2025年1月勒索软件流行态势分析

勒索软件流行态势分析 2025 年 1 月 360 数字安全——数字安全的领导者 第 1 页 勒索软件传播至今，360 反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供 360 反勒索服务。 2025 年 1 月，全球新增的双重勒索软件家族包有 GD Lockersec，该家族目前以攻击 AWS 托管站点并窃取数据进行勒索为主。新增的传统勒索软件家族有 Contacto、Codefinger、D0glun，其中 D0glun 仅发现在国内少数论坛中进行传播。 以下是本月值得关注的部分热点： Wolf Haldenstein 律师事务所称泄露了 350 万人的数据 勒索软件利用 Amazon AWS 功能加密 S3 存储容器 勒索软件团伙冒充 IT 支持在 Microsoft Teams 网络中进行钓鱼攻击 基于对 360 反勒索服务数据的分析研判，360 数字安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 360 数字安全——数字安全的领导者 第 2 页 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比40%居首位，第二的是 Makop 占比 14.29%的，RNTC 家族以 10%位居第三。 图 1. 2025 年 1 月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows7以及 Windows Server 2008。 360 数字安全——数字安全的领导者 第 3 页 图 2. 2025 年 1 月勒索软件入侵操作系统占比 2025 年 1 月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面 PC 大幅度高于服务器平台，NAS 平台以内网 SMB 共享加密为主。 图 3. 2025 年 1 月勒索软件入侵操作系统类型占比 360 数字安全——数字安全的领导者 第 4 页 勒索软件热点事件 Wolf Haldenstein 律师事务所称泄露了 350 万人的数据 Wolf Haldenstein 报告称它遭遇了一次数据泄露，使近 350 万人的个人信息暴露给了黑客。此次事件发生在 2023 年 12 月 13 日，但该公司表示数据分析和数字取证并发症严重延迟了调查的完成。 2025 年 1 月 10 日，Wolf Haldenstein 在其网站上发布了一份数据泄露通知，而缅因州 AG 数据泄露门户网站上的一个条目将受其影响的总人数锁定为 3445537 人。虽然这个数字是在 2024 年 12 月 3 日确定的，但该公司一直无法找到许多受影响者的联系信息，因此尚未发送通知。 尽管该律师事务所表示没有证据表明暴露的数据被滥用，但它警告受影响的个人，黑客可能持有有关他们的以下信息：  全名  社会安全号码 （SSN）  员工  身份证号码  医疗诊断  医疗索赔信息 泄露这些数据会急剧增加网络钓鱼、诈骗、社会工程和其他针对受影响个人的针对性攻击的风险。该公司在确定受影响的人方面进展缓慢，以及延迟公开，情况只会变得更糟。尽管无法直接联系受影响的个人，但将向那些认为自己受到影响的人提供补充的信用监控保险。Wolf Haldenstein 还建议个人对其帐户上的未经请求的通信和可疑活动保持警惕，并考虑设置欺诈警报或安全冻结。该公司没有明确说明暴露的数据是否属于客户、员工或将其信息存储在其服务器上的其他个人。如果您与他们有业务往来，谨慎的做法是打电话给他们并询问此事件对您有何影响。 360 数字安全——数字安全的领导者 第 5 页 勒索软件利用 Amazon AWS 功能加密 S3 存储容器 一款新的勒索软件使用 AWS的服务器端加密和只有攻击者知道的客户密钥（SSE-C）来加密 Amazon S3 buckets ，并索要赎金才能提供解密密钥。 有分析人员发现，一个名为“Codefinger”的攻击者已经加密了至少两名受害者。不过本轮攻击事件可能还会进一步扩大，或是出现更多攻击者开始采用此类策略进行加密和勒索攻击。 Amazon S3 是 AWS 提供的可扩展、安全且高速的对象存储服务，而 S3 buckets 是用于存储文件、数据备份、媒体、日志等的云存储容器。SSE-C 则是其提供的一种加密选项，用于保护静态 S3 数据，允许客户使用自己的加密密钥通过 AES-256 算法加密和解密其数据。AWS 不存储密钥，客户负责生成密钥、管理和保护密钥。 在 Codefinger 的攻击中，攻击者使用泄露的 AWS 凭证来获取 SSE-C 密钥生成权限。此后，攻击者在本地生成加密密钥以加密目标的数据。而由于 AWS不存储这些加密密钥，因此即使受害者向 Amazon 求助，在没有攻击者密钥的情况下也无法恢复数据。 勒索软件团伙冒充 IT 支持在 Microsoft Teams 网络中进行钓鱼攻击 勒索软件团伙近期越来越多地采用电子邮件轰炸手段发动攻击，并在 Microsoft Teams 通话中冒充技术支持人员，诱骗员工允许远程控制并安装提供公司网络访问权限的恶意软件。攻击者往往会在短时间内发送了数千封垃圾邮件，然后利用已控制的Office 365 实例呼叫目标，假装提供 IT 支持人员。 自 2024 年年底以来，在不少 Black Basta 勒索软件的攻击中出现了这种攻击策略。但安全研究人员发现与 FIN7 组织有关的其他攻击者可能也开始使用相同的方法。为了联系公司员工，黑客利用目标组织的默认 Microsoft Teams 配置，该配置允许来自外部域的呼叫和聊天。 在发现的案例中，黑客首先通过电子邮件发送了大量消息。不久之后，目标员工收到了来自名为“Help Desk Manager”的帐户的外部 Teams 电话。攻击者说服受害者通过 Microsoft Teams 设置远程屏幕控制会话。攻击者则释放了托管在外部 SharePoint360 数字安全——数字安全的领导者 第 6 页 链接上的恶意载荷，该载荷会为攻击者提供对受感染计算机的远程访问。攻击者还会检查系统详细信息并部署第二阶段的黑客工具与恶意指令。 由于在攻击的最后阶段之前就被阻止了，研究人员认为黑客的目标是窃取数据，然后部署勒索软件。此外，研究人员还观察到 STAC5777 试图在网络上部署 Black Basta勒索软件，因此攻击者可能与臭名昭著的勒索软件团伙有某种关系。 黑客信息披露 以下是本月收集到的黑客邮箱信息： rlocked@protonmail.com helper001@firemail.cc maxfromhim@gmail.com behappy123456@cock.li viton@cock.li BlackPanthe