2024年勒索软件攻击态势报告

-新华三主动安全系列报告- 目录 2.1全年勒索攻击频次分析42.2受害行业分析52.3受害地域分析6 3勒索组织分析7 3.1年度勒索组织盘点73.2入侵手段分析83.3索要赎金分析10 4勒索攻击发展趋势12 4.1 AI技术加持，勒索攻击态势加剧124.2目标行业重心转移，制造业跃居第一124.3勒索组织格局演变，由一家独大向多元化发展134.4攻击策略转变，中小企业面临更大风险14 5新华三勒索防御方案 Ransomhub20Fog21ElDorado(BlackLock)22Cicada330123InterLock24 附录三：安全建议和处置清单26 安全建议26勒索软件应急处置清单27 新华三聆风实验室29 在瞬息万变的数字化浪潮中，网络空间的勒索软件攻击日益显现出其严峻性和复杂性，成为全球网络安全领域备受瞩目的课题。作为一种极具破坏力的威胁，勒索软件通过其不断演变的技术手法，对各行各业持续发起新的挑战。新华三聆风实验室通过对全球范围内勒索攻击活动的长期持续观察与深入分析，以勒索软件攻击的总体态势为切入点，深入剖析其技术特点及演进趋势，总结2024年勒索攻击的主要特点如下： 1、2024年全球勒索攻击活动呈上升趋势，较2023年上升47%； 2、从攻击数量来看，各月攻击数量存在一定的波动，但全年总体呈上升趋势，值得注意的是Ransomhub勒索攻击活动几乎霸榜整个下半年；3、从受害行业来看，2024年TOP5受害行业为制造、专业和法律服务、房产建筑、批发零售、信息技术等行业，共占比58.37%；4、从受害地域来看，北美、欧洲、亚洲位列前三，其中美国以53%居于全球首位；5、从活跃组织来看，2024年共监测96个活跃勒索组织，其中有46个为新兴组织。活跃TOP3组织分别是Ransomhub、Lockbit、和PLAY，其中，Ransomhub为今年新兴组织，其在2024年2月出现后迅速崛起，成为最活跃的勒索组织之一；6、从入侵手段来看，漏洞利用、钓鱼邮件、弱口令仍是主要入侵手段，共占比65%。2024年有85个漏洞被勒索组织频繁利用，类型多为远程代码执行和提权漏洞，其中，零日漏洞(0day)造成的影响最为严重；7、从赎金来看，勒索组织由于目标的营收规模不同和行业差异，索要赎金也存在差异。但最高支付赎金记录屡创新高，今年2月，DarkAngels向美国知名药品公司Cencora发起勒索攻击，成功索要到赎金7500万美元，创造了历年来最高支付赎金记录； 2勒索攻击态势 2024年的勒索攻击态势呈现出诸多新变化。一方面，全年攻击数量较2023年显著攀升，呈现出明显的上升趋势；另一方面，勒索攻击在频次波动、受害行业偏好以及受害地域分布等方面，均展现出新的动向与规律。本章将从全年勒索攻击频次、受害行业、受害地域三个关键维度详细剖析勒索攻击在2024年的具体态势。 2.1全年勒索攻击频次分析 根据图2-1统计，2024年的3月和11月出现了两次勒索攻击事件的大规模爆发，除了这两个月份的集中增长外，全年勒索攻击事件总体上呈现出持续上升的趋势。在各个月份的攻击事件统计中，LockBit在5月份之前三次荣登榜首，显示出其在年初的活跃程度。而从5月份开始，Ransomhub则后来居上，六次登顶榜首，成为下半年勒索攻击的主要推手。 2.2受害行业分析 根据最新的2024年勒索攻击受害行业分布统计图，勒索软件的目标行业带有明显的倾向性，由于制造业等实体行业对生产停机时间容忍度较低，导致以制造，批发，房产为主的实体行业仍是2024年的勒索重灾区。此外，数据价值和敏感度高的行业也是勒索攻击的重点倾向目标，如法律，信息技术，教育等行业。 2.3受害地域分析 图2-3是2024年度全球勒索攻击地图，除俄罗斯外其余国家的排名变化不大，北美洲，欧洲，亚洲三个地区仍是受到攻击最严重的三个州。其中美国(53%)居于全球首位，加拿大(5.2%)排在第二。根据分布图和各地域发展情况可以看出，勒索组织更偏向经济发达，高度数字化和信息化的国家和地区，这与勒索组织追求利益最大化的目标一致。 3勒索组织分析 勒索组织作为勒索攻击的幕后黑手，其发展动态和变化直接影响着勒索攻击的格局与走向。2024年，勒索组织数量大幅增长，新兴组织不断涌现，与老牌组织彼此竞争，形成了复杂多变的勒索组织生态格局。从年度活跃组织的排名更替，到新兴组织的异军突起，再到入侵手段的持续演变，及索要赎金金额变化，本章将对这些勒索组织进行深入剖析。 3.1年度勒索组织盘点 据统计，2024年共有96个勒索组织发起了不同程度的勒索攻击，与2023年的62个活跃组织数量相比有了大幅度的增长。2024年头部组织Ransomhub相比2023年的LockBit勒索攻击事件数减少约50%，但是总体事件数却比2023年增加了47%，可见勒索组织数量的增加直接导致了勒索攻击事件数的上升。其中，2024年 主动安全 TOP3活跃组织分别是Ransomhub(18.3%)、LockBit(16.6%)和PLAY(12.4%)。2024年勒索组织更替明显，新增46个新兴勒索组织，这进一步展示了勒索软件生态系统的适应性和持续威胁。 在所有组织中，新兴勒索组织的活跃度占总体的26.96%，相较去年的19.28%有了明显增长。其中以Ransomhub、Kill Security和Fog为代表的新兴组织最为活跃，24年出现如此多的新兴勒索组织的一个重要原因是来自于执法部门的强力打压，导致部分头部勒索组织重组为多个新的勒索组织。据相关报告表明，BASHE (APT73)、Safepay、Brain Cipher、SenSayQ、DarkVault等勒索组织都与LockBit存在关联或相似性。 3.2入侵手段分析 为了深入了解当前网络安全环境中的主要威胁向量，我们对2024年活跃勒索组织常用入侵手段进行了统计，结果如图3-3所示。与2023年相比，漏洞利用、钓鱼攻击和弱口令依然是勒索组织的主要入侵方式，分别占比26.11%、23.33%和16.11%。这反映出企业在漏洞管理和安全教育等方面仍有待加强。 勒索组织频繁利用漏洞进行入侵，主要有以下几个原因。首先，随着各类软件和系统的快速迭代更新，新漏洞层出不穷，同时企业也不能及时修复旧漏洞，这为勒索组织提供了可乘之机。其次，成功利用漏洞可以帮助勒索组织快速绕过安全防护措施，直接获取系统或网络的访问权限，从而节省大量时间和资源。表3-1整理了2024年勒索组织常用的漏洞。 根据表3-1所示，勒索组织往往会使用一些超危、高危的漏洞发起攻击，这些漏洞往往存在于广泛使用的软件和系统中，影响范围较大。而且这些漏洞通常不具备复杂的利用条件，使得攻击者能够轻松加以利用，一旦成功，攻击者即可执行诸如远程代码执行和权限提升等关键操作，从而完全控制目标系统。 此外，勒索组织还会利用零日漏洞进行攻击，极大提高了攻击成功率，造成严重影响。例如，2024年12月，Cleo披露了其产品中的两个零日漏洞：CVE-2024-50623和CVE-2024-55956。Cleo在全球拥有近4000家客户，Cl0p勒索组织利用这两个零日漏洞持续进行大规模数据泄露和勒索活动。近期，该组织在其网站上列出了60名受该漏洞影响的受害者，并要求他们在48小时内支付赎金。 3.3索要赎金分析 2024年，勒索组织索要的赎金也呈现出多样化与极端化的态势。索要赎金的范围极为广泛，从相对较低的数万美元到令人咋舌的数千万美元不等，随着目标的营收规模不同而变化。进一步来看，不同行业的企业所面临的赎金要求也大相径庭。数据敏感度高、业务连续性要求强的行业，如金融、医疗、信息技术等，往往被索要更高的赎金，因为勒索组织深知这些行业无法承受长时间的业务中断和数据泄露风险；而一些传统制造业或小型本地企业，虽然也会遭受攻击，但赎金要求相对较低。尤为引人关注的是，2024年有记录的最高赎金支付金额飙升至7500万美元，这一惊人的记录由Dark Angels创造。他们向美国知名药品公司Cencora发起攻击，并成功索要到了这笔巨额赎金，这不仅刷新了历年来的赎金支付最高记录，也凸显了勒索攻击在经济利益驱动下的极端贪婪与破坏力，为全球企业和网络安全防护敲响了沉重的警钟。此外，加密货币（如比特币、门罗币等）因具有匿名性和难以追踪的特性，仍然是勒索软件攻击者要求的主要赎金支付方式。表3-6列举了2024年度被索要赎金TOP10的受害者及发起攻击的勒索组织和赎金金额。 勒索攻击发展趋势 2024年，勒索攻击呈现出诸多新趋势。AI技术的加持使得勒索攻击的门槛与成本大幅降低，攻击速度与效率显著提升，给企业和组织带来了前所未有的挑战；目标行业的重心发生转移，制造业受到更多“青睐”；勒索组织格局也由过去的一家独大向多元化演变，新兴组织不断瓜分市场份额；攻击策略同样出现新变化，中小企业因安全防护薄弱而面临更大的风险。 4.1AI技术加持，勒索攻击态势加剧 自2022年底以ChatGPT为代表的生成式AI大模型产品问世以来，AI技术快速发展，不断有各种AI大模型产品相继发布，攻击者接触和使用AI也更加方便。AI技术在勒索攻击领域也产生了深远影响，不仅显著降低了勒索攻击的门槛和成本，还提高了攻击的速度和效率，致使勒索攻击更加频繁和复杂。企业和组织亟需高度重视这一趋势，积极采取有效的防御措施，以应对日益严峻的网络安全威胁。 （一）降低勒索攻击门槛和成本： AI技术的普及极大降低了勒索攻击的门槛和成本，使得即便没有任何IT基础的攻击者也能借助AI轻松制造出勒索病毒。2024年5月，日本一名25岁的无业男子便利用生成式AI制作出了勒索软件病毒程序。此外，以WormGPT和FraudGPT为代表的恶意AI大模型受到攻击者的广泛青睐。这些模型操作简单、功能强大，能够用于创建、测试和优化各种恶意代码，涵盖恶意软件和勒索软件等诸多领域。 （二）提高勒索攻击速度和效率： AI技术还显著加快了勒索攻击的速度和效率。它能够迅速生成看似合理且难以甄别的欺诈性文本、电子邮件和网站。这些生成的内容常被用于制作钓鱼邮件和虚假网站，诱骗受害者点击链接或下载附件，从而实现勒索软件的传播。此外，AI还可辅助攻击者高效寻找和挖掘目标系统中的漏洞。据OpenAI报告，伊朗黑客组织CyberAv3ngers利用ChatGPT策划一系列针对可编程逻辑控制器（PLC）的网络攻击，他们借助AI来寻找目标系统可能存在的默认口令组合和漏洞，并改进用于探测网络漏洞的脚本。攻击者还可以利用AI技术快速生成和优化勒索程序，使其更具隐蔽性和破坏力。例如，2024年12月开始活跃的勒索组织FunkSec就使用了AI来开发勒索软件和各种脚本程序，让其攻击手段更加难以防范。 4.2目标行业重心转移，制造业跃居第一 在2024年，全球网络安全形势愈发严峻，勒索攻击事件频发，给各行业带来了巨大的挑战。与2023年相比，2024年各行业遭到的勒索攻击次数总体呈上升趋势，其中制造业的受害情况尤为突出，攻击次数近乎翻倍，跃 主动安全 居各行业之首。制造业作为全球供应链的核心环节，对生产停机的容忍度极低，一旦遭受攻击，不仅会导致生产中断，还会引发供应链的连锁反应，造成巨大的经济损失。此外，制造业面临的网络安全威胁也更为复杂，易受攻击的工业控制系统（ICS）、软件供应链安全威胁、物联网设备漏洞以及智能制造技术的复杂性，都进一步增加了其遭受攻击的风险，使其成为了勒索攻击的重点目标。从数据泄露到运营中断，勒索攻击已对全球制造业厂商造成了严重的财务损失和声誉影响。例如，2024年1月，Cactus勒索组织声称成功入侵全球能源与自动化行业的领导者施耐德电气，窃取了约1.5TB的数据。此次攻击主要影响了其可持续发展业务部门，导致资源顾问云平台的服务中断。虽然施耐德电气确认了数据泄露，但声明其他业务部门未受影响。为证明其攻击成果，Cactus在其Tor泄密网站上