2024年上半年全球勒索软件报告

统计数据新型勒索软件攻击事件同时，赎金规模也创历史新高。Chainalysis发布的报告指出，2024年上半年，罪分子支付约4.598亿美元赎金，预示着2024年或将成为勒索软件收入最高的一榜首，然而其攻击行为已明显趋于低调，不再频繁爆出全球影响力大的公司。相对来说，其他勒索软件的排天际友盟双子座实验室详细追踪了上半年近百起勒索软件攻击事件，发现勒索软件组织的策略也在不断在短短一年多内，严重勒索软件的赎金支付中位数急剧上升，从2023年初的不足20万美元飙升至2024年6月中旬的150万美元，这一显著增长反映出勒索软件组织正将目标转向大型企业和关提供商。这些企业不仅财力雄厚，而且其系统稳定运营至关重要，难以承受长时间中断。因此，这些企业更随着RaaS平台的成熟，勒索软件市场的竞争愈加激烈，很多勒索团伙为了获取客户资源，开始提供更多灵活便利的服务，例如提供定制功能开发服务，优化赎金分成方式等。这些举措不仅使勒索软件的服务更一些新的勒索软件逐渐放弃了大规模加密受害者文件的方式，因为此类方式既耗费时间，又需要复杂的加密逻辑，而且很容易被受害者觉察。由此，部分团伙选择直接进行数据窃取，之后索要赎金，这种策略对基础数据相对重要的行业更为有效。同时很多企业还面临着政府日益严格的数据监管压力，如何保护自己的数据不被窃取，防止数据泄露，已经成为企业安全防护最34许多大型勒索软件组织攻击的目标行业并不确定，具有较强的随机性，但近几个月来，有一些组织逐步明确了自己的目标行业，如QIlin团伙将目标转向医疗和教育领域，可能是由于这些行业的网络安全防护体5同时，赎金规模也创历史新高。Chainalysis发布的报告指出，2024年上半年，罪分子支付约4.598亿美元赎金，预示着2024年或将成为勒索软件收入最高的一榜首，然而其攻击行为已明显趋于低调，不再频繁爆出全球影响力大的公司。相对来说，其他勒索软件的排天际友盟双子座实验室详细追踪了上半年近百起勒索软件攻击事件，发现勒索软件组织的策略也在不断天际友盟双子座实验室追踪了2024年上半年活跃勒索软件组织的攻击活动，并根据监控的暗网勒索团伙动向，统计出了2024上半年最为活跃的TOP1出，LockBit依然以607名受害者数量遥遥领先于其它勒索组织，而其它排名有了明显的变动，2024年2月份才出现的勒索组织Ransomhub异军突起，排名跃至第二位，成为目前最为热门的勒索团伙。Play和062024上半年，勒索软件攻击同样广泛分布于多个行业，主要集中在制造、软件信息技术和医疗领域， 工具进行远程访问，并使用NetScan进行网络侦察。在部署勒索软件之前，他们使用命令行工具，例7RansomHub组织由来自全球不同地区的黑客组成，他们因共同的经济利益目标而团结在一起。该团伙明确提到禁止攻击特定国家和非营利组织，这些特定的国家和组织表明了其亲俄的意识形态。下图是该组织针对其攻击目标的说明，该组织禁止其附属机构或运营商针对独联体、古巴、朝鲜和中国以及非营利研究人员认为RansomHub勒索软件可能是其它勒索软件的品牌重塑，比如Symantec认为8Hunters全称为HuntersInternational，该勒索组织于2023年10月首次被发现，其加密器由Rust技术和操作策略。Twitter上有信息表明Hive的领导人战略性地选择结束运营，并将资产转移给Hunters9Hunters在首次发布时与Hive大约具有60%的代码相似度。但是Hunters却表示，他们不仅仅是Hive的新版本，而是一个接管了Hive源代码和基础设施的独立实体。他们主要区别在于Hunters侧重窃设计时考虑到了工具的适用性，能根据受害者的特定环境进行定制攻击。该组织的名中的麒麟，但实际上被确认为是俄罗斯血统。这种勒索软件以其先进的技术而著称，使其成为全球勒索组织的有力竞争对手。它的工作方式类似于经典的俄罗斯勒Qilin勒索软件的主要目标是通过敲诈勒索获得经济利益。它针对多个行业的组织或公司，特别针对医疗和教育。之所以选择这两个行业，可能是因为它们更依赖于关键数据的网络安全防护水平通常比较低。通过加密重要文件造成重大的运营中断，迫使受害者Qilin最常见的攻击方法之一是通过网络钓鱼邮件，其中通常包含恶意附件或链接。此外，软件或操作系统中的已知漏洞来进行攻击。远程桌面协议（RDP）攻击是另一种常用的策略，针对薄弱或暴露的RDP配置以渗透系统。一旦麒麟获得初步访问权限，它就会采用先进的混淆技术和反分析技术来逃避检测，例如重命名函数、更改控制流和加密字符串、检测和禁用调试、检测沙箱环境等，这也使得Qilin成功部署后，Qilin会寻求提升其权限，以获得对受感染系统的管理控制权。这可能涉及利用系统漏洞Qilin勒索软件采用强大的加密机制，结合对称和非对称加密来锁定文件。首先，它使用对称加密来使用随机生成的密钥加密文件。然后，使用公共RSA密钥对此对称密钥进行加密，确保只有持有相应私有2024年4月，Netskope分析了一种名为EvilAnt的新型勒索软件，该勒索软件基于Python，使用PyInstaller编译，仍处于开发的早期阶段，目前主要针对消费者，旨在者还可能免费恢复文件，因为其解密密钥以明文格式硬编码到恶意软件中。此勒索软件目前还处于开发测试APT73自称是一个从LockBit衍生出来的勒索软件组织，因为其数据泄露网站是Lockbit数据泄露网站的复制。该组织的数据泄露网站是明网网址，但泄露的数据通过暗网下载。APT73目前披露过美国新Fog勒索软件于2024年5月上旬开始，利用被盗的VP勒索团伙尚未建立勒索门户，也未观察到其窃取数据的情况，但可确认其采用双重勒索策略，并至少使用RDP连接。部署勒索软件后，它将继续执行Wind加密，加密完成后，文件会附加".FOG"或".FLOCKED"扩展名，最后，创建勒索字条并将其2024年初，360发现注册机程序内藏勒索软件。攻击者以破解程序为诱饵传播该勒索软件，并通过支付宝收款码要求用户支付2000元人民币。此次攻击活动中，攻击者以CASS11注libartual.dl至内存中运行。其核心模块经过大量混淆，模块在加密文件前首先会杀掉安全软件的进程、生成并保存加密密钥的相关随机数。加密方式根据文件大小的不同locked扩展名，加密过程中，勒索软件还会将主机信息发送至指定邮箱作为记录。加密结束后，勒索软件会在桌面留下一封勒索信，信的内容使用繁体中文编写。安全人员根据其邮箱信息推测有近百位用户已遭受值，之后稍做休整又卷土重来。研究人员发现，Wormhole勒索软件利用了国内某软件中的SQL注入漏洞用于让受害方与攻击者进行联系。在完成所有上述行为后，勒索软件最终会删除用于系统备份的卷影副本，2024年5月，BlackSuit勒索组织在其暗网Tor数据泄露站点上公布了国内某皮革行业公司成为其受1月份，能源管理和自动化巨头施耐德电气遭受了Cactus勒索软件攻击，导致公司数据被盗。Cactus平台，导致其长时间处于中断状态。据报道，勒索软件团伙在网络攻击期间窃取了大量该公司数据，并威胁该公司如果不支付赎金，就会泄露被盗的数据。虽然尚不清楚被盗的数据类型，但业务部门主要为企业组织提供咨询服务，就可再生能源解决方案提供建议，击之一，这次攻击使美国各地的药店（包括医院内的药店）陷入瘫痪状态，导重障碍。3月1日，有知情人事称，与AlphV相关的2200万美元交易作为证明。这也可能是BlackCat勒索软件组织创始人突然宣布解散并出售其勒索软件4月份，Abyss勒索团伙公布美国新泽西州萨默塞特的Rangam人力资源公司()成公司主要依靠ICS来满足生产和运营需求。Ransomhub除了在详细帖子中宣称加密并窃取了超过400GB2024年上半年，天际友盟观察到勒索软件攻击事件和赎金不断增加。攻击者通过精准目标攻击，获取巨额赎金。截止到报道，一家财富50强