勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。
2024年9月，全球新增的雙重勒索軟件家族有Nitrogen、Orca、ValenciaLeaks。8月新增的傳統(tǒng)勒索軟件家族RNTC在國(guó)內(nèi)的傳播較為顯著，主要通過遠(yuǎn)程桌面登錄手動(dòng)投毒，同時(shí)通過smb共享擴(kuò)大加密文件范圍。
以下是本月值得關(guān)注的部分熱點(diǎn)：
1. 法飛塔確認(rèn)黑客竊取的440G文件已遭泄露
2. 堪薩斯州水廠遭網(wǎng)絡(luò)攻擊后被迫改為人工操作
3. NoName勒索軟件組織在最近的攻擊中部署RansomHub
基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。
感染數(shù)據(jù)分析
針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：TargetCompany(Mallox)家族占比31.21%居首位，第二的是RNTC占比22.93%的，Makop家族以15.92%位居第三。
     
圖1. 2024年9月勒索軟件家族占比
對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。
圖2. 2024年9月勒索軟件入侵操作系統(tǒng)占比
2024年9月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC與服務(wù)器平臺(tái)的攻擊比例基本相當(dāng)。
圖3. 2024年9月勒索軟件入侵操作系統(tǒng)類型占比 
勒索軟件熱點(diǎn)事件
速匯金確認(rèn)在長(zhǎng)達(dá)數(shù)日的系統(tǒng)中斷背后是網(wǎng)絡(luò)攻擊
匯款巨頭速匯金證實(shí)自9月20日以來，其所處理的系統(tǒng)故障和客戶投訴后均因該公司遭受了網(wǎng)絡(luò)攻擊所導(dǎo)致。雖然許多人此前就懷疑該公司受到了網(wǎng)絡(luò)攻擊，但直到當(dāng)?shù)貢r(shí)間23日早上，速匯金才證實(shí)了本次系統(tǒng)中斷是由網(wǎng)絡(luò)安全事件所致。
在速匯金客戶無(wú)法轉(zhuǎn)賬或訪問他們的資金后，該公司曾于21日表示他們遇到了“網(wǎng)絡(luò)中斷”影響了與系統(tǒng)的連接。
該公司最終于23日證實(shí)，網(wǎng)絡(luò)安全事件是系統(tǒng)中斷的原因，并向客戶保證，該公司正在與外部專家和執(zhí)法部門努力解決這一問題。
雖然速匯金沒有透露他們?cè)馐芰四姆N類型的攻擊，但長(zhǎng)時(shí)間的中斷和與系統(tǒng)的連接中斷表明存在勒索軟件攻擊。 考慮到速匯金龐大的客戶群，該公司潛在的數(shù)據(jù)泄露可能會(huì)對(duì)許多人產(chǎn)生深遠(yuǎn)的影響。
堪薩斯州水廠遭網(wǎng)絡(luò)攻擊后被迫改為人工操作
負(fù)責(zé)監(jiān)管西雅圖港口和機(jī)場(chǎng)的美國(guó)政府機(jī)構(gòu)——西雅圖港務(wù)局于9月13日證實(shí)，Rhysida勒索軟件組織是過去三周內(nèi)對(duì)該機(jī)構(gòu)系統(tǒng)發(fā)動(dòng)網(wǎng)絡(luò)攻擊的幕后黑手。此前，該機(jī)構(gòu)于8月24日透露遭到網(wǎng)絡(luò)攻擊，并被迫隔離了一些關(guān)鍵系統(tǒng)以控制影響。由此導(dǎo)致的IT中斷影響了西雅圖塔科馬國(guó)際機(jī)場(chǎng)的預(yù)訂和登機(jī)系統(tǒng)，并導(dǎo)致航班延誤。
在最初披露攻擊事件的三周后，港口正式確認(rèn)8月份的攻擊事件是Rhysida勒索軟件組織的成員策劃的勒索軟件攻擊。該聲明稱：“此次事件是由名為Rhysida的犯罪組織實(shí)施的一起勒索軟件攻擊。從那天起，港口系統(tǒng)再也沒有發(fā)生未經(jīng)授權(quán)的活動(dòng)。從西雅圖-塔科馬國(guó)際機(jī)場(chǎng)出發(fā)并使用西雅圖港的海運(yùn)設(shè)施仍然是安全的。”
據(jù)港口方面稱，調(diào)查發(fā)現(xiàn)未經(jīng)授權(quán)的黑客能夠訪問其部分計(jì)算機(jī)系統(tǒng)，并能夠加密某些數(shù)據(jù)的訪問權(quán)限。該港口決定關(guān)閉系統(tǒng)以及勒索軟件團(tuán)伙在未能及時(shí)隔離的系統(tǒng)上加密的行為導(dǎo)致了多重服務(wù)和系統(tǒng)的中斷，其中包括行李處理、值機(jī)亭、售票、Wi-Fi、乘客信息顯示屏、西雅圖港口網(wǎng)站、flySEA應(yīng)用以及預(yù)留停車位。盡管港口已經(jīng)在一周內(nèi)將大多數(shù)受影響的系統(tǒng)恢復(fù)上線，但它仍在努力恢復(fù)其他關(guān)鍵服務(wù)，如西雅圖港口網(wǎng)站、SEA Visitor Pass、TSA等待時(shí)間和flySEA應(yīng)用訪問。此外，該港口也決定不向勒索軟件犯罪團(tuán)伙支付解密器費(fèi)用，盡管攻擊者很可能會(huì)在8月中旬至月底之間在其暗網(wǎng)泄露網(wǎng)站上發(fā)布竊取的數(shù)據(jù)。
“西雅圖港沒有向攻擊者支付贖金的意圖，”西雅圖港執(zhí)行主任Steve Metruck說。“向犯罪組織支付贖金不符合港口的價(jià)值觀，也不符合我們作為納稅人資金守護(hù)者的承諾。”
NoName勒索軟件組織在最近的攻擊中部署RansomHub