威胁情报(TI)焦点趋势报告
AI智能总结
方法论▪Kroll TI月度快讯基于Kroll网络安全事件响应工作中的情报,在该项工作中,我们受委托响应、管理或减轻网络安全事件。Kroll的事件响应工作所依据的情报来自于成千上万的Kroll Cyber Data & Resilience团队每年处理的事务数量。▪Kroll目前通过月度焦点报道按月度和季度提供数据。以及季度威胁态势报告。▪数据由Kroll网络威胁情报团队在初始范围界定阶段以及Kroll合作项目的整个生命周期中收集和处理。 TLP: 明确 关键要点*此数据不包括内部威胁是威胁类型的情况2025年3月主要勒索软件变体•AKIRA(25%) •PLAY(13%)•QILIN(13%)•LOCKBIT(13%)•KILLSEC(13%)•0XXX(13%) •RALORD(13%)•网络钓鱼:链接(43%) •有效账户(14%) •利用面向公众的应用程序(14%) •钓鱼攻击:附件(14%)初始访问方法 * 最受影响的行业主要威胁事件类型•电子邮件妥协(43%) •勒索软件(13%) •内部威胁(13%)•未授权访问(10%) •网络泄露(6%)•专业、科学和技术服务(29%)•金融与保险(14%) •制造业(10%) •批发贸易(8%) TLP: 明确 行业分析2025年3月PROFESSIONAL, SCIENTIFIC, AND TECHNICAL SERVICES WAS THE2025年3月受影响最严重的行业FINANCE AND INSURANCE WAS THE 2nd2025年3月受影响最严重的行业▪勒索软件was the second most observed threat incident type impacting该行业。▪电子邮件妥协是造成金融和保险行业影响最大的报告威胁事件类型。▪电子邮件妥协是影响专业、科学和技术服务业的主要威胁事件类型。▪In March, threats against the finance and insurance industry most often involved网络钓鱼:链接and有效账户作为初始访问方式。 TLP: 明确 5%14%29%按行业分类的事故2025年3月教育服务专业、科学、技术服务业金融与保险 3%10%5%7%3%19%25%28%20%24%最受影响的行业过去6个月专业、科学、技术服务业Oct-24Nov-24Dec-24Jan-25Feb-25零售贸易Oct-24Nov-24Dec-24Jan-25Feb-25 ▪影响分析2025年3月对于内部威胁案件,最观察到的影响是作为研究报告英译中的翻译接口,我负责将您提供的英文文本翻译为中文,并保留原有的格式、符号和风格。以下是对您提供的英文文本的翻译:**DATA EXFILTRATED FOR IMPACT WAS THE MOST COMMON IMPACT****为造成影响而泄露的数据是最常见的造成影响的方式。**OBSERVED BY KROLL IN MARCH 2025▪在 Kroll 案件中,勒索软件案件的主要影响是数据加密和数据窃取(数据加密以产生影响and数据被盗以造成影响).▪专业、科学和技术服务报道了所有威胁类型中最广泛确认的影响包括:▪数据加密以产生影响▪数据被窃以造成影响▪金融欺诈▪资源劫持 数据泄露以造成影响。TLP: 明确 勒索软件分析2025年3月AKIRA是最常见的勒索软件变种观测到BY KROLL IN MARCH 2025▪在1月,专业、科学和技术服务是Kroll项目中被勒索软件行为者针对的首要行业。▪勒索软件攻击者主要通过利用面向公众的服务获得初始访问权限。应用程序和外部远程服务,例如VPN。最常观察到的VPN是SonicWall。▪制造业是受害者在勒索软件行为者控制的羞辱网站和博客上被报道的首要行业。▪北美洲是遭受勒索软件行为者控制受害者的首要地区。谴责网站和博客。 TLP: 明确 13%38%勒索软件:受影响最严重的行业2025年3月专业、科学、技术服务业农业,林业,捕鱼与狩猎 25%13%13%勒索软件:主要变种2025年3月AKIRAPLAY0XXX 19262931324143647911014328916519303441勒索软件:受攻击者控制的网站列表Source: Intel4712025年3月制造业BABUK专业服务RANSOMHUB消费 / 工业AKIRA公共部门房地产QILINSAFEPAYPLAY北美洲欧洲亚洲南美洲中东FOGLYNXINC美国加拿大德国United KingdomLEAKEDDATA法国 3%6%10%13%13%按威胁类型划分的事故2025年3月电子邮件欺诈勒索软件内部威胁未经授权的访问网络入侵恶意软件 13%16%9%20%48%41%40%19%33%威胁类型趋势*未授权访问代表了“未授权访问 - 网络”和“未授权访问 - 云/存储库访问”的总和,由于小数点的原因,高度可能会有所不同 |过去6个月Oct-24Nov-24Dec-24Jan-25Feb-25非授权访问*Oct-24Nov-24Dec-24Jan-25Feb-25 初始访问方法2025年3月网络钓鱼:链接有效账户利用面向公众的应用程序钓鱼:附件外部远程服务物理盗窃*此数据不包括内部威胁是威胁类型的案例 趋势性漏洞2025年3月CVECVE-2024-24919*CVE-2025-22224CVE-2025-25181CVE-2025-24472 威胁事件类型未授权访问:一个未经授权的参与者已无意中或恶意地访问了网络。电子邮件欺诈:一个电子邮件账户被第三方恶意访问的事件(例如,账户:在收购中),识别出钓鱼邮件/活动,或一个组织的电子邮件被用于或遭到在欺诈计划中的利用,例如商业电子邮件妥协。勒索软件:在一个事件中,威胁行为者在网络内进行恶意活动,随后提出经济赎金要求。通常包括数据窃取、数据加密和敲诈勒索的组合。网络入侵:一个行为者未经授权访问了Web应用程序或网站代码以进行恶意活动。例如,通过SQL注入窃取信用卡数据或篡改网站。恶意软件:一个组织受到恶意软件或病毒的攻击,但没有提出任何财务要求。例如包括勒索软件活动之前的攻击(例如QakBot、Emotet)或信息窃取者(例如Vidar、Raccoon)。 TLP: 明确 初始访问方法Drive-By Compromise:通过合法网站妥协。外部远程服务:通过远程访问服务(如VPN、RDP和其他设备)进行妥协。硬件添加:增加计算设备以获取访问权限。利用面向公众的应用程序:利用漏洞或配置错误以获取访问权限。钓鱼攻击:附件:通过电子邮件附带恶意软件的使用。网络钓鱼:链接:在电子邮件中使用链接导致凭证丢失和/或下载恶意软件。网络钓鱼:非技术性:使用社交工程技巧欺骗用户,例如电子邮件仿冒、欺骗。网络钓鱼:服务:使用第三方服务(如社交媒体)发送定向信息。钓鱼攻击:语音:使用电话呼叫或团队呼叫诱骗目标揭示敏感信息。通过可移动介质进行复制:通过USB驱动器或可移动媒体等设备传播恶意软件。供应链妥协:对组织供应链中的薄弱环节的攻击(例如,第三方漏洞)。有效账户:使用合法凭证获取未经授权的系统访问权限。信任关系:通过有权接触预期受害者的组织达成妥协。 :事件影响金融盗窃:对手可能通过勒索、欺诈或直接盗窃来窃取金融资产。数据操作:攻击者可能篡改数据以影响业务流程、决策或隐藏恶意活动。篡改修改网站、应用程序或数字内容以传播错误信息、恐吓或宣传。磁盘擦除:破坏或损坏磁盘数据以使系统无法使用,通常用于破坏活动或勒索软件。终端拒绝服务账户访问移除:敌对势力可能通过删除、锁定或更改的方式,剥夺合法用户访问账户的权利。凭证。数据被窃以造成影响:对手可能窃取和传输敏感数据以造成伤害、扰乱运营、损害声誉或为金融或战略利益获取优势。数据加密以产生影响:对手可能会加密数据以拒绝访问,要求赎金或使数据永久无法访问。数据销毁:对手可能销毁系统或网络上的数据以破坏可用性,通常使恢复变得困难。 :利用或压倒端点设备以阻止正常用户访问或操作。 TLP: 明确 事件影响(续)拒绝服务攻击:通过洪泛或利用网络资源来降低或完全停止在线服务。阻止系统恢复:对手可能会删除备份并禁用恢复选项,以防止系统恢复。固件损坏:篡改或损坏固件以禁用硬件、破坏功能或持续植入恶意软件。知识产权盗窃:对手可能通过谍报活动、内部威胁或网络入侵窃取专有或敏感的知识产权,以获得竞争优势、经济利益或战略优势。系统关机/重启:强行重启或关闭系统以破坏运营、抹除证据或协助进一步攻击。资源劫持:窃取计算资源(例如CPU、GPU、带宽)用于未经授权的任务,如加密货币挖矿或僵尸网络。 TLP: 明确 请参考下方Kroll网络安全威胁情报团队最近发布的研究成果和即将举办的活动。附加资源每周网络威胁情报简报实现与微软(XDR)成熟度的关键步骤 (+免费自我评估工具)扩展检测与响应(XDR)有潜力显著提升组织的安全防御能力,这得益于其加速和简化调查、威胁搜寻和响应的能力。然而,成功采用XDR以实现:全面的可见性需要一些重要的考量。Kroll概述了有效采用XDR的关键要素。实施战略,并阐述组织应采取的步骤以最大化其技术投资。Kroll 的网络威胁情报团队与我们的安全运营中心和进攻性安全团队协同工作,为客户提供最新的威胁情报周报。网络安全与物理安全融合:地理位置数据黑客攻击及高管保护威胁影响近期Gravy Analytics的地理位置数据遭泄露事件凸显了地理位置漏洞所带来的新兴威胁及其对物理安全的影响。如今比以往任何时候都更加凸显,知名人士正在重新评估其个人安全的范围。:措施。Kroll旨在揭示这些漏洞,强调了解个人数字足迹的重要性。实施主动措施以减轻风险。 TLP: 明确 定义交通信号协议 (TLP)颜色TLP:RED不予披露,受限仅供参与者。TLP:琥珀色+严格有限披露,受限到参与者的组织only.TLP:AMBER有限披露,受限给参与者的组织和客户。TLP:GREEN有限披露,受限向社区。TLP:CLEAR信息披露不受限制。 如有更多信息,请联系:关于Kroll© 2025 Kroll, LLC. All rights reserved. KR24111720Keith WojcieszekManaging Director 1 443 295 5082keith.wojcieszek@kroll.com美国地区的并购咨询、融资和二级市场咨询服务由Kroll Securities, LLC(FINRA/SIPC成员)提供。英国地区的并购咨询、融资和二级市场咨询服务由Kroll Securities Ltd.提供,该机构受英国金融行为监管局(FCA)授权和监管。印度地区的估值咨询服务由Kroll Advisory Private Limited(前身为Duff & Phelps India Private Limited)提供,该机构持有印度证券交易所(SEBI)颁发的第一类商人银行许可证。作为金融与风险咨询解决方案的领先独立供应商,Kroll利用其独特的洞察力、数据和技术,帮助客户应对复杂的挑战。Kroll的全球团队延续了公司近100年来在风险、治理、交易和估值方面的专业信誉历史。我们的高级解决方案与智能价值定义了我们是谁,以及我们如何与客户和社区合作。了解更多信息,请访问从而为客户提供他们创造持久竞争优势所需的远见。在Kroll,我们Kroll.com. George Glass副执行董事 +44 7584999104george.glass@kroll.com
