Análisis de la situación del ransomware en mayo de 2022
En mayo de 2022, aparecieron en todo el mundo nuevas familias de ransomware activo como 7Locker, EAF, QuickBubck, PSRansom, Cheers, RansomHouse y Mindware. Entre ellas, Cheers, RansomHouse y Mindware son familias con dualidad. funciones ransomware.
Basado en el análisis de los datos anti-ransomware de 360, el Centro de análisis e investigación de amenazas avanzadas de 360 Government and Enterprise Security Group (miembro del grupo de trabajo de respuesta y prevención de ransomware de CCTGA) publicó este informe.
Según las estadísticas de comentarios de las víctimas de ransomware de este mes, la familia Magniber ocupó el primer lugar con un 46,17 %, la empresa objetivo (Mallox) ocupó el segundo lugar con un 15,52 % y la familia Phobos ocupó el tercer lugar con un 10,15 %.
Este mes, debido a que una gran cantidad de usuarios descargaron intencionalmente o no el ransomware Magniber disfrazado de paquete de actualización/parche Win10/win11 mientras navegaban por el sitio web, esta es la primera vez que un solo hogar ha sido infectado en casi un 50%.
Según las estadísticas sobre los sistemas operativos utilizados por las víctimas este mes, los tres primeros son Windows 10, Windows Server 2008 y Windows 7.
La proporción de sistemas de escritorio y servidores entre los sistemas infectados en mayo de 2022 muestra un aumento en la proporción de PC de escritorio debido a los ataques de ransomware Magniber dirigidos a Windows 10 y Windows 11.
A finales de abril de este año, el ransomware Magniber disfrazado de paquete de parche de actualización de Windows 10 se difundió ampliamente y 360 Security Brain emitió una advertencia al respecto.
A principios de mayo, 360 Security Brain volvió a detectar un nuevo ataque de esta familia en sistemas Windows 11, y también se actualizó el nombre de su paquete de software principal, por ejemplo:
win 10 -11 _ Software de actualización del sistema. msi
co vid . readme . xxxxxxxx . MSI
La forma en que se propaga sigue siendo varios foros, sitios web de software pirateados, sitios pornográficos falsos, etc. Cuando los usuarios visitan estos sitios web, se les induce a descargar ransomware disfrazado de parches o actualizaciones desde unidades en la nube de terceros. Además, algunos sitios web tienen funciones de descarga automática.
El siguiente es un patrón de ataque de virus recientes que se propagan contra Windows 11:
Después de ser cifrado por ransomware, el sufijo del archivo se cambiará a un sufijo aleatorio y cada víctima tendrá una página de pago separada: si el rescate no se puede pagar dentro del tiempo especificado, el enlace dejará de ser válido. Si la víctima puede pagar el rescate dentro de los 5 días, solo necesita pagar 0,09 Bitcoin (aproximadamente 17.908 RMB al momento de escribir este informe), y el rescate se duplicará después de 5 días.
Este mes, 360 Security Brain Monitoring descubrió múltiples ataques de ransomware Mallox. El virus ataca principalmente aplicaciones web empresariales, incluidas Spring Boot, Weblogic, Access OA, etc. Después de obtener acceso al dispositivo de destino, intentará moverse horizontalmente dentro de la intranet para obtener acceso a más dispositivos, lo cual es extremadamente dañino. 360 recuerda a los usuarios que fortalezcan la protección y recomienda utilizar parches de seguridad proporcionados por los productos de seguridad de terminales 360 para prevenir y eliminar virus.
El historial de monitoreo de 360 Security Brain muestra que Mallox (también conocida como Target Company) ingresó a China en octubre de 2021. En los primeros días, se propagó principalmente a través del canal SQLGlobeImposter (ransomware distribuido de forma remota después de obtener la contraseña de la base de datos). . Este canal ha sido utilizado durante mucho tiempo por el ransomware GlobeImposter).
Este año, la propagación del ransomware GlobeImposter ha disminuido gradualmente y Mallox se ha ido apoderando gradualmente de este canal.
Además de los canales de comunicación, 360 analizó casos de ataques recientes y descubrió que los atacantes implantarán una gran cantidad de WebShells en las aplicaciones web, y los nombres de estos archivos contendrán el carácter característico "kk". Una vez que el dispositivo objetivo se ve comprometido con éxito, el atacante intentará liberar herramientas de piratería como PowerCat, lCX y AnyDesk para controlar la máquina objetivo, crear cuentas e intentar iniciar sesión en la máquina objetivo de forma remota. Además, el atacante utilizará la herramienta fscan para escanear la intranet donde se encuentra el dispositivo e intentará atacar otras máquinas en la intranet. Comience a implementar ransomware después de obtener los privilegios máximos del dispositivo.
Recientemente, 360 Security Brain detectó un nuevo ransomware llamado 7Locker, que está escrito en Java y se propaga a través de vulnerabilidades del sistema OA. Básicamente, utiliza la herramienta de compresión 7z para agregar una contraseña al archivo, luego comprime el archivo, lo cifra y lo comprime. La extensión 7z agrega. Cada víctima puede ver la demanda de rescate específica y la dirección de pago de rescate designada a través de una clave de cliente única.
Además, según la información disponible actualmente, se especula que el incidente de comunicación de esta familia es muy probablemente un ataque de chantaje lanzado por piratas informáticos de la provincia china de Taiwán dirigido a China continental.
El domingo 8 de mayo, el recién elegido presidente de Costa Rica, Hugo Chávez, declaró el estado de emergencia alegando que muchas agencias gubernamentales estaban siendo atacadas por el ransomware Conti.
El ransomware Conti afirmó inicialmente haber atacado al gobierno de Costa Rica el mes pasado. La agencia de salud pública de Costa Rica, la Caja Costarricense de Seguro Social (CCSS), dijo anteriormente que "el ransomware Conti está siendo sometido a una revisión de seguridad perimetral para verificar y evitar que vuelva a atacar".
Actualmente, Conti ha anunciado alrededor de 672 GB de datos, que parecen contener datos pertenecientes a una agencia del gobierno de Costa Rica.
La siguiente es la información de correo electrónico de piratas informáticos recopilada este mes:
Actualmente, hay cada vez más familias de ransomware que se benefician de modelos de doble extorsión o extorsión múltiple, y los datos causados por ransomware El riesgo El riesgo de fugas también está aumentando. Este es el porcentaje de familias de ransomware que se beneficiaron de las filtraciones de datos este mes. Los datos son solo una parte de los datos que no pagaron el rescate la primera vez o se negaron a pagar el rescate (es posible que las empresas o personas que hayan pagado el rescate no aparezcan en esta lista).
Las siguientes empresas o personas fueron atacadas por familias duales de ransomware este mes. Si no encuentra que los datos corren riesgo de ser filtrados, compruébelo usted mismo lo antes posible para prepararse para la fuga de datos y tomar medidas correctivas.
Un total de 220 organizaciones/empresas sufrieron ataques de ransomware este mes, de las cuales 10 organizaciones/empresas en China (incluidas 5 organizaciones/empresas en la provincia china de Taiwán) sufrieron doble extorsión/extorsión múltiple este mes.
Tabla 2. Organizaciones/empresas comprometidas
Entre las versiones de sistemas atacadas este mes, las tres principales fueron Windows Server 2008, Windows 7 y Windows Server 2003.
Según las estadísticas regionales de sistemas atacados en mayo de 2022, las clasificaciones y proporciones regionales no han cambiado mucho en comparación con los datos recopilados en meses anteriores. Las zonas con economías digitales desarrolladas siguen siendo los principales objetivos de los ataques.
Al observar los ataques a contraseñas débiles en mayo de 2022, se descubrió que los ataques a contraseñas débiles de RDP y los ataques de contraseñas débiles de MYSQL generalmente no fluctuaban mucho. Aunque los ataques a contraseñas débiles de MSSQL han fluctuado, todavía se encuentran dentro del rango normal y la tendencia general va en aumento.
Las siguientes son las estadísticas de palabras clave de ransomware activo en la lista de este mes. Los datos proceden del buscador de ransomware 360.
A juzgar por los datos descifrados por el maestro de descifrado este mes, GandCrab tiene el mayor volumen de descifrado, seguido por el café. La cantidad de usuarios que utilizan Decryption Master para descifrar archivos es la más alta, seguida por la serie CryptoJoker de dispositivos cifrados.