Análisis de la situación del virus ransomware en mayo de 2022
En mayo de 2022, aparecieron en todo el mundo familias de ransomware recientemente activas como 7Locker, EAF, QuickBubck, PSRansom, Cheers, RansomHouse y Mindware. Entre ellas, Cheers, RansomHouse y Mindware tienen funciones duales de ransomware. . familia.
Basado en el análisis de los datos anti-ransomware de 360, el Centro de análisis e investigación de amenazas avanzadas de 360 Government and Enterprise Security Group (miembro del grupo de trabajo de respuesta y prevención de ransomware de CCTGA) publicó este informe.
Según las estadísticas de comentarios de las víctimas de ransomware de este mes, la familia Magnibo ocupó el primer lugar con un 46,17 %, Target Company (Mallox) ocupó el segundo lugar con un 15,52 % y la familia Phobos ocupó el tercer lugar con un 10,15 %.
Este mes, debido a que una gran cantidad de usuarios descargaron intencionalmente o no el ransomware Magniber disfrazado como un paquete de parche/actualización para Win10/win11 mientras navegaban por el sitio web, por primera vez, casi el 50% de los usuarios El ransomware fue infectado en un solo hogar.
Según las estadísticas sobre los sistemas operativos utilizados por las víctimas este mes, los tres primeros son Windows 10, Windows Server 2008 y Windows 7.
En mayo de 2022, la proporción de sistemas de escritorio y servidores entre los sistemas infectados mostró que la proporción de PC de escritorio aumentó debido a los ataques del virus ransomware Magniber, que tenía como objetivo Windows 10 y Windows 11.
A finales de abril de este año, el ransomware Magniber disfrazado de paquete de parche de actualización de Wndows10 se difundió ampliamente y 360 Security Brain emitió una advertencia al respecto.
A principios de mayo, 360 Security Brain volvió a detectar el nuevo ataque de esta familia a sistemas Windows 11, y también se actualizó el nombre de su paquete principal, como por ejemplo:
win 10-11 _system _Upgrade_software.msi
advertencia de covid. readme. xxxxxxxx.
La forma en que se propaga sigue siendo varios foros, sitios web de software pirateado, sitios porno falsos, etc. Cuando los usuarios visitan estos sitios web, se les inducirá a descargar ransomware disfrazado de parches o actualizaciones desde discos de red de terceros. Además, algunos sitios web cuentan con descargas automáticas.
El siguiente es un patrón de ataque reciente contra los virus que se propagan en Windows 11:
Después de ser cifrado por ransomware, el sufijo del archivo se convertirá en un sufijo aleatorio y cada víctima tendrá un sufijo independiente. Página de pago: si el rescate no se puede pagar dentro del tiempo especificado, el enlace dejará de ser válido. Si la víctima puede pagar el rescate dentro de los 5 días, solo necesita pagar 0,09 Bitcoin (aproximadamente 17.908 RMB al momento de escribir este informe), y el rescate se duplicará después de 5 días.
Este mes, 360 Security Brain Monitoring descubrió múltiples ataques de ransomware Mallox. El virus ataca principalmente aplicaciones web empresariales, incluidas Spring Boot, Weblogic, Access OA, etc. Después de obtener permisos del dispositivo de destino, intentará moverse lateralmente dentro de la intranet para obtener permisos de más dispositivos. Este enfoque es extremadamente dañino. 360 recuerda a los usuarios que fortalezcan la protección y recomienda utilizar los parches de seguridad proporcionados por los productos de seguridad de terminales 360 para prevenir y eliminar virus.
El historial de monitoreo de 360 Security Brain muestra que Mallox (también conocida como la empresa objetivo) ingresó a China en octubre de 2021 y se propagó principalmente a través del canal SQLGlobeImposter en los primeros días (después de obtener la contraseña de la base de datos, distribuyó el ransomware). remotamente). Este canal ha sido explotado durante mucho tiempo por el ransomware GlobeImposter). La propagación del ransomware GlobeImposter ha disminuido gradualmente este año y Mallox ha ocupado gradualmente este canal.
Además de los canales de propagación, 360 analizó casos de ataques recientes y descubrió que los atacantes implantarán una gran cantidad de WebShells en las aplicaciones web, y los nombres de estos archivos contendrán el carácter característico "kk". Una vez que el dispositivo objetivo es invadido con éxito, el atacante intentará liberar herramientas de piratería como PowerCat, lCX y AnyDesk para controlar la máquina objetivo, crear una cuenta e intentar iniciar sesión en la máquina objetivo de forma remota. Además, los atacantes utilizarán la herramienta fscan para escanear la intranet donde se encuentra el dispositivo e intentarán atacar otras máquinas en la intranet. Implemente ransomware después de obtener los privilegios máximos del dispositivo.
Recientemente, 360 Security Brain detectó un nuevo virus ransomware, 7Locker, que está escrito en Java y se propaga a través de vulnerabilidades del sistema OA.
Básicamente, utiliza la herramienta de compresión 7z para agregar una contraseña al archivo, que luego se comprime, se cifra y al archivo comprimido se le agrega una extensión 7z. Cada víctima puede solicitar un rescate específico a través de una clave de cliente única Solicitar y especificar. dirección de pago del rescate.
Además, según la información disponible actualmente, se especula que es muy probable que el incidente de comunicación familiar sea un ataque de chantaje lanzado por piratas informáticos de la provincia china de Taiwán dirigido a China continental.
El domingo 8 de mayo, el recién elegido presidente de Costa Rica, Hugo Chávez, declaró el estado de emergencia con el argumento de que muchas agencias gubernamentales estaban siendo atacadas por el ransomware Conde.
El ransomware Conti afirmó inicialmente haber atacado al gobierno de Costa Rica el mes pasado. La agencia de salud pública del país, la Caja Costarricense de Seguro Social (CCSS), dijo anteriormente que "Conti ransomware está siendo sometido a una revisión de seguridad periférica para verificar y evitar que vuelva a atacar".
Conti ya ha anunciado al respecto 672 GB de datos, que parecen contener datos pertenecientes a una agencia del gobierno costarricense.
La siguiente es la información de correo electrónico de piratas informáticos recopilada este mes:
Actualmente, cada vez hay más familias de ransomware que se benefician del ransomware doble o de múltiples modelos de ransomware, y de la fuga de datos causada por el ransomware. Los riesgos también están aumentando. He aquí un vistazo al porcentaje de familias de ransomware que se beneficiaron de las filtraciones de datos este mes. Los datos son solo la parte que no pagó el rescate o se negó a pagar el rescate en primer lugar (es posible que las empresas o personas que hayan pagado el rescate no aparezcan en esta lista).
Las siguientes empresas o personas fueron atacadas por familias duales de ransomware este mes. Si no hay riesgo de fuga de datos, realice un autoexamen lo antes posible, esté preparado para la fuga de datos y tome medidas correctivas.
Un total de 220 organizaciones/empresas sufrieron ataques de chantaje este mes, de las cuales 10 organizaciones/empresas en China (incluidas 5 organizaciones/empresas en la provincia china de Taiwán) sufrieron doble extorsión/extorsión múltiple este mes.
Tabla 2. Organizaciones/empresas comprometidas
Entre las versiones de sistemas atacadas este mes, las tres principales fueron Windows Server 2008, Windows 7 y Windows Server 2003.
Según las estadísticas regionales de sistemas atacados en mayo de 2022, en comparación con los datos recopilados en meses anteriores, las clasificaciones y proporciones regionales no han cambiado mucho. Las zonas con economías digitales desarrolladas siguen siendo los principales objetivos de los ataques.
Al observar los ataques a contraseñas débiles en mayo de 2022, se descubrió que no hubo fluctuaciones importantes en los ataques a contraseñas débiles de RDP y los ataques de contraseñas débiles de MYSQL. Aunque los ataques a contraseñas débiles de MSSQL fluctúan, todavía están dentro del rango normal y, en general, van en aumento.
Las siguientes son las estadísticas de palabras clave de ransomware activo en la lista de este mes. Los datos proceden del buscador de ransomware 360.
A juzgar por los datos descifrados por expertos en descifrado este mes, GandCrab tiene el mayor volumen de descifrado, seguido por el café. La mayor cantidad de usuarios utiliza Decryption Master para descifrar archivos, seguido por la familia de dispositivos cifrados CryptoJoker.