2024年欧洲零售威胁格局

全球事件影响网络行动主义 24关于网络战 28引言 3欧洲零售威胁态势 - 2024 概览 2联系我们供应链威胁12 14电子商务平台欧洲的勒索软件与零售商6勒索软件组织概览8 8 CLOP勒索软件团伙回归9勒索支付值得注意的钓鱼威胁21 22恶意二维码，重定向至钓鱼界面23人工智能工具赋能钓鱼活动 人力资源冒充滥用已知诉讼程序23恶意软件感染载体18 18使用可信平台 19信息窃取恶意软件 28 100%22%欧洲零售威胁格局 - 2024 概览 3拥有最大2024年增长为西班牙勒索软件对零售业增加了与更多事件在零售行业中，最2024年目标国家是：顶级勒索软件团伙在2024年第四季度法国德国意大利西班牙英国作为世界上最大和最先进的经济区域之一，欧洲地区包括27个欧盟（EU）国家在内的37个国家。由于拥有世界上一些最重要的经济体，欧洲仍然是网络对手和国家行为者的主要目标。零售行业在其主要部门面临着不断变化的威胁。电子商务的兴起以及数字化收集和存储的客户数据量的增加，使零售商特别容易受到网络攻击。本报告考察零售行业的当前威胁态势，识别最紧迫的威胁，如数据泄露、勒索软件和供应链攻击。我们还将旨在提供缓解这些风险的战略。 为什么欧洲？严格数据保护。自2018年生效起，通用数据保护条例（GDPR）是一部全面且非常严格的隐私法，要求欧盟及其他世界各地收集与欧盟人员相关的数据的组织承担义务。该法对违规者处以严厉罚款，在某些近期案例中，罚款金额高达12亿欧元。这使得威胁行为者在谈判时极具威慑力与数据已遭泄露且面临此类规模罚款的公司合作；为攻击者创造优势，并使企业更可能遵守勒索软件要求以避免法律和财务后果。2https://dataprivacymanager.net/5-biggest-gdpr-fines-so-far-2020/高度集成市场。欧盟促进货物和服务自由流动的统一大市场精神为企业带来了许多好处。它还使其成为全球供应链的中心枢纽，许多零售商可以在其中进行国际采购和分销产品。然而，这一主要优势也可能被恶意行为者利用，这意味着对一个零售商或供应链中属于该组织一部分的供应商的成功攻击，可以通过利用欧盟相互连接的市场及其作为全球贸易中心的地位，同时针对并影响多个组织，迅速产生跨边境的连锁反应，从而放大攻击的影响。欧洲，尤其是零售业，仍然是网络犯罪分子极具吸引力的地区，主要原因如下：1欧盟2023年国内生产总值，https://www.macrotrends.net/global-metrics/countries/EUU/european-union/gdp-gross-domestic-product#:~:text=European%20Union%20gdp%20for%202022,a%201.99%25%20decline%20from%202019.欧盟是全球最重要的经济区域之一，其国内生产总值（GDP）为183亿美元，是世界上主要的贸易实体之一，代表着14.8%1全球出口份额，以及全球进口份额的14.2%。 欧洲零售威胁格局 - 2024 概览 42 欧洲零售威胁格局 - 2024 概述 5https://www.statista.com/statistics/444944/number-of-pos-terminals-the-european-union/3https://www.statista.com/outlook/fmo/digital-payments/europe增加攻击面和暴露支持零售运营所需的技术生态系统庞大且复杂，例如，仅销售终端（POS）的数量就上升到2023年的约2060万。电子商务在数量方面也是一个挑战4通过钓鱼攻击能够联系到的客户，随着该地区电子商务的增长。广泛使用数字支付系统。欧盟的数字支付系统和非接触式技术采用率很高。尽管这些系统每次都更加稳健并且安全，存在着巨大的攻击面，为网络犯罪分子通过POS恶意软件、钓鱼活动、针对数字钱包和支付平台的欺诈提供了利用机会。多元文化景观。欧洲零售商经常在文化和语言多元化的地区运营，这要求他们调整其系统和平台以适应各种语言和法律要求的市场。这种复杂程度创造了一种场景，其中网络安全措施可能会被错误地覆盖或忘记，从而使威胁行为者更容易利用其数字基础设施中的薄弱环节。 3 05041494223453 44393516 1913217120813025384928161551 541730026330333217615310015020025030020232024图1：2023年和2024年欧洲各行业事故比较2023年和2024年欧洲事件比较，按行业划分欧洲零售威胁态势 - 2024 概述 6零售采矿旅游技术交通电信能量金融医疗保健建筑政府娱乐制造商业服务关键基础设施根据Cyberint收集的数据，2024年欧洲最被攻击的行业是商业服务、零售和制造业，共报告超过800起事件。尽管商业服务仍然是最受攻击的行业，但零售业的事件数量增幅最大，我们在同期检测到其增加了22%。教育汽车 20232024050403020101141912210129301221043 42171 11 10281132627123238422272422001392欧洲零售威胁图谱 - 2024 概览 7图2：2023年和2024年零售业主要目标国家法国 爱尔兰德国 丹麦捷克共和国意大利西班牙波兰 挪威俄罗斯瑞典立陶宛斯洛伐克 葡萄牙 罗马尼亚荷兰 卢森堡瑞士英国对勒索软件事件的深入分析表明，2024年欧洲零售业最常受攻击的国家与2023年相同，即法国、德国、意大利、西班牙和英国，这五个国家占总事件的67%以上。然而，今年最大的增长发生在西班牙和英国，报告期内事件数量分别显著增长了100%（西班牙）和20%（英国）。图2：2023年和2024年零售业主要目标国家塞浦路斯克罗地亚奥地利比利时保加利亚 5图 3. 针对欧洲国家的十大勒索软件团伙 2024CLOP勒索软件团伙回归勒索软件团伙格局RansomHubLockBit3.0Clop勒索软件团伙，也被称为Cl0p，最早出现在2019年2月，此后在全球范围内针对零售、制造、能源、医疗保健和金融服务等众多行业进行攻击。最近几个月，该勒索软件团伙重新开始运作，再次在其网站上列出了受害者。2023年，他们成功入侵了384个目标。然而，在2024年，该组织仅在网站上发布了27名受害者。2024年12月，Clop加大了其行动力度，发布了超过60家公司据称受其最新攻击影响，并给他们48小时的最后期限来满足他们的勒索要求。关于威胁行为者，我们的研究表明，攻击欧洲企业的恶意团伙数量增加了23%，例如“Ransomhub”和“Hunters”，它们试图提升其声誉并在其他勒索软件团伙中脱颖而出。值得注意的是，2023年知名勒索软件团伙的活动正在减少，这归因于执法部门对Lockbit和AlphV/Black等主要参与者的打击活动。2023-2024期间的猫。6欧盟司法部。公共事务办公室 | 美国和英国破坏洛克比特勒索软件变种 | 美国司法部6美国司法部。公共事务办公室 | 司法部破坏了多产的ALPHV/黑猫勒索软件变种 | 美国司法部 欧洲零售威胁态势 - 2024 年概述 8勒索软件团伙猎手8base黑巴斯塔玩仙人掌喵阿绮拉麒麟5 12加强执法和政府行动：提升网络弹性：赎金支付这种加剧的法律压力也可能阻止受害者支付赎金，因为当他们意识到执法部门可能更有可能追求追回损失和抓获肇事者的途径时。勒索软件仍然是全球最具破坏性的网络威胁之一，几乎影响每个行业和地区。然而，在2024年第一季度，勒索软件攻击格局中观察到值得注意的是转变。支付给网络犯罪分子的赎金数量显著下降，支付受害者的比例降至历史新低28%。虽然这一趋势令人鼓舞，但它反映了攻击者和组织之间动态变化的复杂性。几种关键因素可能导致了赎金支付量的下降：7执法部门扰乱全球最大勒索软件行动 | 欧洲刑警组织组织在抵御勒索软件攻击方面正变得越来越擅长，这很大程度上得益于其网络弹性的策略进步。现在许多企业都采用了强大的灾难恢复计划（DRP），其中包括频繁且安全的数据备份，存储在隔离环境中。这些备份系统通常自动化且定期测试，为组织提供了一种从攻击中恢复的方法，而无需向勒索要求屈服。导致勒索付款下降的另一个重要因素是执法机构和政府打击勒索软件团伙的力度加大。例如欧盟协调的执法行动、FBI的勒索软件特别行动小组以及“克罗诺斯”行动期间对LockBit的重大打击等行动。7对网络犯罪分子逍遥法外的能力产生了明显的影响。勒索软件团伙中关键人物的逮捕，加上对其基础设施的没收，使得网络犯罪分子发动成功攻击的风险更大了。此外，许多组织已建立应急响应团队，能够迅速采取行动控制攻击并减小损失，从而进一步降低支付赎金的压力。这种转向主动防御机制的变化反映出人们越来越认识到，恢复的成本往往低于赎金本身，尤其是随着网络犯罪分子不断改进他们的战术。然而，声誉受损的风险是大多数公司在计算支付勒索软件攻击的财务影响时需要考虑的问题，即使其网络安全基础设施得到加强；企业还必须考虑对其品牌形象和客户信任的长期损害。 欧洲零售威胁格局 - 2024概述 9 34提高了支付赎金的风险和后果的意识：勒索软件生态系统的碎片化：8美国司法部：https://www.justice.gov/opa/media/1381806/dl9首页 | 停止勒索软件项目10#StopRansomware Guide | CISA许多企业现在正转向替代恢复方法，例如由执法部门或网络安全公司提供的网络保险或解密工具包，以避免与网络犯罪分子打交道。高调案件中受害者支付赎金后却面临进一步攻击的情况，或赎金与资助其他非法活动相关联的情况，进一步凸显了危险。此外，执法部门在成功开展“克罗诺斯”行动后发现，Lockbit被扣押的基础设施中包含了从已支付赎金的受害者那里窃取的数据副本，尽管LockBit犯罪分子曾向这些受害者虚假承诺在支付赎金后会删除受害者的窃取数据。这些团伙往往缺乏精明、资源，或在支付后提供解密密钥的承诺上缺乏跟进。这些团伙越来越被认为不可靠或不值得信赖，可能会让受害者因担心被骗或再次感染而不愿谈判或支付赎金。这种去中心化导致了总体支付量的减少，因为公司可能更倾向于拒绝赎金要求。随着网络安全形势的发展，组织对支付赎金所带来的长期后果的认识日益增长。这些风险包括数据再次感染（网络犯罪者在支付后再次攻击）、为更多犯罪活动提供资金以及声誉受损的潜在可能。勒索软件领域也出现了向更多碎片化、组织性更差的勒索软件团伙转变的趋势。过去，像REvil或DarkSide这样声名显赫的网络犯罪集团是许多最大规模勒索软件攻击的主要行为者。然而，在2024年，规模较小、信誉较低且以更去中心化和机会主义方式运作的勒索软件团伙有所增加。 8 欧洲零售威胁态势 - 2024 年概述 109, 10 欧洲零售威胁格局 - 2024 概览 11尽管勒索支付总额有所下降，但2024年却见证了历史上最大的一笔勒索支付。主要药物分销商Cencora公司向暗天使勒索软件团伙支付了7500万美元，几乎是之前记录在案的勒索支付金额的两倍。这一案例提醒我们，虽然许多组织正变得更具韧性，且不愿支付勒索款，但某些行业或高价值目标可能仍会为保障其数据而支付巨额款项。此类支付涉及的巨额金额凸显了，当公司缺乏有效的预防和缓解策略时，他们将面临巨大的财务风险。这起备受关注的案例可能为其他攻击者树立先例，有可能导致未来更大规模、更具侵略性的勒索要求。网络犯罪团伙可能会将目标集中在更少但利润更高的对象上，有可能从大规模攻击转向聚焦、高风险的敲诈方案。这对于那些拥有敏感数据和运营的大型组织尤其如此，这些组织成为企图榨取巨额资金的网络犯罪分子的首要目标。勒索软件即服务（RaaS）平台可能会通过让技能较低的攻击者使用复杂工具和基础设施来执行高度针对性的攻击，从而进一步推动这一趋势。11福布斯：