- 1、本文档共39页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
勒索软件流行态势分析
2024年11月
1
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2024年11月,全球新增的双重勒索软件家族有Kairos、Safepay、Argonauts、Chort、Termite。11月新增的传统勒索软件家族有XmrData、Frag、Triplex、Nyxe、MrBeast等十余个家族,其中XmrData、Frag有监测到在国内的传播行为。
以下是本月值得关注的部分热点:
nVeeamRCE严重漏洞现在被Frag勒索软件利用实施攻击
n施耐德电器确认黑客窃取数据后开发平台遭到破坏
n俄罗斯逮捕了与勒索团伙有关的知名开发人员
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
2
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:TargetCompany(Mallox)家族占比22.38%居首位,第二的是Makop占比15.38%的,RNTC家族以11.89%位居第三。
图1.2024年11月勒索软件家族占比
3
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows10、Windows7以及WindowsServer2012。
图2.2024年11月勒索软件入侵操作系统占比
4
2024年11月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC高于服务器平台。
图3.2024年11月勒索软件入侵操作系统类型占比
5
勒索软件热点事件
VeeamRCE严重漏洞现在被Frag勒索软件利用实施攻击
在确认已被Akira和Fog勒索软件利用发起攻击后,Veeam备份和复制(VBR)的一个严重安全漏洞最近再度爆出被用来部署Frag勒索软件。
安全研究员发现,该漏洞(CVE-2024-40711)是由不受信任的数据漏洞反序列化引起的,未经身份验证的攻击者可以利用这些数据漏洞在VeeamVBR服务器上获得远程代码执行(RCE)权限。
曾有安全实验室于2024年9月9日发布了有关CVE-2024-40711的技术分析,并将该漏洞的概念验证代码发布推迟到9月15日以便管理员有足够的时间安装
Veeam于9月4日发布的安全更新。这一推迟也正是由于Veeam的VBR软件成为寻求快速访问公司备份数据的攻击者的热门攻击目标,而许多企业目前都将该软件视作灾难恢复和数据保护解决方案,以备份、恢复和复制虚拟、物理和云机器。
但实际上,安全响应人员发现这对延迟Akira和Fog勒索软件攻击的作用很小。攻击者依然利用了该RCE漏洞和被盗的VPN网关凭据,将流氓帐户添加到未修补和互联网暴露的服务器上的本地管理员和远程桌面用户组。
就在最近,研究人员还发现又有攻击组织(疑似是“STAC5881”)在攻击中使用了CVE-2024-40711漏洞将Frag勒索软件部署到了受感染的网络设备上。
图4.Frag勒索软件的勒索信息
6
这些攻击与Akira和Fog攻击者所使用的方法类似——他们都会在攻击期间针对备份和存储解决方案中未修补的漏洞和错误配置。
根据Veeam方面的数据,全球有超过550000名客户使用其产品,这其中甚至涵盖了全球2000强榜单中约74%的公司,这一数据也说明了本次攻击事件背后巨大的潜在威胁。
施耐德电器确认黑客窃取数据后开发平台遭到破坏
施耐德电气已确认,在攻击者声称从该公司的JIRA服务器窃取了40GB的数据后,开发人员平台遭到破坏。
10月底,一位名叫“Grep”的攻击者在X上嘲讽该公司,表示他们已经入侵了其系统。在与媒体的对话中,Grep表示他们使用暴露的凭据入侵了SchneiderElectric的Jira服务器。获得访问权限后,他们声称使用MiniOrangeRESTAPI抓取了400k行用户数据。Grep表示,其中包括75000个唯一的电子邮件地址以及SchneiderElectric员工和客户的全名。
文档评论(0)