勒索预警：勒索事件近期呈上升趋势，"预防"重于"治疗"

万海旭 • 2023-01-02 • 云技术社区 • 278 阅读

7月至11月勒索事件攻击态势：——腾讯安全威胁情报中心

7月上旬，勒索病毒家族Crysis（Phobos）、Sodinokibi、Globeimposter、Maze、Medusalocker、Buran等持续活跃但整体攻击量呈递减趋势。7月中下旬发现Tellyouthepass勒索家族开始借助永恒之蓝漏洞在国内传播，同时Avaddon家族在7月下旬感染量逐渐下降，新型勒索病毒BeiJingCrypt也在国内有所活跃，其特点为加密后将文件添加为.beijing扩展后缀。

8月整体勒索病毒呈先高后低的趋势，8月上旬由于GlobeImposter、Buran、Crysis(Phobos)、Sodinokibi等勒索病毒家族持续发起攻击，当月上旬勒索攻击显得较为活跃。8月中感染量有所下降，主要原因为各老牌家族活跃度降低，而Nemty家族则有活跃迹象。8下旬Stop系列勒索变种（以.boop加密扩展后缀为典型代表）借软件供应链传播，致使勒索攻击当月末勒索病毒影响出现上升趋势。

9月上旬勒索病毒感染趋势达到本月峰值，主要原因为Crysis(Phobos)，Sodinokibi、Stop、Nemty、Avaddon等家族活跃导致。9月中旬开始勒索整体感染趋势有所下降逐渐趋于平稳，主要为各勒索家族活跃度降低导致。但同时GlobeImposter家族活跃度有所上升，该家族依然为通过RDP弱口令传播，通过观察部分受害者被攻击环境可知，攻击者在早期爆破成功后并不立即实施加密勒索，通过留下一个后门远程账户，经过潜伏期尝试横向移动对该系统充分利用后，再使用后门账户远程登录投毒。

10月上旬勒索病毒感染量较低，受GlobeImposter，Crysis(Phobos)，Medusalocker持续活跃影响，在10月中旬勒索整体感染达到本月峰值。Sodinokibi，Nemty,，Stop等家族本月依然活跃。同时，Phorpiex僵尸网络在本月依然间歇性投递Avaddon勒索病毒。分析勒索病毒的攻击手法，发现弱口令爆破依然是企业遭受勒索攻击的最主要原因，老牌勒索团伙通常会对企业进行持久性的外部攻击，突破企业防线后再内部手动操作横向扩散，进而导致企业内网大面积感染，严重的造成业务停摆。

11月中上旬勒索病毒感染量较低，下旬开始攻击感染趋势有明显上升。本月GlobeImposter，Crysis(Phobos)，Medusalocker家族攻击最为频繁。Buran，LockBit，Stop，Sodinokibi，Avaddon等家族也有所活跃。勒索团伙入侵企业内一台资产后，通常并不立刻进行加密操作，而是通过长时间的扫描探测，窃取机密信息后，再大面积对企业实施加密勒索。勒索团伙不止使用公开的已知窃密木马，同时也会对正常的远程管理软件进行破解改造木马化利用。数据加密+数据泄露的勒索模式将会对企业带来经济和社会声誉的双重损失。

勒索病毒感染上升原因：（个人看法）

1.勒索态势同比特币价上升趋势相同，可能存在炒币动机。

自10月底开始至今，比特币价格攀升90%

我们知道，勒索病毒的赎金交易方式大部分以比特币作为流通，因近年勒索事件频发和上升，国内外安全厂商针对不同勒索病毒已逐渐形成成熟安全解决方案和能力，用户因被勒索而为不法分子支付赎金的可能已经越来越少。在这样一个防勒索能力逐渐强化和比特币矿池资源逐渐枯竭的环境背景下，可能存在：“利用勒索事件制造舆情——舆情推动比特币价格上涨——持有者高位套现”的前后逻辑。往年的勒索事件同数字货币价格的上涨下跌无明显联系，但今年受疫情影响，股市和各级投资市场整体活跃度欠佳，大量投资者资产持有不流通。利用勒索事件，拉升比特币交易市场活跃度，吸引资金入局大有可能。

2.国内安全演习活动逐渐结束，存在空窗期，勒索病毒借此机会开始活跃

接近年底，国内安全演习活动逐渐收尾结束，整体防护能力有所下降。勒索病毒借此空窗期大面积爆发，近期攻击方式多以：

（1）RDP远程登录爆破，投递感染。

（2）勒索钓鱼邮件，触发感染。

（3）MYSQL爆破，MSSQL爆破，Redis未授权访问等数据库安全风险，删库勒索。

（4）445端口SMB服务内网扩散感染

钓鱼勒索路径

入侵勒索路径