摘要:2024年,全球数字经济的迅猛发展与日益普及的在线服务共同推动了网络安全的复杂化。AI的广泛应用,虽然为企业带来了便利,却也为网络攻击者提供了新的攻击面。黑客们利用先进的技术手段和不断演化的策略,形成了更加智能化和隐蔽的攻击模式。勒索软件不再是简单的攻击工具,
2024年,全球数字经济的迅猛发展与日益普及的在线服务共同推动了网络安全的复杂化。AI的广泛应用,虽然为企业带来了便利,却也为网络攻击者提供了新的攻击面。黑客们利用先进的技术手段和不断演化的策略,形成了更加智能化和隐蔽的攻击模式。勒索软件不再是简单的攻击工具,越来越多的攻击开始瞄准政府机构和关键基础设施,造成的安全隐患和经济损失日益严重,影响着社会的正常运转。
与此同时,2024年的勒索攻击展现出多样化和持续性的特征。攻击者不仅依赖于技术手段,还巧妙地运用社交工程策略,深入挖掘人性弱点,进行精准打击。这种新型的攻击方式使得企业和组织面临前所未有的挑战,传统的防御措施显得捉襟见肘。勒索软件的目标也逐渐从单纯的经济利益转向更为复杂的政治和社会动机,给全球网络安全带来了深刻的影响。
根据亚信安全威胁情报中心统计,2024年受攻击行业Top3分别为:制造业、服务业与互联网行业。全年全球累计勒索病毒攻击行业分布如下:
2024年受害行业分布(来源:亚信安全威胁情报中心)
2024年勒索事件受害者所属国家Top10如图所示。美国为受勒索攻击最严重的国家,占比50.6%。
2024年十大受害国家(来源:亚信安全威胁情报中心)
2024年全年监控到活跃的勒索家族共有92个,Top10勒索家族如图所示。从图中可知,Ransomhub勒索数量超过Lockbit3.0成为影响最严重的勒索家族;Play和akira也是两个活动频繁的恶意家族,需要注意防范。
2024年十大勒索家族(来源:亚信安全威胁情报中心)
2024年,Ransomhub超过Lockbit3.0成为全球范围内最具威胁的勒索组织,接下来请查阅2024年度十大勒索家族的详细介绍。
Part.01 Ransomhub
攻击事件
美国互联网公司islandphoto卖方和买方的发票,销售货物的详细情况,提供的服务,支付的金额,姓名,姓氏,电子邮件,电子邮件,电话,电话,地址,城市,州,国家,客户护照,社会安全号码,驾驶执照以及与监管机构的申请和通信数据被Ransomhub组织勒索。
阿根廷医疗公司osmedica被Ransomhub组织勒索,被窃取的数据包括捐助计划、发票信息、患者私人数据、医生个人信息、病例等信息。
勒索介绍
Ransomhub由iZOOlogic研究团队在暗网中发现,该组织迅速确立了自己作为网络犯罪中潜在强大对手的地位。
Ransomhub称他们是一个出于经济动机的黑客组织,由来自不同国家的各种成员组成。但是他们宣布不针对古巴、朝鲜、中国、罗马尼亚和独联体发起攻击,这意味着他们的成员可能来自这些国家。
【Ransomhub勒索信】
Part.02 Lockbit3.0
攻击事件
Equinox是一家在纽约首都地区的人力服务机构,Lockbit3.0盗取其49GB的数据,包括:财务文件,银行文件,病人的个人数据,财务协议。
位于托斯卡纳锡耶纳的锡耶纳大学514GB的文件被Lockbit3.0盗取,包括:董事会批准的2022-2026年项目融资和招标文件,特别建设工程文件,Winecraft 2024保密文件,招标设计合同预算,承包商投资计划,承包商任命和1.7万欧元预算分配。
美联储疑遭勒索软件组织LockBit3.0攻击,窃取了33TB的金融信息,其中包含“美国金融业的秘密”,赎金支付截止时间为UTC时间6月25日晚8点半。
勒索介绍
Lockbit勒索软件现为全球最猖獗的勒索软件,其荣登2022年全球勒索软件榜首,2023年,众多企事业单位遭遇Lockbit勒索软件攻击。Lockbit勒索之所以持续活跃,与其不断地改进勒索技术和分发勒索策略有关。Lockbit 3.0已经成为“加密、窃密、DDOS”三重勒索的典型代表。其主要通过如下方式获取受害者的初始访问权限:
攻击者采用社会工程学手段,向目标受害者发送钓鱼邮件。
借助大规模的漏洞扫描行为来定位潜在目标,利用流行的应用程序漏洞提升权限后获取初始访问机会。
通过RDP暴力破解或者密码爆破的方式获得初始访问权限。
【Lockbit3.0生成器执行流程】(来源:亚信安全威胁情报中心)
【Lockbit3.0勒索信】(来源:亚信安全威胁情报中心)
Part.03 Play
攻击事件
Shinnick&Ryan和Smartweb公司的个人机密资料、客户文件、预算、工资单、会计、合同、税务、身份证、财务信息等机密数据,被Play勒索组织窃取。
美国咨询公司商业解决方案的个人机密数据、客户文件、预算、工资、会计、合同、税收、id、财务信息等数据被Play组织勒索。
Play勒索组织将美国互联网公司KinetX列为受害者,窃取了该公司的客户文件、预算、工资单、合同、税务以及身份证和财务信息等,并给予五天时间缴纳赎金。
勒索介绍
Play勒索软件最早于2022年出现,其命名来自加密后添加的".play"后缀名。该勒索病毒的攻击者利用合法VPN账户进行初始访问,可能是之前暴露过,或通过非法手段取得的。除此之外,该勒索的攻击者利用了如下多种漏洞尝试获取初始访问权限:
CVE-2018-13379 FortiOS SSL VPN web portal的目录穿越漏洞
CVE-2020-12812, FortiOS SSL VPN身份验证漏洞
CVE-2022-41082,MS Exchange Server Remote Code Execution
CVE-2022-41080,MS Exchange Serve 权限提升漏洞
CVE-2022-41040,MS Exchange Serve 权限提升漏洞
该勒索加密文件后添加后缀.play,并释放勒索信ReadMe.txt。
【Play勒索信】
Part.04 Akira
攻击事件
Akira在破坏了新罕布什尔州公共广播电台、TriLiteral、无故障品牌等公司的网络后要求他们支付赎金。
拉丁美洲最大的钻探公司Explomin,被Akira勒索家族攻击,黑客窃取了包括员工个人身份证、财务数据(银行交易、发票、客户协议、合同)在内的30GB数据。
加拿大网络电信行业的公司内陆视听(Inland Audio Visual)成为了Akira勒索软件的受害者。该组织称已获取了此公司10GB的数据,包括员工个人文件、保密协议、合同、协议、机密文件和财务信息。
勒索介绍
Akira是跨平台勒索的代表,它不仅攻击Windows系统,其还通过添加Linux加密器,针对 VMware ESXi 虚拟机进行攻击。其于2023年3月出现,主要针对企业进行攻击。据安全媒体报道,其攻击目标包括教育、金融、房地产、制造业和咨询业。
该勒索的初始入侵可能利用了Cisco VPN(失陷账户),或者是远程控制软件滥用,其中包括RustDesk/Anydesk远程桌面。RustDesk是首次发现被利用,其可以在Windows,macOS和Linux上的跨平台操作,涵盖了Akira的全部目标范围。被勒索加密后的文件后缀为. Akira。
【Akira勒索信】
Part.05 Hunters
攻击事件
美国公司帕内尔防御的客户信息、执法和保密信息等总计2G数据截图被Hunters勒索组织勒索。
知名化学制造商Nikki - Universal有限公司761.8GB的数据被Hunters勒索组织窃取。
勒索介绍
在2023年1月,Hunters International勒索组织取缔了Hive组织,后者曾是一个多产的勒索软件即服务(RaaS)组织。作为执法行动的一部分,Hive组织的活动被终止。他们的勒索软件包含了一份排除列表,指定了不应当加密的文件扩展名、文件名和目录。此外,该勒索软件还执行命令来干扰数据恢复工作,并终止可能会干扰加密过程的进程。
【Hunters勒索信】
Part.06 Blackbasta
攻击事件
Btci、沃斯科等公司被Blackbasta组织勒索。
宠物公司Institutpetfood被Blackbasta组织勒索,距离该组织曝光数据的时间只剩17天。
德国制造业公司rembe被Blackbasta组织勒索,距离该组织曝光数据的时间只剩7天。
勒索介绍
在2022年初,RaaS威胁组织BlackBasta首次发现双重勒索软件攻击急剧增加。这些行为者表现得非常老练,他们经常运用一套独特的策略、技术和程序(TTP)来巩固立足点、横向传播、泄露数据以及成功实施勒索软件。该组织有时会在多个事件中采用相似的TTP。
【Blackbasta勒索信】
Part.07 Qilin
攻击事件
Qilin组织将HiesmayrHaustechnik公司的部分资产信息、客户文档、保险说明书等文档截图挂在网站上,并留下付款地址。
延锋汽车遭“麒麟”勒索软件攻击,致北美工厂生产中断,该组织发布了多个文件,以证明他们涉嫌访问了延锋系统和文件,包括财务文件、保密协议、报价文件、技术数据表和内部报告。
美国加利福尼亚州圣地亚哥的非营利组织Promises2Kids遭到Qilin黑客组织的勒索软件攻击。Qilin组织以其对医疗机构和大型企业的攻击而闻名,他们威胁要公开该组织的机密信息,除非支付赎金。
勒索介绍
Agenda勒索也被称为Qilin勒索,该家族的早期版本使用Go语言编写的,增加了安全分析的难度。其早期版本是针对每位受害者定制的,使用受害者的机密信息(例如泄露的帐户和唯一的公司 ID)作为附加文件扩展名。随后,Agenda勒索家族推出了基于Rust语言开发的版本,Rust 是一种跨平台语言,可以更轻松地针对Windows和Linux等不同操作系统定制恶意软件。除了在编译语言上发生变化,该版本勒索还使用非全文加密提升破坏速度,间歇性加密实现检测规避。
【Agenda/Qilin勒索信】
Part.08 INCRansom
攻击事件
INCRansom将里奇兰市政厅、中西部圣约之家、区域产科顾问和第一民族卫生局等机构的的机密文件窃取。
勒索介绍
INCRansom组织,是一个2023年8月开始活跃的新兴勒索组织,该组织在全球范围内开展勒索攻击活动,通常会选择拥有大量财务资源和敏感数据的目标,这方便它们能够向受害者索取更高额的赎金,该组织通常会使用窃取的登录凭证进入到受害者企业内部网络,使用正常软件和工具进行信息收集和数据扫描,然后在受害者主机上安装MegaSync软件进行数据窃取,最后使用WMIC和PSEXEC部署勒索软件进行勒索。
INCRansom组织目前主要面向Windows、Linux和VMware虚拟化平台的主机系统和平台进行攻击,该组织使用的勒索软件采用了部分加密和多线程结合方法进行加密操作,加密速度明显快于其他全文加密的勒索软件,被加密的文件会被重新命名为.inc为后缀的文件。INCRansom也会在其暗网的官网上实时更新其受害者的信息,该组织目前已经攻击了超过68家企业或机构,受害者涉及医疗、工程建筑、学校、金融和工业制造等多个领域;此外,暗网主页中还为受害者提供了单独的联系界面和登录界面,方便受害者与该组织进行谈判。
【INCRansom勒索信】
Part.09 Bianlian
攻击事件
Bianlian组织勒索Caframo Limited.公司,他们窃取了该公司的会计数据、员工的资料、保密协议、供应商名单、服务器数据等,总计1.5TB。
美国最大的石油运输公司之一,岛屿运输公司,现已成为BianLian勒索软件的受害者。该组织称已获取了300GB的公司数据,包括业务数据、会计数据、项目数据、网络用户文件夹中的数据、文件服务器数据和个人数据。
Fish Nelson & Holden大量的医疗和实验室检查客户的档案、会计,预算,财务数据、合同数据和保密协议,事故、来自高层管理PC的文件、运营和业务文件等资料被Bilanlian勒索组织窃取,总计1TB。
勒索介绍
Bianlian 是一家勒索软件开发商、部署者和数据勒索网络犯罪集团,自 2022年6月以来已针对美国多个关键基础设施领域的组织。除了专业服务和房地产开发外,他们还瞄准了澳大利亚的关键基础设施部门。该组织通过远程桌面协议(RDP)凭据访问受害者系统,使用开源工具和命令行脚本进行发现和凭据收集,并通过文件传输协议(FTP)、Rclone或Mega泄露受害者数据。BianLian通过威胁如果不付款就发布数据来勒索钱财。该集团最初采用双重勒索模式,在泄露数据后对受害者的系统进行加密。
【Bianlian勒索信】
Part.10 Killsec
攻击事件
泰国食品制造公司transfoodbeverage的数据被Killsec勒索组织加密,数据包括但不限于用户的名字、出生日期、地址、宗教信仰和电子邮箱地址等敏感信息。
印度公司shipkar员工的个人详细信息,如全名、地址和电话号码,以及Aadhaar号码和电子邮件地址,还有银行详细信息、UPIid和应付金额在内的财务信息,以及包裹重量、尺寸和成本等装运数据被Killsec组织勒索。
勒索介绍
KillSec是自2021年以来活跃的黑客组织,与Anonymous运动一致,以网站篡改、数据盗窃和赎金要求而闻名。该组织声称入侵德里和喀拉拉邦的交通警察网站,利用个人信息修改未支付罚款。最近,KillSec在其Telegram频道推出了KillSec RaaS(勒索软件即服务)平台,旨在提高新手网络犯罪分子的能力。该平台特点包括高效的加密锁、友好的用户界面、集成聊天功能以及简化的勒索软件创建工具。KillSec的动机为意识形态和财务机会主义的结合,其RaaS的推出可能降低网络犯罪门槛,导致全球勒索软件事件的增加。
【KillSec要求】
亚信安全勒索解决方案
让威胁止步于起点
在AI技术的加持下,以勒索为代表的APT攻击数量日益激增,黑客团伙更加“拥抱”新技术的开发应用,攻击者运用深度伪造技术、利用AIGC生成欺诈信息和网络钓鱼邮件、生成恶意代码、提示词注入攻击,以及AI算法逃逸攻击等,给企业带来巨大挑战。
面对威胁攻击的新形态与形势,亚信安全认为,新一代勒索治理应该全方位、多角度地展开防御,完成AI化的迭代。
1能力覆盖
亚信安全勒索治理方案为客户提供从勒索攻击发现到响应到处置恢复的全链条综合全面治理。该解决方案涵盖云防护、网络防护、边界防护、服务器防护、终端防护和数据防护能力。主要产品包括云主机安全DeepSecurity、新一代终端安全TrustOne、防毒墙AISEdge、高级威胁防护TDA\DDAN\DDEI、XDR平台等形成治理勒索攻击的产品组合。
2治理方案
亚信安全勒索治理方案-猎狐行动
根据对企业现状、问题以及需求的分析,“通过事前风险排查,事中应急处置,事后全面加固等三个阶段,利用云网端的安全能力,结合MSS专家服务,针对“银狐”木马进行快速的排查,完善的分析,检测,响应,处置以及全面的安全加固,并基于亚信安全AI大模型-信立方,AI防御+AI响应+AI辅助运维,构建勒索攻击全链条治理体系。
面对智能化的勒索攻击,传统防御机制显得“捉襟见肘”,因此,需要能够更加精准、高效地发现和修复系统中潜在的防范,特别提出“安全左移策略”,并在此基础上提供一系列系列特色能力,包括银狐专杀能力,银狐监测能力,银狐溯源能力,银狐处置能力。提供线上托管运营服务,帮助企业客户更为精准的监测、溯源、处置“银狐”风险,形成更为完善的“银狐”治理方案。包括安全监测服务,追踪溯源服务,安全加固服务,安全意识培训。
亚信安全网络勒索应急响应及治理中心
建立总部级网络勒索应急响应与治理中心,在省级建立分中心的模式,推动该中心在各地进行能力辐射,打造一体化勒索应急响应与治理体系。以主动防御的技术体系为抓手,建设常态化运营的勒索应急响应与治理中心,并将勒索治理全流程能力通过服务化手段覆盖全部成员单位,识别并补齐安全短板,落实责任,督促整改,提升企业的勒索治理水平,通过不断优化管理制度和提升安全运营团队的作战能力,实现整体安全运营的降本增效。
5分钟快速体检
ImmunityOne是以终端安全为核心全面一体化的安全防护SaaS解决方案,可实现5分钟快速检测,通过高效的网络安全健康检查,快速评估出风险点,找出隐藏威胁,帮助用户提早发现隐患、及时封堵攻击、避免二次勒索,最大化降低客户受勒索攻击风险和影响。
亚信安全猎狐行动方案
亚信安全勒索治理计划的应用价值包括:
构建云、网、边、端多维协同的防勒索能力;
构建勒索防护能力+安全运营服务+威胁情报数据为一体的解决方案;
构建层级化的应急响应与治理中心,提升集团化整体防护能力。
3场景及行业
亚信安全方舟勒索治理计划体系丰富庞大,目前,其防勒索方案已成功应用于制造业、金融、运营商等多行业场景,特别适用于集团性的大型企业,通过在总部部署运营平台,打造多层级的勒索攻击防护能力。
4服务能力
亚信安全具备专门的勒索攻击防护服务团队,能够帮助用户提供勒索攻击防护制度规范建立、风险评估及攻防演练服务、应急响应及处置工作。同时,亚信安全还提供远程的安全运营。在时效上,亚信安全提供7*24小时全天候远程应急响应服务。
5能力布局
亚信安全持续跟踪现代勒索攻击的发展趋势,建立了一套集攻击理论研究、威胁技术检测、产品研发落地和安全运营服务的治理体系。基于ATT&CK理论框架,构建一套攻防体系工具库,用于对勒索攻击的模拟,提升对勒索攻击分析能力。亚信安全进一步提升MSS等远程运营能力,及时、有效地进行勒索攻击识别和处置。
亚信安全具备专门、主推的「方舟」全面勒索治理体系,猎狐专项行动,整体防护能力强,适用于高需求企业;
勒索攻击服务团队无论从专业性,还是从人员数量上,均处于领先地位;
具备专门的针对勒索攻击的威胁情报、蜜罐系统,对勒索攻击研究深入,也能覆盖更多类型的勒索攻击。
随着企业业务的数字升级不断加深,威胁治理与安全防护不仅要先于攻击,更要早于业务发展进行策略布局。基于数字变革中安全建设的痛点研判,亚信安全已经在终端安全、云安全、数据安全以及身份安全等优势技术领域进行了数字化的升级。以安全为底座,亚信安全将持续升级安全理念与安全技术实力,同时还将继续联合更多产业力量,为企业的数字化发展打通路径。
来源:亚信安全
