勒索軟件傳播至今，360反勒索服務已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。 2024年9月，全球新增的雙重勒索軟件家族有Nitrogen、Orca、ValenciaLeaks。8月新增的傳統(tǒng)勒索軟件家族RNTC在國內(nèi)的傳播較為顯著，主要通過遠程桌面登錄手動投毒，同時通過smb共享擴大加密文件范圍。 以下是本月值得關注的部分熱點： 1.?法飛塔確認黑客竊取的440G文件已遭泄露 2.?堪薩斯州水廠遭網(wǎng)絡攻擊后被迫改為人工操作 3.?NoName勒索軟件組織在最近的攻擊中部署RansomHub 基于對360反勒索服務數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。 感染數(shù)據(jù)分析 針對本月勒索軟件受害者設備所中病毒家族進行統(tǒng)計：TargetCompany(Mallox)家族占比31.21%居首位，第二的是RNTC占比22.93%的，Makop家族以15.92%位居第三。 ? ? ? 圖1. 2024年9月勒索軟件家族占比 對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。 圖2. 2024年9月勒索軟件入侵操作系統(tǒng)占比 2024年9月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC與服務器平臺的攻擊比例基本相當。 圖3. 2024年9月勒索軟件入侵操作系統(tǒng)類型占比? 勒索軟件熱點事件 速匯金確認在長達數(shù)日的系統(tǒng)中斷背后是網(wǎng)絡攻擊 匯款巨頭速匯金證實自9月20日以來，其所處理的系統(tǒng)故障和客戶投訴后均因該公司遭受了網(wǎng)絡攻擊所導致。雖然許多人此前就懷疑該公司受到了網(wǎng)絡攻擊，但直到當?shù)貢r間23日早上，速匯金才證實了本次系統(tǒng)中斷是由網(wǎng)絡安全事件所致。 在速匯金客戶無法轉(zhuǎn)賬或訪問他們的資金后，該公司曾于21日表示他們遇到了“網(wǎng)絡中斷”影響了與系統(tǒng)的連接。 該公司最終于23日證實，網(wǎng)絡安全事件是系統(tǒng)中斷的原因，并向客戶保證，該公司正在與外部專家和執(zhí)法部門努力解決這一問題。 雖然速匯金沒有透露他們遭受了哪種類型的攻擊，但長時間的中斷和與系統(tǒng)的連接中斷表明存在勒索軟件攻擊。 考慮到速匯金龐大的客戶群，該公司潛在的數(shù)據(jù)泄露可能會對許多人產(chǎn)生深遠的影響。 堪薩斯州水廠遭網(wǎng)絡攻擊后被迫改為人工操作 負責監(jiān)管西雅圖港口和機場的美國政府機構——西雅圖港務局于9月13日證實，Rhysida勒索軟件組織是過去三周內(nèi)對該機構系統(tǒng)發(fā)動網(wǎng)絡攻擊的幕后黑手。此前，該機構于8月24日透露遭到網(wǎng)絡攻擊，并被迫隔離了一些關鍵系統(tǒng)以控制影響。由此導致的IT中斷影響了西雅圖塔科馬國際機場的預訂和登機系統(tǒng)，并導致航班延誤。 在最初披露攻擊事件的三周后，港口正式確認8月份的攻擊事件是Rhysida勒索軟件組織的成員策劃的勒索軟件攻擊。該聲明稱：“此次事件是由名為Rhysida的犯罪組織實施的一起勒索軟件攻擊。從那天起，港口系統(tǒng)再也沒有發(fā)生未經(jīng)授權的活動。從西雅圖-塔科馬國際機場出發(fā)并使用西雅圖港的海運設施仍然是安全的?！? 據(jù)港口方面稱，調(diào)查發(fā)現(xiàn)未經(jīng)授權的黑客能夠訪問其部分計算機系統(tǒng)，并能夠加密某些數(shù)據(jù)的訪問權限。該港口決定關閉系統(tǒng)以及勒索軟件團伙在未能及時隔離的系統(tǒng)上加密的行為導致了多重服務和系統(tǒng)的中斷，其中包括行李處理、值機亭、售票、Wi-Fi、乘客信息顯示屏、西雅圖港口網(wǎng)站、flySEA應用以及預留停車位。盡管港口已經(jīng)在一周內(nèi)將大多數(shù)受影響的系統(tǒng)恢復上線，但它仍在努力恢復其他關鍵服務，如西雅圖港口網(wǎng)站、SEA Visitor Pass、TSA等待時間和flySEA應用訪問。此外，該港口也決定不向勒索軟件犯罪團伙支付解密器費用，盡管攻擊者很可能會在8月中旬至月底之間在其暗網(wǎng)泄露網(wǎng)站上發(fā)布竊取的數(shù)據(jù)。 “西雅圖港沒有向攻擊者支付贖金的意圖，”西雅圖港執(zhí)行主任Steve Metruck說?！跋蚍缸锝M織支付贖金不符合港口的價值觀，也不符合我們作為納稅人資金守護者的承諾?！? NoName勒索軟件組織在最近的攻擊中部署RansomHub