2024年3月勒索软件流行态势分析.docx

勒索软件流行态势分析

2024年3月

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年3月，全球新增的活跃勒索软件家族有RAWorld、RedRansomware、KillSecurity等，均为双重勒索病毒。

本月针对国内主流云服务器进行的勒索攻击比例大幅提高，从大量的云服务器用户反馈的案例看，相关系统均未安装360终端安全产品进行勒索防护，被攻击的直接原因主要是Web服务漏洞、数据库弱口令登录、远程桌面弱口令登录。

以下是本月值得关注的部分热点：

TellYouThePass再度活跃

瑞士表示Play勒索软件泄露了65000份政府文件

法国失业机构数据泄露影响4300万人

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比17.98居首位，第二的是占比16.67的Makop，phobos家族以15.35位居第三。

图1.2024年3月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2008以及WindowsServer2012。

图2.2024年3月勒索软件感染操作系统占比

2024年3月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器为主流平台，Nas平台受LvtLocker勒索家族的持续影响，占比依然居高不下。

图3.2024年3月勒索软件感染操作系统类型占比

勒索软件热点事件

TellYouThePass再度活跃

3月中旬与3月末360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而本月TellYouThePass勒索攻击的受害者都有着两个显著的共同特征：

中招设备未安装360安全产品，且云服务器占比很高；

中招设备均为运行财务管理服务的计算机。

经360安全智脑的分析研判，成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老牌勒索软件家族。

该家族仅在2023年就发动了3轮较大规模的攻击，而在2024年初又开始继续作恶。

而360云端智脑也为我们展示了其最近半年的攻击趋势，可以看到最近一段时间，其活跃程度显著增加：

图4.TellYouThePass近期传播量

本轮集中爆发是该家族在龙年后的首度回归,仅在3月20日一天我们就监测到了数千台财务电脑遭其攻击。

瑞士表示Play勒索软件泄露了65000份政府文件

瑞士国家网络安全中心(NCSC)发布了一份报告，分析了Xplain遭受勒索软件攻击后的数据泄露情况，披露该事件影响了数千份敏感的联邦政府文件。Xplain是一家瑞士技术和软件解决方案提供商，为各种政府部门、行政单位，甚至该国的军事力量提供服务。

当时，攻击者声称盗取了包含机密信息的文件，而其也确实在之后的2023年6月初兑现了该威胁，并在其暗网门户上发布了被盗数据。这之后，瑞士政府开始调查泄露的文件，并立即承认泄露的数据可能包含属于瑞士联邦管理局的文件。

2024年3月7日，瑞士政府发布了一份关于此事的声明，称有65000份政府文件遭到泄露：

这些文件中的大部分(95)影响了联邦司法和警察部(FDJP)的行政单位：联邦司法办公室、联邦警察办公室、国家移民秘书处和内部IT服务中心ISC-FDJP。

联邦国防部、民防和体育部(DDPS)受到的影响较小，占该数据的3多一点。

大约5000份文件包含敏感信息，包括个人数据(姓名、电子邮件地址、电话号码和地址)、技术细节、机密信息和账户密码。

一个由几百个文件组成的小集合，包含IT系统文档、软件或架构数据和密码。

公告称调查将于本月底完成，并将与联邦委员会分享全部结果和网络安全建议。

法国失业机构数据泄露影响4300万人

2024年3月13日，法国就业部披露黑客在2月6日至3月5日期间对其发动了网络攻击，窃取了过去20年在该机构注册的求职者详细信息，导致