2024年上半年全球勒索软件报告

目录TABLE OF CONTENT 01勒索软件攻击特点变化03 02TOP10 勒索软件攻击05 统计数据2024 年上半年热门勒索软件及团伙活动猖獗的 Ransomhub侧重窃取数据的 Hunters瞄准特定行业的 Qilin0506060809 032024 年上半年典型勒索软件攻击事件11 新型勒索软件攻击事件国内的重大勒索软件攻击事件国外的重大勒索软件攻击事件111212 04总结14 05附录15 2024 上半年主要勒索软件攻击事件汇总15 01POINT 勒索软件攻击特点变化 2024 年上半年，天际友盟监测数据显示，勒索软件攻击事件高达 2300 余起，远超其它网络攻击类型。同时，赎金规模也创历史新高。Chainalysis 发布的报告指出，2024 年上半年，勒索软件受害者已向网络犯罪分子支付约 4.598 亿美元赎金，预示着 2024 年或将成为勒索软件收入最高的一年，这在很大程度上归因于勒索组织转向更为隐蔽的攻击策略，同时保持了高效的赎金收取能力。纵观上半年，最为活跃的 Lockbit3勒索组织虽然在年初遭受全球多国政府联合打击，但其迅速复苏，并以 600 余起攻击事件蝉联勒索软件攻击榜首，然而其攻击行为已明显趋于低调，不再频繁爆出全球影响力大的公司。相对来说，其他勒索软件的排名变动较大，Ransomhub、Hunters 和 Qilin 等新晋勒索软件凭借强劲发展势头，成功跻身前十名。 天际友盟双子座实验室详细追踪了上半年近百起勒索软件攻击事件，发现勒索软件组织的策略也在不断调整，其变化特点如下： 勒索金额逐步提高，针对性增强01 在短短一年多内，严重勒索软件的赎金支付中位数急剧上升，从 2023 年初的不足 20 万美元飙升至2024 年 6 月中旬的 150 万美元，这一显著增长反映出勒索软件组织正将目标转向大型企业和关键基础设施提供商。这些企业不仅财力雄厚，而且其系统稳定运营至关重要，难以承受长时间中断。因此，这些企业更可能支付高额赎金，成为勒索软件组织的主要攻击目标。 竞争日益激烈，运营方式更新灵活02 随着 RaaS 平台的成熟，勒索软件市场的竞争愈加激烈，很多勒索团伙为了获取客户资源，开始提供更多灵活便利的服务，例如提供定制功能开发服务，优化赎金分成方式等。这些举措不仅使勒索软件的服务更加个性化，也为用户提供了更优质的体验。 破坏方式重点不再加密数据，转向数据泄露作为主要威胁手段03 一些新的勒索软件逐渐放弃了大规模加密受害者文件的方式，因为此类方式既耗费时间，又需要复杂的加密逻辑，而且很容易被受害者觉察。由此，部分团伙选择直接进行数据窃取，之后索要赎金，这种策略对基础数据相对重要的行业更为有效。同时很多企业还面临着政府日益严格的数据监管压力，如何保护自己的数据不被窃取，防止数据泄露，已经成为企业安全防护最为关键的问题之一。 目标行业随机性仍在，但确定性已逐步显现04 许多大型勒索软件组织攻击的目标行业并不确定，具有较强的随机性，但近几个月来，有一些组织逐步明确了自己的目标行业，如 QIlin 团伙将目标转向医疗和教育领域，可能是由于这些行业的网络安全防护体系相对薄弱。 02POINT TOP10 勒索软件攻击 2024 年上半年，天际友盟监测数据显示，勒索软件攻击事件高达 2300 余起，远超其它网络攻击类型。同时，赎金规模也创历史新高。Chainalysis 发布的报告指出，2024 年上半年，勒索软件受害者已向网络犯罪分子支付约 4.598 亿美元赎金，预示着 2024 年或将成为勒索软件收入最高的一年，这在很大程度上归因于勒索组织转向更为隐蔽的攻击策略，同时保持了高效的赎金收取能力。纵观上半年，最为活跃的 Lockbit3勒索组织虽然在年初遭受全球多国政府联合打击，但其迅速复苏，并以 600 余起攻击事件蝉联勒索软件攻击榜首，然而其攻击行为已明显趋于低调，不再频繁爆出全球影响力大的公司。相对来说，其他勒索软件的排名变动较大，Ransomhub、Hunters 和 Qilin 等新晋勒索软件凭借强劲发展势头，成功跻身前十名。 天际友盟双子座实验室详细追踪了上半年近百起勒索软件攻击事件，发现勒索软件组织的策略也在不断调整，其变化特点如下： 2.1 统计数据 天际友盟双子座实验室追踪了 2024 年上半年活跃勒索软件组织的攻击活动，并根据监控的暗网勒索团伙动向，统计出了 2024 上半年最为活跃的 TOP10 勒索软件的攻击活动数据（如图 1）。从图 1 可以看出，LockBit 依然以 607 名受害者数量遥遥领先于其它勒索组织，而其它排名有了明显的变动，2024 年 2月份才出现的勒索组织 Ransomhub 异军突起，排名跃至第二位，成为目前最为热门的勒索团伙。Play 和8Base 勒索软件较 2023 年下半年均有所上升，而 Hunters 和 Qilin 组织则首次挤进前十。 2024 上半年，勒索软件攻击同样广泛分布于多个行业，主要集中在制造、软件信息技术和医疗领域，中小型企业受到的影响显著。同时，教育、军工、金融、建筑、政府、零售和能源等领域也受到较大波及。 2.2 2024 年上半年热门勒索软件及团伙 2.2.1 活动猖獗的 Ransomhub Ransomhub 作为 2024 上半年发展最为猖獗的勒索软件，它于 2024 年 2 月首次出现，提供 RaaS 服务，截止目前，其受害者已达到 200 多家，展现出强劲的发展状态。Ransomhub 采用 Go 和 C++ 语言编写，基于 aes256、chacha20、xchacha20 算法进行加密。RansomHub 运营商通常使用Atera和Splashtop等工具进行远程访问，并使用 NetScan 进行网络侦察。在部署勒索软件之前，他们使用命令行工具，例如iisreset停止所有的 Internet Information Services （IIS） 服务。下图为 Ransomhub 勒索组织在暗网数据泄露站点的首页： RansomHub 组织由来自全球不同地区的黑客组成，他们因共同的经济利益目标而团结在一起。该团伙明确提到禁止攻击特定国家和非营利组织，这些特定的国家和组织表明了其亲俄的意识形态。下图是该组织针对其攻击目标的说明，该组织禁止其附属机构或运营商针对独联体、古巴、朝鲜和中国以及非营利性组织进行攻击。 RansomHub 组织可能起源于俄罗斯，它为其附属公司提供 90% 的收益，因其严格的策略执行，使该组织在与LockBit和ALPHV等主要勒索组织的竞争中开始争夺领导地位，从其近半年的攻击势头可以看出，RansomHub 已经一跃成为第二大勒索团伙。 研 究 人 员 认 为 RansomHub 勒 索 软 件 可 能 是 其 它 勒 索 软 件 的 品 牌 重 塑， 比 如 Symantec 认 为RansomHub 来自于旧的 Knight 勒索软件，因为他们用了相同的 GO 语言混淆器；还有人认为来自俄罗斯网络犯罪领域的勒索软件运营商彼此之间存在关系，因此 RansomHub 可能已经收购了前 ALPHV 附属公司作为自己的合作伙伴。 RansomHub 团伙在 24 年 6 月 6 日的攻击中向其武器库中增加了一个古老但重要的 ZeroLogon 漏洞（CVE-2020-1472），此漏洞允许攻击者通过建立易受攻击的 Netlogon 安全通道连接来接管组织的域控制器。成功利用此漏洞后，攻击者可以在网络设备上运行特别构建的应用程序，从而获得域管理员访问权限。 下图为其暗网主页上的 Archive 页面，上面可以下载已公开受害者的泄露数据信息： 2.2.2 侧重窃取数据的 Hunters Hunters 全称为 Hunters International，该勒索组织于 2023 年 10 月首次被发现，其加密器由 Rust语言编写，加密文件后缀为 .locked，该组织有其 Tor 数据泄露网站，如下图所示： Hunters 的技术与 Hive 勒索软件存在的显着重叠，这种联系表明 Hunters 继承或改编了 Hive 的加密技术和操作策略。Twitter 上有信息表明 Hive 的领导人战略性地选择结束运营，并将资产转移给 HuntersInternational。如下图所示： Hunters 在首次发布时与 Hive 大约具有60%的代码相似度。但是 Hunters 却 表示，他们不仅仅是Hive 的新版本，而是一个接管了 Hive 源代码和基础设施的独立实体。他们主要区别在于 Hunters 侧重窃取数据而不是加密数据，这将两者明显的区分出来。 Hunters 的目标瞄准了全球各行各业，它们的受害者遍布医疗、汽车、制造、物流、金融、教育等行业。该组织的大部分目标都在美国，但也涉及到欧洲、加拿大、巴西，新西兰和日本的公司，很明显该组织的目标是尽可能扩大影响力，获取更多的赎金。 2.2.3 瞄准特定行业的 Qilin Qilin 也称为 Agenda，是一个复杂的勒索软件组织，这个组织采用勒索软件即服务 （RaaS）模式，在设计时考虑到了工具的适用性，能根据受害者的特定环境进行定制攻击。该组织的名字可能来源于中国神话中的麒麟，但实际上被确认为是俄罗斯血统。这种勒索软件以其先进的技术、跨平台功能和有针对性的攻击而著称，使其成为全球勒索组织的有力竞争对手。它的工作方式类似于经典的俄罗斯勒索软件运营商，将独联体国家排除在其目标之外，并在黑客论坛上分享附属公司的招聘帖子。下图为 Qilin 勒索组织的暗网首页： Qilin 勒索软件具有独特的方法和高度的复杂程度。它使用Go（Golang）和 Rust 编写的工具，这使得Qilin 可以很容易地针对各种操作系统进行编译，包括 Windows 和 Linux，增强了其功能并扩展了覆盖范围。 Qilin 勒索软件的主要目标是通过敲诈勒索获得经济利益。它针对多个行业的组织或公司，特别针对医疗和教育。之所以选择这两个行业，可能是因为它们更依赖于关键数据，而且与注重金融的行业相比，它们的网络安全防护水平通常比较低。通过加密重要文件造成重大的运营中断，迫使受害者支付攻击者要求的赎金以恢复他们的系统。 Qilin 最常见的攻击方法之一是通过网络钓鱼邮件，其中通常包含恶意附件或链接。此外，Qilin 还利用软件或操作系统中的已知漏洞来进行攻击。远程桌面协议 （RDP） 攻击是另一种常用的策略，针对薄弱或暴露的 RDP 配置以渗透系统。一旦麒麟获得初步访问权限，它就会采用先进的混淆技术和反分析技术来逃 避检测，例如重命名函数、更改控制流和加密字符串、检测和禁用调试、检测沙箱环境等，这也使得 Qilin很难被检测到， 因为其逆向工程工作比较复杂。 成功部署后，Qilin 会寻求提升其权限，以获得对受感染系统的管理控制权。这可能涉及利用系统漏洞或使用 PowerShell 或 PsExec 等合法工具来实现更高级别的访问。 Qilin 勒索软件采用强大的加密机制，结合对称和非对称加密来锁定文件。首先，它使用对称加密来使用随机生成的密钥加密文件。然后，使用公共 RSA 密钥对此对称密钥进行加密，确保只有持有相应私有RSA 密钥的攻击者才能解密它。为了掩盖踪迹，它还要删除有助于调查的日志和其他文件，包括清除事件日志和删除在攻击期间创建的任何临时文件。 03POINT 2024 年上半年典型勒索软件攻击事件 3.1 新型勒索软件攻击事件 新型勒索软件 Evil Ant 处于早期攻击阶段01 2024 年 4 月，Netskope 分析了一种名为 Evil Ant 的新型勒索软件，该勒索软件基于 Python，使用PyInstaller 编译，仍处于开发的早期阶段，目前主要针对消费者，旨在加密特定文件和备份文件，并且受害者还可能免费恢复文件，因为其解密密