2021年10月,环球新增的生动打单病毒家族有:MacwLocker、DeepBlueMagic、yanluowang、Cring、Spook、BronyaHaxxor、Mallox等打单病毒家族。个中MacwLocker是Evil Corp网络犯罪团伙为躲避美国制裁而更名的打单软件;yanluowang是一款海内未知团伙创建的针对国外企业进行攻击的打单软件;Spook是本月一款新增的双重打单软件,在其数据透露网站已展示37个受害者;本月针对海内用户进行攻击的YourData以及BeijingCrypt两个家族非常生动。
传染数据剖析针对本月打单病毒受害者所中打单病毒家族进行统计,YourData家族占比23.76%居首位;其次是占比20.09%的BeiJingCrypt;phobos家族以13.39%位居第三。
本月通过匿影僵尸网络进行传播的YourData打单病毒有大幅度上涨;BeiJingCrypt打单病毒家族的最新变种“.520”传染量呈现上升态势;海内新增的Mallox打单病毒通过SQLGlobeImposter渠道进行传播。
对本月受害者所利用的操作系统进行统计,位居前三的是:Windows 10、Windows 7以及Windows Server 2008。
2021年10月被传染的系统中桌面系统和做事器系统占比显示,受攻击的系统类型仍以桌面系统为主。本月被传染的桌面PC与9月比较占比上涨超过15% 。这紧张由于通过匿影僵尸网络进行传播的YourData 打单软件并非针对性传播,其受害者大部分为桌面PC。
打单病毒疫情剖析Evil Corp协新型打单病毒MacawLocker强势来袭
近日创造传播打单病毒的Evil Corp网络犯罪团伙为了躲避美国制裁,再次将其运营的打单软件名进行变动。这已经是该团伙第三次对打单软件进行重名,目前其利用过的软件名依次为:WastedLocker、Hades、PhoenixLocker、MacawLocker。
MacawLocker打单病毒在本月攻击了美国辛克莱广播集团,导致辛克莱广播集团业务被迫中断,几项公司资产被迫下线。个中包括电子邮件做事器、广播、新闻编辑室系统。某些电视台被迫创建Gamil账户以吸收不雅观众的新闻提示;部分本地的NFL比赛被国家体育节目(例如保龄球)所取代;一些受影响电台被急迫换到Facebook进行直播,还有一些电台则直接推迟播放韶光。
因被打单攻击而受到影响的电视台
Sodinokibi(REvil)因被攻击而被迫关闭在2021年9月才宣告回归的Sodinikibi(REvil) 遭遇双重打击——不仅被警方通过分外渠道获取到了之前用于解密的全部密钥(目前7月13日之前被该家族加密的文件,均可利用360解密大师解密),还在本月遭遇了未知来源的入侵。其支付网站以及数据透露网站遭遇挟制,被迫再次关闭其根本设备。目前最新受害者已不能通过打单提示信息中留下的网址联系上黑客。
访问Sodinokibi数据透露站点失落败
从黑客发布的看,导致该团伙关闭干系根本设备紧张由于匿名攻击者获取到了该团队的洋葱的私钥,并且可能有这些站点的备份。
Sodinokibi在XSS论坛发布的最新声明
YourData本月传染量大幅度上涨360安全大脑监控到本月YourData打单病毒家族传染量大幅度上涨。该家族在今年一贯未曾停歇过,并不断更新着其传播渠道。YourData打单家族又被称作Hakbit、Thanos家族,最早涌现于2019年11月,从2021年1月开始在海内有针对性的传播。其加密文件时将文件后新增带有该组织、企业特色的后缀。最早在7月是,便监控到该家族通过匿影僵尸网络进行传播,而本月其传染量更是呈爆发式增长。
同时,360安全大脑监控到自6月开始匿影僵尸网络的传染量有大幅度上涨。在这次攻击中,匿影僵尸网路该当获取到了一大批设备权限,在被攻陷设备中创建操持任务、投放远程掌握软件、挖矿木马等。从7月开始,YourData便采取该渠道分批量的对受控设备下发打单病毒。
匿影僵尸网络的传播态势
FIN7试图伪装合法安全公司招聘“廉价”劳动力近日有研究职员创造一个名为“Bastion Security”的假冒的网络安全公司网站,以渗透名义探求客户,之后发起打单攻击。“Bastion Security”自称是网络安全公司Convergent NetWork Solutions Ltd的衍生品,总部设在英国,但其站点却供应的却是是俄语的404页面。
经剖析创造该行动由FIN7(又被叫做Carbanak,从2015年开始从事网络犯罪活动)发起,并在其假冒网站发布招聘信息:招聘C++、PHP和python程序员、Windows系统管理员以及逆向工程专家,薪水每月在800到1200美元之间。一名被该“公司”录取的研究员称:该公司哀求新员工网络“客户”的管理员账户、备份等干系信息。
这大概率是网络犯罪团伙想通过雇佣廉价劳动力来替代招募互助伙伴的形式发起打单攻击。常日情形下,招募互助伙伴时运营团队常日只能获取到20%~30%的分成,而雇佣廉价劳动力只需每人每月支付800到1200美元。
黑客信息表露以下是本月网络到的黑客邮箱信息:
当前,通过双重打单或多重打单模式获利的打单病毒家族越来越多,打单病毒所带来的数据透露的风险也越来越大。以下是本月通过数据透露获利的打单病毒家族占比,该数据仅为未能第一韶光缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会涌如今这个清单中)。
以下是本月被双重打单病毒家族攻击的企业或个人。若未创造被数据存在透露风险的企业或个人也请第一韶光自查,做好数据已被透露准备,采纳补救方法。
MT
parkhotel.mk
Hougen Manufacturing
Kes
psomagen.com
barreaudecharleroi.be
CFE
TONLYELE.COM
weyers-architekten.de
VKP
Bristol Maid
InfoSync IT Solutions
HMCC
yankey.com.tw
Hall Technologies Inc
SEAT
nofeurope.com
peabodyproperties.com
EXAIR
Paris Society
Major Wire Industries
Gidel
agencegoodwin
Ferretti International
ILLUM
BOLTONUSA.COM
hitrac-engineering.com
Ventus
DACOLL.CO.UK
EagleView & Pictometry
Kurier
radium.com.tw
Townley Grammar School
Nakisa
Schimberg Co.
Höerskool Labori Paarl
Beedie
Digicel Group
ville-saintaffrique.fr
DAUMAR
SLIMSTOCK.COM
Franklin International
Perrin
stehimpuls.de
lawyersforemployers.ca
KMTBrrr
roadrebel.com
National Windowscreens
isvo.it
Trendico GmbH
The Insurance Emporium
elganso
adlinktech.com
Karl Bachl GmbH & Co.KG
Hemmink
GLOBAL PROTEIN
Tom Lange Company, Inc.
QPharma
aktieinvest.se
sapphiredentalcentre.ca
wnj.com
estampa.com.pa
Tilia GmbH. TILIA GROUP
Epsilor
Adore Fashions
Tom Lange Company, Inc.
Artsana
parkertide.com
Uteco Converting S.p.A.
Cenikor
Graff Diamonds
State Industrial Supply
Zona.ba
uvisionuav.com
episcopalretirement.com
fimmick
wataniaind.com
Bouquet Mulligan DeMaio
HAMTACO
PJ SAS Trading
Texas Enterprises, Inc.
LINICAL
SEIU Local 888
Toyotetsu North America
Jurysync
SMARTERASP.NET
watermarkbeachresort.com
U.S. GOV
selinigroup.it
cassini-technologies.com
sides.fr
Albireo Energy
Freeport Logistics, Inc.
reust.ch
Reliable Parts
All County Surveying Inc
La SECAN
Sykes Cottages
PHILIPPE FAUVEDER ET CIE
TV FUEGO
Ideal Printers
Hill and Associates CPAs
LENSBURY
madejwrobel.pl
Obeikan Investment Group
La SECAN
IDSFULFILLMENT
Haiti Meat Processing SA
jadecorp
Ronmor Holdings
Consult Three Architects
malcopro
JVCKenwood Case
Marketing Alliance Group
Statcomm
Matic Transport
houstonestateplanning.com
WAMGROUP
St Benet Biscop
Verhoff Machine & Welding
Meshulam
Legendary, Inc.
Bryce Downey & Lenkov LLC
PVR Ltd.
Home State Bank
generalplumbingsupply.com
RWL GmbH
aisc-airbus.com
Galloway Research Service
Gilberts
ceoempowers.org
Facilities Resource Group
MJ Group
planitox.com.br
valleyregionaltransit.org
Calibrus
Medical Designs
Suntide Commercial Realty
Santélys
conumaresources
Siegfried Rivera Law Firm
ITS, Inc.
SSMSJUSTICE.COM
Los Gatos Tomato Products
dataxport
NOF CORPORATION
Transource Services Corp.
Tech-Etch
Price Davis LLC
Transports Verlhac et Fils
shawneemt
Page Automation
Sashida warehouse CO., Ltd
SKH Group
trivalleypc.com
Glenbrook Automotive Group
sb-kc.com
Fat Brands Inc.
GENERALE PREFABBRICATI SPA
Grupo Vía
Align Technology
Creative Extruded Products
zgoda.net
nuevomundosa.com
Lee's Glass & Window Works
NATUS.COM
COURTOISE MOTORS
continentalcountryclub.com
DCI, Inc.
MOLNÁRBETON Kft.
National Rifle Association
cti.group
kacyumara.com.br
G.E.W. CORPORATION LIMITED
idline.fr
Daco Corporation
Motor Appliance Corporation
tedia.com
riversidetwp.org
EISENBERG HEFLER & LEVY LLP
CRM GROUP
www.lockslaw.com
Van Dijk De Jongh Notarissen
Raisetech
ferrolabella.com
Goss Dodge Chrysler Ram Jeep
KPS GROUP
DOSIK Technology
Farmers Cooperative Elevator
Pellisard
Electron Csillag
Macquarie Health Corporation
DBK Group
Lesk Engineering
Farmers Cooperative Elevator
Casa Royal
Western Urethane
Crowder Construction Company
ZKTeco USA
Albright Capital
Ruskin Community High School
Keycentrix
Open Group S.A.S
Barnes Professional Eye Care
Sbc Studio
QUANTUMGROUP.COM
Princess Yachts International
TRUJAS SAS
hagerstownpd.org
EMPLOYEES FROM ORANGE TELECOM
Neofidelys
Weiss Properties
Armour Transportation Systems
espera.com
mediacrush.co.il
Napili Kai Foundation Gallery
atento.com
MINT Investments
I’M CORPORATION(SUZHOU)CO.,LTD
Landofrost
CABINET CAZANAVE
ORLANDO IMPORT-EXPORT 2001 SRL
Israel MOD
Acorn Stairlifts
Atlas Financial Holdings, Inc.
Enviroplas
moonnurseries.com
PTT Exploration and Production
Livestream
maisonlaprise.com
Central Indiana Orthopedics PC
le-inc.com
jaykaltrading.com
DiGioia Gray & Associates, LLC
Bakertilly
hybuilding.com.sg
Jobbers Meat Packing Co., Inc.
pandol.com
National Beverage
E.M.I.T. Aviation Consult. Ltd.
MUTO SEIKO
bagbyelevator.com
Instituto Mixto de Ayuda Social
brident.com
Richard Chevrolet
Kern Glass and Aluminum Company
riviana.com
datastorageip.com
Roosevelt School District No 66
dcaa.gov.ae
Vaughn Industries
SAN CARLO GRUPPO ALIMENTARE SPA
VIASHOPPING
SPF Precut Lumber
Pierce Property Management, Inc.
wenco S. A.
rockportmusic.org
Gestão Contabilidade Empresarial
Berexco LLC
movingstation.com
Dongguan IMR Technology Co., Ltd
JMclaughlin
amina-treuhand.ch
Capital Distributors (S) Pte Ltd
SRH Holding
rijeka-airport.hr
TOA ELECTRIC INDUSTRIAL CO., LTD.
dusa.com.ve
logcabinhomes.com
Campus Sacre Coeur Wien Gymnasium
uslogic.com
STRATISVISUALS.COM
Medical Healthcare Solutions, Inc
Israel Post
cobabebrothers.com
Primary Residential Mortgage, Inc.
TILIA GROUP
Audras & Delaunois
Lufkin Independent School District
CreateInfor
4 Earth Farms, LLC
Pfertner GmbH Immobilienverwaltung
srstlaw.com
4 Earth Farms, LLC
Xiamen Naier Electronics Co., Ltd.
Grupo Alter
dawsoncountyne.org
Ocean View Nursing & Rehabilitation
MegaCine TV
thefoxhillclub.com
ECKERD PERU S.A, INKAFARMA, MIFARMA
dunndev.com
meritresources.org
OAKES MILLERS LIMITED (HJ Lea Oakes)
logi-cv.com
Exacta Corporation
Manhasset Union Free School District
chipsaway.at
galaxybuilders.com
Consolidated High School District 230
ASISMED S.A.
JANDLMARKETING.COM
Vantage Manufacturing & Assembly, LLC
Ardagh Group
katzmanproduce.com
Wayne Automatic Fire Sprinklers, Inc.
transdev.com
wormingtonlegal.com
Distribuidora de Industrias Nacionales
atsgruppo.eu
rivercityrental.com
Società Italiana degli Autori ed Editori
groeflinag.ch
ELGINKAN HOLDING SA
The National Math and Science Initiative
HJ Lea Oakes
wolfbergalvarez.com
Zurich Insurance Group | Zurich Insurance
Madina Group
ABSOLUTERESULTS.COM
EPOWER INTERNATIONAL ( SHANGHAl )CO.,LTD.
wmlaw.com.au
Our Lady's Abingdon
TK Elevator Innovation and Operations GmbH
alwatania.sa
H Hotels Collection
Network Communications International Corp.
folio.com.au
Tite - Live Belgique
ENTREPRISE PUBLIQUE DES TRAVAUX PUBLICS DALGER
North Island
Associated Solutions
Aeropuerto Internacional de la Ciudad de México
Gigabyte INC
Cock Foods Co., Ltd.
Manufacturing Technology Mutual Insurance Company
Troilus Gold
weber-betonpumpen.at
Shanghai Cyeco Environmental Technology Co., Ltd.
urbis.com.hk
CABINET FONT GUILLOT
ANTEL - Télécommunications nationales uruguayennes
Porto Seguro
Apex Filling Systems
Shanghai Huizhong Automotive Manufacturing Co., Ltd.
City College
Toos Asphalt Company
Shanghai Huizhong Automotive Manufacturing Co., Ltd.
Ideal Living
bataviacontainer.com
FEDERFARMA.CO DISTRIBUZIONE E SERVIZI IN FARMACIA SPA
系统安全防护数据剖析通过将2021年9月与10月的数据进行比拟,创造本月各个别系遭弱口令攻击的数量占比变革均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年10月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行比拟,地区排名和占比变革均不大。数字经济发达地区仍是攻击的紧张工具。
通过不雅观察2021年10月弱口令攻击态势创造,RDP和MYSQL弱口令攻击整体无较大颠簸。MSSQL在月尾有一次较大量的上涨,在这段韶光涌现了通SQLGlobeImpsoter渠道进行传播的Mallox打单病毒。
打单病毒关键词
以下是本月上榜生动打单病毒关键词统计,数据来自360打单病毒搜索引擎。
hauhitec:属于YourData,由于被加密文件后缀会被修正为hauhitec而成为关键词。通过“匿影” 僵尸网络进行传播。520:属于BeijngCrypt打单病毒家族,由于被加密文件后缀会被修正为520而成为关键词。该家族紧张的传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒。devos:该后缀有三种情形,均因被加密文件后缀会被修正为devos而成为关键词。但本月生动的是phobos打单病毒家族,该家族的紧张传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒。eking:属于phobos打单病毒家族,由于被加密文件后缀会被修正为eking而成为关键词。该家族紧张的传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒。Makop:该后缀有两种情形, 均因被加密文件后缀会被修正为makop而成为关键词:属于Makop打单病毒家族,该家族紧张的传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒。属于Cryptojoker打单病毒家,通过“匿影” 进行传播。tisc:属于Stop打单病毒家族,由于被加密文件后缀会被修正为tisc而成为关键词。该家族紧张的传播办法为:伪装成破解软件或者激活工具进行传播。GlobeImposter-Alpha666qqz: 属于GlobeImposter打单病毒家族,由于被加密文件后缀会被修正为GlobeImposter-Alpha666qqz而成为关键词。该家族紧张的传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒以及获取数据库口令后远程实行恶意代码加密系统文件。Mallox:属于Mallox打单病毒家族,由于被加密文件后缀会被修正为mallox而成为关键词。通过SQLGlobeImposter渠道进行传播。LockBit:LockBit打单病毒家族,由于被加密文件后缀会被修正为lockbit而成为关键词。该家族紧张的传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒。CryLock:属于CryLock打单病毒家族,该家族的紧张传播办法为:通过暴力破解远程桌面口令成功夹帐动投毒。解密大师从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Crysis。利用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。
安全防护建议
面对严厉的打单病毒威胁态势,360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护打算机安全,免受打单病毒传染。
一、针对个人用户的安全建议
对付普通用户,360安全大脑给出以下建议,以帮助用户免遭打单病毒攻击。
(一)养成良好的安全习气
1)电脑应该安装具有高等威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各种风险行为不要轻易采纳放行操作。
2)可利用安全软件的漏洞修复功能,第一韶光为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
3)只管即便利用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
4)主要文档、数据应常常做备份,一旦文件破坏或丢失,也可以及时找回。
5)电脑设置的口令要足够繁芜,包括数字、大小写字母、符号且长度至少该当有8位,不该用弱口令,以防攻击者破解。
(二)减少危险的上网操作
1)不要浏览来路不明的色情、赌钱等不良信息网站,此类网站常常被用于发起挂马、钓鱼攻击。
2)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可实行程序,对付陌生人发来的压缩文件包,更应提高当心,先利用安全软件进行检讨后再打开。
3)电脑连接移动存储设备(如U盘、移动硬盘等),应首先利用安全软件检测其安全性。
4)对付安全性不愿定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的毁坏。
(三)采纳及时的补救方法
1)安装360安全卫士并开启反打单做事,一旦电脑被打单软件传染,可以通过360反打单做事寻求帮助,以尽可能的减小自身丢失。
二、针对企业用户的安全建议
(一)企业安全方案建议
对企业信息系统的保护,是一项系统化工程,在企业信息化培植初期就该当加以考虑,培植过程中严格落实,防御打单病毒也并非难事。对企业网络的安全培植,我们给出下面几方面的建议。
1)安全方案
网络架构,业务、数据、做事分离,不同部门与区域之间通过VLAN和子网分离,减少由于单点沦陷造成大范围的网络受到攻击。内外网隔离,合理设置DMZ区域,对外供应做事的设备要做严格管控。减少企业被外部攻击的暴露面。安全设备支配,在企业终端和网络关键节点支配安全设备,并日常排查设备告警情形。权限掌握,包括业务流程权限与职员账户权限都该当做好掌握,如掌握共享网络权限,原则上以最小权限供应做事。降落由于单个账户沦陷而造成更大范围影响。数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免由于数据丢失、被加密等造成业务停摆,乃至被迫向攻击者妥协。2)安全管理
账户口令管理,严格实行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。补丁与漏洞扫描,理解企业数字资产情形,将补丁管理做为日常安全掩护项目,关注补丁发布情形,及时更新系统、运用系统、硬件产品安全补丁。定期实行漏洞扫描,创造设备中存在的安全问题。权限管控,定期检讨账户情形,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够当心,做好登记管理。内网强化,进行内网主机加固,定期排查未精确进行安全设置,未精确安装安全软件设备,关闭设备中的非必要做事,提升内网设备安全性。3)职员管理
职员培训,对员工进行安全教诲,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。行为规范,制订事情行为规范,辅导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络支配,做事器设置发布到互联网之中。(二)创造遭受打单病毒攻击后的处理流程
1)创造中毒机器应立即关闭其网络和该打算机。关闭网络能阻挡打单病毒在内网横向传播,关闭打算性能及时阻挡打单病毒连续加密文件。
2)联系安全厂商,对内部网络进行排查处理。
3)公司内部所有机器口令均应改换,你无法确定黑客节制了内部多少机器的口令。
(三)遭受打单病毒攻击后的防护方法
1)联系安全厂商,对内部网络进行排查处理。
2)登录口令要有足够的长度和繁芜性,并定期改换登录口令
3)主要资料的共享文件夹应设置访问权限掌握,并进行定期备份
4)定期检测系统和软件中的安全漏洞,及时打上补丁。
a)是否有新增账户
b)Guest是否被启用
c)Windows系统日志是否存在非常
d)杀毒软件是否存在非常拦截情形
5)登录口令要有足够的长度和繁芜性,并定期改换登录口令
6)主要资料的共享文件夹应设置访问权限掌握,并进行定期备份
7)定期检测系统和软件中的安全漏洞,及时打上补丁。
三、不建议支付赎金
末了——无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了打单攻击行为,而且解密的过程还可能会带来新的安全风险。可以考试测验通过备份、数据规复、数据修复等手段挽回部分丢失。比如:部分打单病毒只加密文件头部数据,对付某些类型的文件(如数据库文件),可以考试测验通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以考试测验和黑客协商来降落赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方盗取了主要数据并以此为威逼进行打单,则应立即采纳补救方法——修补安全漏洞并调度干系业务,尽可能将数据透露造成的丢失降到最低。
