023年5月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的服務器設備再次超過桌面終端。經分析推測——這與近期針對部署了Java環(huán)境的服務器進行定向投毒的Tellyouthepass勒索軟件的活躍有很大關系。

勒索軟件疫情分析

Linux版RTM Locker勒索軟件將VMware ESXi服務器作為攻擊目標

RTM Locker團伙自2015年以來一直活躍于金融欺詐領域，一度以傳播用于金融詐騙的木馬而著稱。在今年4月底，安全研究人員發(fā)現RTM Locker勒索軟件推出了一項新的勒索軟件即服務(Raas)活動，并開始招募附屬機構————這其中也包括了來自前Conti集團的附屬機構。

  據稱，RTM目前已將其目標擴展到了Linux系統和VMware ESXi服務器。在過去幾年中，很多企業(yè)已越來越多的將服務系統轉向虛擬機。因此，各類組織的服務器通常分布在專用設備和運行多個虛擬服務器的VMware ESXi服務器上。而勒索軟件也順應了這一趨勢————創(chuàng)建了專門針對ESXi服務器的Linux版勒索軟件，以成功加密企業(yè)的所有重要數據。

  研究人員分析發(fā)現，RTM Locker的Linux版本是基于現已解散的Babuk勒索軟件的泄露源代碼改寫的。而且其似乎是專門為攻擊VMware ESXi系統而編寫的————因為它包含了大量用于管理虛擬機的命令。此外，目前已知該版本的RTM使用ECDH算法進行非對稱加密，同時使用ChaCha20進行對稱加密。

  跨國科技公司ABB遭到Black Basta勒索軟件攻擊

  瑞士跨國電氣化和自動化技術供應商ABB，遭到了Black Basta勒索軟件攻擊，據報道此次攻擊已經影響了其業(yè)務運營。該公司與眾多客戶和地方政府合作，包括沃爾沃、日立、DS Smith、納什維爾市政府和薩拉戈薩市政府等重要客戶。

  5月7日，該公司遭到Black Basta勒索軟件團伙發(fā)動的網絡攻擊。據悉本次勒索軟件攻擊主要針對該公司的Windows Active Directory，影響了數百臺設備。而作為對此次攻擊的安全響應，ABB終止了與客戶的VPN連接以防止勒索軟件傳播到其他網絡。

  目前，ABB發(fā)表聲明稱其“最近檢測到了一個直接影響某些位置和系統的IT安全事件。為了解決這種情況，ABB已經并將繼續(xù)采取措施來控制這一事件，而這種控制措施對其運營造成了一些干擾”……但同時也表示其“絕大多數系統和工廠現在都在運行，ABB將繼續(xù)以安全的方式為其客戶服務。”

  以Zimbra服務器為目標的新型勒索軟件MalasLocker，要求受害者進行“慈善捐款”

據報道，一款針對Zimbra服務器進行入侵之后竊取電子郵件，并加密文件的新型勒索軟件MalasLocker出現。與以往勒索軟件不同的是——該勒索軟件攻擊者并沒有要求受害者，直接向他們支付贖金，而是要求向慈善機構捐款以提供解密工具并防止數據泄露。

該勒索軟件于2023年3月底開始針對Zimbra服務器發(fā)起攻擊并進行加密，受害者均表示發(fā)現上傳到一下兩個路徑中存在可疑的JSP文件。

l  /opt/zimbra/jetty_base/webapps/zimbra/

l  /opt/zimbra/jetty/webapps/zimbra/public/

而相關的jsp文件名可能有如下幾個：

l  info.jsp

l  noops.jsp

l  heartbeat.jsp

  與常規(guī)的勒索軟件最大的區(qū)別，該家族的贖金訴求：其會要求受害者向他們“批準”的非營利慈善機構捐款。并稱“只是不喜歡公司和經濟不平等”“這是雙贏的，如果您愿意，您可能可以從捐款中獲得減稅和良好的公關形象”

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表格1. 黑客郵箱

  當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比情況統計，該數據僅為未在第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業(yè)或個人，可能不會出現在這個清單中）。

      以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現被數據存在泄露風險的企業(yè)或個人也請第一時間自查，做好數據已被泄露準備，采取補救措施。 

    本月總共有560個組織/企業(yè)遭遇勒索攻擊，其中有5個中國組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。有6個組織/企業(yè)未被標明，因此不再以下表格中。

表格2. 受害組織/企業(yè)

系統安全防護數據分析

  目前屬于請到廣聚信息的客戶已經協助加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows Server 2016。

對2023年5月被攻擊系統所屬地域統計發(fā)現，與之前幾個月采集到的數據進行對比，地區(qū)排名和占比變化均不大。數字經濟發(fā)達地區(qū)仍是攻擊的主要對象。

通過觀察2023年5月弱口令攻擊態(tài)勢發(fā)現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。