360CERT網路安全十一月月報 | 本月新增四大雙重勒索病毒家族

近日，三六零集團(股票程式碼：601360.SH，以下簡稱“360”)網路安全響應中心（以下簡稱“360CERT”）釋出《網路安全十一月月報》（以下簡稱“十一月月報”），對十一月份安全漏洞分析、網路安全重大事件、勒索病毒攻擊態勢等內容進行了梳理，為網路安全等相關人員提供精準的網路安全態勢走向，便於更好的掌握網路安全發展趨勢。 

本月攻擊態勢主要聚焦了殭屍網路攻擊、釣魚郵件攻擊、網頁掛馬攻擊和針對Web應用和資料庫的攻擊四方面。11月份Windows平臺僵屍網路總體攻擊趨勢相對較為平穩，未見較大幅度的增長或減少。但Emotet 僵屍網路在停擺了多月之後，於本月再次出現傳播，疑似其部分運營者重啟了該殭屍網路的運作。雖然本月Emotet僵屍網路重啟，但根據360安全大腦的監測資料顯示， Emotet重啟後傳播規模並不大。

此外，在網頁掛馬攻擊方面，本月初，有駭客團伙使⽤Magnitube EK 漏洞利用套件在網頁廣告中植入CVE-2021-40444 漏洞利用程式碼，傳播Magniber勒索病毒。由於部分廣告頁面在訪問量較大的色情網站中被展示，此次攻擊對不少使用者造成了影響。

安全漏洞

2021年11月，360CERT共收錄28個漏洞，其中嚴重8個，高危15個，中危5個，並回顧了其中7個重點漏洞事件。主要漏洞型別包含特權提升、程式碼執行、UAF、拒絕服務等。涉及的廠商主要是Apache 、Linux、VMware、Windows、Google等。

安全事件

本月收錄安全事件278項，話題集中在資料洩露、惡意程式、網路攻擊方面，涉及的組織 有：Microsoft、Google、Twitter、Facebook、Apple、FBI、YouTube等。涉及的行業主要包含IT服務業、製造業、金融業、政府機關及社會組織、醫療行業、交通運輸業等。其中IT服務業依然是安全事件易發和多發的“重災區”，佔比為62.95%。

在十一月月報中，重點梳理了8起APT事件。其中APT-C-59（蕪瓊洞）組織2021年攻擊行動揭秘引起了關注，2021年上半年，360高階威脅研究院發現了來自同⼀個新APT組織的多起攻擊活動，根據該組織的攻擊特徵分析顯示，發現其相關攻擊行動未與目前已知APT組織關聯，同時觀察到該組織的兩次攻擊行動中都使用了0day漏洞攻擊手段，所以將其背後的攻擊者命名編號為APT-C-59（蕪瓊洞）。APT-C-59（蕪瓊洞）組織的最早的攻擊活動可以追溯到2020年8月，早期該組織就利用了部分瀏覽器的偽協議0day漏洞攻擊我國相關單位，同時還攻擊了越南地區的部分受害者。透過攻擊資料綜合分析，可以看到該組織的攻擊目標地區是以東亞和東南亞為主，涉及政府、智庫、媒體、醫療多個行業。

此外，在十一月月報中，還重點回顧了包括惡意程式事件、資料安全事件、網路攻擊事件和其他事件在內的12起重點事件，並梳理了安全事件的時間線。

惡意程式

2021年11月，全球新增的活躍勒索病毒家族有：Doyuk2、 HarpoonLocker、Rozbeh、BlackCocaine、Cryt0y、Flowey 、54BB47H (Sabbath)、 Entropy、ROOK、RobinHood、AvGhost等勒索病毒家族，其中 54BB47H (Sabbath)、Entropy、ROOK、RobinHood四個家族為本月新增的雙重勒索病毒家族。

此外，老牌勒索家Snatch也開始採用雙重勒索模式運營；而AvGhost勒索軟體針對服務器進行攻擊，雖然受害者聯絡到黑客後，駭客表示此次攻擊只是測試並承諾替使用者免費解密檔案，但實際結果是受害者仍有大量資料無法恢復。

其中，Magniber勒索軟體升級，瞄準國內使用者，成為本月最值得關注的勒索病毒。11月5日開始，360安全大腦檢測到CVE-2021-40444漏洞攻擊攔截量有較明顯上漲。經過360政企安全集團高階威脅研究分析中心分析追蹤發現，這是⼀起掛馬攻擊團伙，利用CVE-2021-40444大肆傳播勒索病毒的攻擊事件，同時病毒在攻擊過程中，還使用了PrintNightmare漏洞進行提權。該駭客團伙主要透過在色情網站、遊戲網站（也存在少部分其它網站）的廣告位上，投放植入帶有攻擊程式碼的廣告，當使用者訪問到該廣告頁面時，就有可能中招，感染勒索病毒。截止當前360安全衛士仍能攔截到約500次每小時的掛馬廣告頁面訪問。而漏洞攔截量，最高單日也已超過1000次。

Magniber 勒索軟體是基於Magnitude exploit kit（Magnitude EK）開發套件進行開發，早期還曾傳播過Locky、Cerber勒索病毒家族。被該勒索加密後，檔案字尾將被修改為隨機字串，受害者需向攻擊者支付0.044~0.048個位元(價格⼀直在波動,5天內若未支付，贖金將會翻倍)。

同時，十一月月報中還指出，當前，透過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多，勒索病毒所帶來的資料洩露的風險也越來越大。十一月月報中收錄了透過資料洩露獲利的勒索病毒家族佔比，該資料僅為未能第⼀時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個⼈，可能不會出現在這個清單中）。

對此，360安全大腦指出，對企業資訊系統的保護，是⼀項系統化工程，在企業資訊化建設初期就應該加以考慮，建設過程中要嚴格落實，防禦勒索病毒並非難事。同時，360安全大腦不建議使用者支付勒索病毒贖金，可以嘗試透過備份、資料恢復、資料修復等手段挽回部分損失。