報告編號:B6-2021-072901
報告來源:360高階威脅研究分析中心
報告作者:360高階威脅研究分析中心
更新日期:2021-07-29
事件分析
近日360高階威脅研究分析中心監測發現,YourData勒索病毒國內傳播趨勢開始異常上漲,360安全大腦資料顯示,其開始採用「匿影」殭屍網路進行傳播(該殭屍網路還曾傳播過WannaRen以及CryptoJoker勒索病毒家族), YourData勒索病毒又被稱作Hakbit、Thanos家族,最早出現於2019年11月。但在2021年1月之前,國內極少出現被該病毒或變種攻擊案例。2021年1月開始在國內出現該家族的變種,由於早期其字尾雖一直更新,但在國內傳播時使用到的郵箱均為[email protected],被命名為YourData。
- 2021年1月份開始,該變種開始在國內採用暴力破解遠端桌面口令進行傳播,但未顯示出對企業的針對性。
- 2021年4月份開始,發現該家族開始針對性的進行投放勒索軟體,使用帶有受害者公司名特徵的字串作為字尾來重新命名被加密檔案。同樣採用暴力破解遠端桌面口令進行傳播。
- 2021年7月份開始,發現該家族開始通過「匿影」殭屍網路進行傳播,開始大範圍傳播。
在此前發起針對性攻擊時,該家族在生成的勒索提示資訊中不僅給出了郵箱聯絡方式,還留下了一個網址,可和駭客進行即時通訊。駭客給受害者24小時的時間,若不能在24小時內支付0.7BTC的贖金,解密檔案所需費用將提升20%.
此次利用「匿影」殭屍網路投放的勒索病毒生成的勒索提示資訊,僅提供郵件地址供受害者聯絡,之前的通訊頁面沒有提供。
「匿影」殭屍網路在今年6月底進行了一次更新。此次更新後,「匿影」通過已經駐留在受害機器中的後門植入檔名為「msf.ps1」的惡意powershell指令碼,該指令碼讀取存放於basemsf.txt和powershell.txt中的powershell程式碼,解碼後執行,其中basemsf.txt是負責投遞各類木馬病毒、內網橫向移動工具的主要功能模組,powershell.txt負責將惡意程式碼反射注入到powershell程序中。「匿影」殭屍網路攻擊流程如下圖所示。
當basemsf.txt進入機器後,會根據實際情況從遠端伺服器下載挖礦木馬、後門程式和勒索病毒,並植入到機器中。
經過6月底的更新後,「匿影」殭屍網路攻擊趨勢出現一定幅度的增長,每天有近百臺計算機遭到匿影殭屍網路的攻擊。下圖展示了「匿影」殭屍網路近半年的攻擊趨勢,可以清晰看到6月底的增長。
時間線
2021-07-29 360CERT釋出通告
特製報告下載連結
一直以來,360CERT對全球重要網路安全事件進行快速通報、應急響應。為更好地為政企使用者提供最新漏洞以及資訊保安事件的安全通告服務,現360CERT正式推出安全通告特製版報告,以便使用者做資料留存、傳閱研究與查詢驗證。使用者可直接通過以下連結進行特製報告的下載。
YourData勒索軟體國內攻擊通告
http://certdl.qihucdn.com/cert-public-file/forward_event_anaylze/【360CERT】YourData勒索軟體國內攻擊通告.pdf