2024年第三季度勒索软件报告

目录执行摘要统计学3顶级家族大领域玩6被 Play 6 攻击的 Top 3 国家被Play 6攻击的3大行业Lockbit3.0 6被Lockbit3.0攻击排名前三的国家 6被 Lockbit3.0 攻击的三大领域国家排名主要领域新用户9 9Lynx 10虎鲸解放者11瓦伦西亚泄密事件12地狱下坠13普瑞克斯14 15Ransocortex 16范尼尔集团17氮逮捕18 18英国逮捕与梅吉梅尔斯度假村勒索软件攻击有关的一名青少年FBI打乱抢夺者勒索软件运营，没收服务器18德国查封47家与勒索软件团伙有关的加密货币交易所新趋势19勒索软件组织的目标是Linux和VMware ESXi系统，并正在开发新的功能19 2020瑞西达勒索软件是2024年8月西雅图港口网络攻击的幕后黑手RansomHub声称科瓦斯的网络攻击，威胁泄露被盗数据哈里伯顿证实2024年8月的勒索软件攻击中数据被盗21 21黑色西装泄露了青年咨询客户的数据结论22联系我们 统计学执行摘要毫无疑问，新面孔被引入行业，加上全球范围内对企业的持续攻击，夺走了许多受害者。这，加上行业领导层的一致性——RansomHub、Play、LockBit3.0、Meow和Hunters——导致了像Young Consulting、Halliburton和其他公司在全球范围内遭受毁灭性结果。尽管2024年初勒索软件攻击频率有所下降，但第二季度全球勒索软件攻击回归到了一个更加令人恐惧的世界，第三季度延续了第二季度的趋势。2024年第二季度，攻击数量达到1277起，但第三季度有小幅下降，为1209起。尽管数字基本保持不变，勒索软件集团的霸主地位发生了变化，两年后，RansomHub集团从LockBit手中夺走了第一名的桂冠。有趣的是，本季度，排名前10位的勒索软件组织负责了58.3%的所有攻击。与上一年相比，这突显了新勒索软件组织的影响以及创纪录的活跃组织数量，表明在勒索软件领域，具有历史意义的组织的主导地位有所下降。如前所述，勒索软件行业本季度记录了1,209名受害者，与2024年第二季度相比，减少了约5.5%。尽管如此，美国仍然是勒索软件攻击最频繁的国家，而商业服务是目标最严重的行业，这与上个季度的统计数据相似。 勒索软件2024年第三季度报告3 85$44$顶级家族图1前10名勒索软件家庭在Q3锁比特3美杜莎虽然这是整个勒索软件行业的成功季度，但三个家族脱颖而出。新的领导者RansomHub是最具统治力的勒索软件组织，有195个新受害者，占所有勒索软件案例的16.1%。自2022年以来，LockBit首次不再是第一名！排名第二的是Play勒索软件团伙，声称感染了显著数量的89个受害者，占所有勒索软件案件的7.3%。正如预期的那样，Play继续在勒索软件领域保持主导地位。第三名被LockBit团伙占据，该团伙声称本季度成功发动了85次攻击，创下该团伙新低，为一年半以来每个季度攻击次数最少。 196$89$76$57$47$42$36$35$勒索软件2024年第三季度报告4RansomHub玩喵猎人亚琦麒麟Rhysida编联 117玩RansomHub美国英国澳大利亚被RansomHub攻击的排名前3个国家另一个有趣的事实是，这两个月的攻击次数占我们这个季度追踪的所有勒索软件攻击的10%以上！勒索软件中心（RansomHub）在勒索软件领域迅速崛起，利用ALPHV和LockBit等主要参与者的干扰。该组织可能起源于俄罗斯，并与前ALPHV附属势力有关联。通过利用其勒索软件即服务（RaaS）模式，该组织提供对附属势力有吸引力的利润分成条款，从而确立了自己作为一个强大的力量。这种做法导致了攻击激增，特别是在2024年8月和9月，当时他们超过一半的攻击都发生在这两个月。负责对美国多个重要城市发动多次破坏性袭击的勒索软件团伙据称自2022年6月以来已实施超过560次成功攻击。研究人员发现了一种Play勒索软件的Linux变种，该变种仅在VMware ESXi环境中运行时才会加密文件，这有助于他们进行更广泛的行动。如果得不到阻止，Play将在2024年打破其年度受害者记录（301）。 79532720勒索软件2024年第三季度报告5商务服务零售制造被RansomHub攻击的前三大行业 7571211738651514被 Play 攻击最多的前 3 个国家 攻击 Play 最多的前 3 个行业LockBit3.0勒索软件2024年第三季度报告6零售商务服务制造美国加拿大法国被攻击的前3个国家Lockbit3.0美国英国法国商务服务零售制造在第三季度，LockBit攻击的公司数量比第二季度减少了近60%，这显示了执法行动的巨大影响。尽管针对该组织的这些重大行动，LockBit 继续对各种机构发动全球进攻，尽可能维持其在前三名勒索软件组织中的地位。锁 bit3.0攻击的前三大行业自从操作“克罗诺斯”（破坏了LockBit的附属计划并曝光了其领导人之一德米特里·霍罗谢夫（人称‘LockBitSupp’））以来，该组织的活动已显著下降。在经历了这些执法行动后，LockBit时隔两年首次跌至勒索软件组织排名第三位。这标志着其活动水平的显著变化。 20 50%2%国家排名图2美国德国最后，英国本季度以59个勒索软件案件位列第三。即使只关注前三名国家，毫无疑问，美国是对威胁行为者而言最赚钱的国家。2024年第三季度勒索软件目标国家前十名关于最目标国家（图2），美国仍然是全球首要目标国家，这是有充分理由的。50%的勒索软件攻击目标是世界第一大经济体，即599起案件。本季度目标第二的国家是加拿大，有73个案例，远落后于美国。 2%2%2%5%6%3%3%2%勒索软件2024年第三季度报告7加拿大英国意大利巴西西班牙澳大利亚法国以色列 6%27%图3主要领域商务服务医疗保健2024年第三季度勒索软件攻击的十大目标行业正如预期，商业服务领域在第三季度是受攻击最严重的领域，占勒索软件案例的27%，其次是零售业和制造业，分别占18%和11%（图3）。 6%3%5%18%11%6%5%3%勒索软件2024年第三季度报告8零售制造金融施工政府教育汽车技术 Lynx新用户Lynx是一个双重勒索软件团伙，近期活动频繁，在其网站上列出了众多公司作为受害者。然而，该团伙声称会避免针对政府机构、医院、非营利组织等社会关键部门。一旦进入系统，Lynx会加密文件，添加.LYNX扩展名，并在多个目录中留下题为\"README.txt\"的勒索笔记。截至本报告发布时，Lynx已声称超过28个受害者，这凸显了他们在勒索软件领域的持续活动。 勒索软件 2024 年第三季度报告 9 虎鲸奥克拉勒索软件在2024年9月攻击了两个受害者，分别是来自台湾的辰诺科技有限公司和来自突尼斯的ExcelPlast突尼斯公司。根据他们（摘自他们的DLS“介绍”）的说法：“奥克拉勒索软件的主要动机是由经济利益驱动的，并且致力于避免对组织造成不必要的伤害。我们理解在追求经济成功的过程中伦理考虑的重要性，并遵守一项严格的政策，即不针对政府机构、医院或非营利组织，因为这些部门对社会至关重要。”勒索软件泄露页面中涉及辰诺科技的包含有限信息，主要集中于公司名称。没有具体的受损日期，也没有从该网站提取出显著内容，例如段落或描述。图像的存在也是缺失的，表明这是一次精简的泄露，包含极少的视觉元素。页面未提供下载链接，这表明数据泄露可能并未涉及直接访问勒索软件事件通常关联的敏感文件或文档。泄露的性质尚不明确，目前总结中也没有关于切尔南科技有限公司的活动或勒索软件攻击的影响的进一步细节。 勒索软件2024年第三季度报告10 疯狂解放者Mad Liberator 依赖于社会工程学来渗透其目标，特别是那些使用远程访问工具（如 Anydesk）的用户。该组织部署了一种模仿 Windows 更新界面的恶意软件，使其看起来好像系统正在更新。这个伪装的界面实际上不执行任何真正的更新，很可能设计用来规避大多数杀毒软件的检测。为了防止用户使用“Esc”键退出虚假的更新界面，攻击者通过 Anydesk 禁用了键盘和鼠标输入，从而维持了欺骗行为。一旦进入内部，攻击者使用Anydesk访问受害者OneDrive账户和中央服务器上的文件，通过映射的网络共享传输数据，并使用Anydesk的文件传输功能。之后，他们运行Advanced IP Scanner来识别其他易受攻击的设备，但并不尝试横向移动。相反，他们在共享网络上的多个位置创建勒索信息，而不在受害者的设备上留下任何信息。研究人员将此攻击链视为对持续员工培训和远程访问会话的明确IT政策的必要性的提醒。他们还建议管理员使用Anydesk访问控制列表仅将连接限制在受信任的设备上。“疯狂的解放者”勒索软件组织，自2024年7月活跃以来，专注于数据窃取而非数据加密。像其他勒索团伙一样，他们维持着一个泄漏网站，在那里公开列出他们的受害者。 勒索软件 2024 年第三季度报告 11 瓦伦西亚泄露一个新的勒索软件组织开始泄露其声称从全球五个机构窃取的数据。最近，Valencia勒索软件在其DLS中添加了链接，提供GB级别的所谓泄露数据供下载。受害者似乎包括加利福尼亚的一个市镇、一家制药公司和一家造纸厂。日益增长的推测表明，一些瓦伦西亚集团的攻击可能与来自Progress的WhatsUp Gold网络监控软件中发现的关键漏洞有关。这些允许攻击者接管管理员账户的漏洞在5月份被发现并负责任地披露，一个概念验证漏洞利用程序在8月底发布。据报道，受害者有加利福尼亚州的普莱森顿市，攻击者声称窃取了283GB的敏感数据；马来西亚的杜佛尔玛生物科技公司，窃取了25.7GB；印度造纸商萨蒂亚公司，窃取了7.1GB；以及孟加拉国的制药公司环球制药公司，窃取了200MB。此外，西班牙时尚巨头Tendam公司也被传为目标，这尤其令人担忧，因为他们本月初据报道也遭受了Medusa勒索软件攻击。 勒索软件2024年第三季度报告12 地狱下坠地狱下（Helldown）是一个新兴的勒索软件组织，在上个月其在泄露网站列出了17个受害者。尽管相对较新，地狱下（Helldown）因其侵略性策略在网络安全界迅速赢得了声誉。该组织使用高级加密方法，包括AES、Salsa20和RSA，并通过暗网和加密货币交易保持高度匿名性。以利用漏洞突破网络和禁用安全措施而闻名，地狱下（Helldown）主要针对IT服务、电信和制造业。他们以窃取数据的方式对敏感数据进行加密并威胁要公开释放它，除非支付赎金，已被证明既非常有效又极具破坏性。 勒索软件2024年第三季度报告13 普瑞克斯普瑞克斯运营一个数据泄露网站，他们公开曝光拒绝支付赎金的受害者的信息。该平台可通过互联网向公众开放，同时也像许多勒索软件团伙一样，通过暗网进行访问。普瑞克斯的数据泄露网站呈现出一个不祥的界面，带有蜘蛛网图案，并以“Get Pryxed”的口号醒目地展示。该平台分为“联系信息”、“公开PGP密钥”、“所有更新”和“普瑞克斯的泄露与运营”等部分。主页大胆地向访客发出“Get Pryxed”的邀请，反映了该组织的侵略性和挑衅风格。一个名为“Pryx”的新勒索软件组织最近出现在网络犯罪舞台上，声称对其首次重大攻击负责。Pryx宣布它入侵了伯灵顿县罗恩学院（RCBC.edu）的系统，并窃取了3万名大学申请材料。据该组织称，他们成功攻破了学院的IT系统，并从该机构获取了敏感数据。这一消息是通过他们的数据泄露网站发布的，该网站可以通过普通互联网和暗网访问。 勒索软件2024年第三季度报告14 Ransomcortex最近，在2024年7月，网络威胁的形势因一个名为“Ransomcortex”的新型勒索软件集团的涌现而变得更加复杂。该集团的特点是专门攻击医疗机构，在其首次出现后的几天内就已经收集了四个受害者。其中，有三个是巴西的医疗机构，一个是加拿大的。与许多其他勒索软件团伙不同，Ransomco