2024年11月勒索软件流行态势分析.docx

勒索软件流行态势分析

2024年11月

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2024年11月，全球新增的双重勒索软件家族有Kairos、Safepay、Argonauts、Chort、Termite。11月新增的传统勒索软件家族有XmrData、Frag、Triplex、Nyxe、MrBeast等十余个家族，其中XmrData、Frag有监测到在国内的传播行为。

以下是本月值得关注的部分热点：

VeeamRCE严重漏洞现在被Frag勒索软件利用实施攻击

施耐德电器确认黑客窃取数据后开发平台遭到破坏

俄罗斯逮捕了与勒索团伙有关的知名开发人员

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比22.38居首位，第二的是Makop占比15.38的，RNTC家族以11.89位居第三。

图1.2024年11月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows7以及WindowsServer2012。

图2.2024年11月勒索软件入侵操作系统占比

2024年11月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC高于服务器平台。

图3.2024年11月勒索软件入侵操作系统类型占比

勒索软件热点事件

VeeamRCE严重漏洞现在被Frag勒索软件利用实施攻击

在确认已被Akira和Fog勒索软件利用发起攻击后，Veeam备份和复制（VBR）的一个严重安全漏洞最近再度爆出被用来部署Frag勒索软件。

安全研究员发现，该漏洞（CVE-2024-40711）是由不受信任的数据漏洞反序列化引起的，未经身份验证的攻击者可以利用这些数据漏洞在VeeamVBR服务器上获得远程代码执行（RCE）权限。

曾有安全实验室于2024年9月9日发布了有关CVE-2024-40711的技术分析，并

将该漏洞的概念验证代码发布推迟到9月15日以便管理员有足够的时间安装Veeam于9月4日发布的安全更新。这一推迟也正是由于Veeam的VBR软件成为寻求快速访问公司备份数据的攻击者的热门攻击目标，而许多企业目前都将该软件视作灾难恢复和数据保护解决方案，以备份、恢复和复制虚拟、物理和云机器。

但实际上，安全响应人员发现这对延迟Akira和Fog勒索软件攻击的作用很小。攻击者依然利用了该RCE漏洞和被盗的VPN网关凭据，将流氓帐户添加到未修补和互联网暴露的服务器上的本地管理员和远程桌面用户组。

就在最近，研究人员还发现又有攻击组织（疑似是“STAC5881”）在攻击中使用了CVE-2024-40711漏洞将Frag勒索软件部署到了受感染的网络设备上。

图4.Frag勒索软件的勒索信息

这些攻击与Akira和Fog攻击者所使用的方法类似——他们都会在攻击期间针对备份和存储解决方案中未修补的漏洞和错误配置。

根据Veeam方面的数据，全球有超过550000名客户使用其产品，这其中甚至涵盖了全球2000强榜单中约74的公司，这一数据也说明了本次攻击事件背后巨大的潜在威胁。

施耐德电器确认黑客窃取数据后开发平台遭到破坏

施耐德电气已确认，在攻击者声称从该公司的JIRA服务器窃取了40GB的数据后，开发人员平台遭到破坏。

10月底，一位名叫“Grep”的攻击者在X上嘲讽该公司，表示他们已经入侵了其系统。在与媒体的对话中，Grep表示他们使用暴露的凭据入侵了SchneiderElectric的Jira服务器。获得访问权限后，他们声称使用MiniOrangeRESTAPI抓取了400k行用户数据。Grep表示，其中包括75000个唯一的电子邮件地址以及SchneiderElectric员工和客户的全名。

在暗网网站的帖子中，攻击者开玩笑地要求125000美元的“Baguettes”来换取不泄露数据，并分享了有关被盗内容的更多详细信息。

Grep进一步告诉媒体他们最