2025年网络犯罪状况：新兴威胁与预测

预测新兴威胁 二〇二五年二月 执行摘要 2024年，网络威胁格局变得更加复杂。威胁行为者日益多样化，结成联盟并采用模糊了网络犯罪分子、黑客激进分子和政府支持团体之间传统区别的方法。从恶意软件即服务（MaaS）到被盗凭证市场的地下经济，为支持各种恶意活动提供了强大的基础设施。由人工智能（AI）的快速采用和供应链相互依赖性驱动的数字攻击面不断扩大，引入了新的漏洞。地缘政治紧张局势进一步加剧了网络风险，政府支持的行为者利用网络行动实现战略目标。包括俄罗斯、中国、伊朗和朝鲜在内的国家行为者，在间谍活动和影响其地缘政治利益方面保持活跃。 在这份报告中，KELA突出了2024年的显著威胁，并针对2025年不断变化的威胁格局进行了预测和应对措施。希望它能为您提供有价值的见解，并加深您对不断演变的网络威胁格局的理解。我们的目标是为您提供应对新兴风险的所需情报。 首席执行官，KELA 信息窃贼作为持续性的威胁 ●信息窃取者被视为包括勒索软件和间谍活动在内的高级攻击的先导。●KELA观察到全球超过430万台机器感染了信息窃取恶意软件，涉及超过3.3亿个受侵害的凭证。 ●KELA 还观察到有39亿个凭证以凭证列表的形式共享，这些凭证列表似乎来源于信息窃取者日志。 ●前三大信息窃贼恶意软件变种——Lumma、StealC和Redline——导致了超过75%的感染机器。●凭证盗窃及其后的利用可能会演变成大规模敲诈勒索活动，正如雪崩攻击所示，该攻 击因凭证泄露至少影响了165家公司。 勒索软件和敲诈勒索适应 ●勒索软件和勒索活动不断增加，KELA追踪的受害者超过5230人。●受害者几乎被100名演员所索要。RansomHub勒索软件团伙位居榜首，受害者人数超过520人。●美国是勒索软件受害者的主要群体，占受害者总数的超过一半。●KELA观察到数据盗窃的趋势正在增加，而加密仍然被广泛使用。值得注意的是，还出现了针对第三方的情况。●演员们多样化了他们的策略，例如开设数据市场并努力寻找额外的盈利模式。 漏洞作为切入点 ●广泛应用的平台被利用的安全漏洞凸显了及时修复补丁的重要性。●网络犯罪分子讨论中显示出对Fortinet的FortiOS、各种WordPress插件、D-Link云网络存储设备、Microsoft Outlook和Windows内核漏洞的兴趣。●网络犯罪分子关于新CVE的讨论在CVE公布后一个月内出现，并在公布后持续数月。 黑客活动因地缘政治而加剧 ●超过200个新的黑客活动组织出现，进行了3500多次分布式拒绝服务（DDoS）攻击。●重大事件，如俄乌战争和以色列-哈马斯冲突，影响了针对关键领域的黑客活动。●战术演变，包括勒索软件、信息窃取者和联盟的形成。 国家支持的威胁与趋同 ●Major events that triggered state-sponsored operations included elections in the US,Taiwan, and India, while Olympic Games in Paris were targeted in influence campaigns.●国家资助的活动和网络犯罪活动之间的界限变得模糊，因为传统上由网络犯罪分子使用的工具，如勒索软件，越来越多地被用于地缘政治目标。 人工智能滥用：新的攻击面 ●网络犯罪分子利用大型语言模型（LLM）的弱点，滥用它们以达到自己的目的。●人工智能驱动的威胁包括深度伪造、后门人工智能模型以及针对人工智能集成平台的对抗性攻击。●ChatGPT（300万账户）和Gemini（17.4万账户）等热门模型的受侵害账户数量急剧 增加，凸显了加强防线的必要性。 目录表 执行摘要 威胁聚焦 #1 6 信息窃贼 雪花攻击：2024年最大的信息窃贼相关攻击KELA 2024见解：超过400万台设备被感染，Lumma窃贼位列首位KELA 2025预测：信息窃贼将继续成为常见的初始访问向量 威胁聚焦 #2 12 赎金与敲诈 显著的勒索攻击：KELA 2024洞察：超过5,230名受害者感染，其中大部分在美国 KELA 2025预测：勒索行为者将继续依赖RaaS（勒索软件即服务）和附加服务 威胁焦点 #3 脆弱性 顶级被利用漏洞 KELA 2024 洞察：网络犯罪分子最渴望的漏洞 KELA 2025 预测：披露的漏洞仍将是常见的入口点 威胁聚焦#4 24 黑客活动家 显著的黑客活动袭击揭示了KELA 2024的洞察：超过200个新的黑客活动团体和3500多次DDoS攻击。KELA对2025的预测：攻击的增长和多样化。 威胁焦点#5 28 APTs和影响力行动 重大事件引发国家支持的网络运动；KELA2024洞察：聚焦中朝团体；KELA2025预测：网络犯罪与国家行为者融合 威胁聚焦 #6 33 人工智能滥用 顶级10大与LLM相关的安全风险 KELA 2024洞察：关于易受攻击的LLM和暴露的用户凭证的网络安全讨论 KELA 2025预测：与LLM相关的攻击面扩展 KELA 2025预测 威胁聚焦 信息窃贼 在2024年，信息窃取软件巩固了其在网络威胁格局中最重要初始访问途径之一的地位。这种旨在窃取凭证、财务信息和其它敏感数据的恶意软件，已经成为网络犯罪分子操作不可或缺的部分。它们被以MaaS（按需服务）平台的形式提供给威胁行为者，行为者付费后即可获取信息窃取软件构建和基础设施的访问权限。 信息窃贼之所以有吸引力，在于它们的效率和可扩展性，使得攻击者能够损害大量个人和企业的账户。信息窃贼不仅直接助长账户接管和数据窃取，而且也是更高级攻击（如勒索软件和间谍活动）的先兆。 网络犯罪生态体系，包括市场、论坛、即时通讯和其他平台，通过大量被盗凭证进一步助长了这一趋势。 雪花攻击： 2024年最大的信息窃贼相关攻击 在2024年4月中旬，被盗凭据使UNC5537小组能够访问Snowflake的云数据存储平台上的客户账户。初步访问被追踪到信息窃取恶意软件：威胁行为者通过信息窃取获取了Snowflake客户的凭据，并登录了未受多因素认证（MFA）保护账户。然后，他们使用自定义脚本从Snowflake实例中窃取信息。 稍后，参与该行动的几名演员试图在网络安全论坛上出售和泄露这些公司的数据。此次攻击影响了至少165家公司。1 KELA 2024洞察： 超过400万台机器感染，Lumma盗贼位居首位 至少430万台在不同国家在2024年感染的infostealer恶意软件，根据KELA的数据湖显示，占比超过3.3亿个受影响的凭证两者均略大于2023年的数字。 前三名信息窃取恶意软件变种——Lumma、StealC和Redline（2024年10月被破坏）——在KELA的数据湖中造成了超过75%的感染机器。 近40%的感染机器在KELA的数据湖中包含了对敏感企业系统（如内容管理系统、电子邮件、Active Directory联合服务以及远程桌面）的凭据，这占了...近170万机器人账号和750万个被盗凭证： The top five affected vendors of VPN solutions:这是赎金软件攻击者和其他人寻求的最为敏感类别之一，包括：3 The top three job departments affected by infostealer malware:基于对不同公司感染员工数据集的研究：4 项目管理 根据KELA的分析，数据集主要（几乎65%）包含保存了企业凭证的个人电脑。在它们上面，并通过信息窃取恶意软件获得。 除了来自受感染机器的受损凭证之外，KELA 还观察到3.9亿份以证书清单形式共享的凭证。网络犯罪分子通常将其称为 URL:登录:密码（ULP）文件。ULP 文件通常是不同行为者获取的数据的汇编，这些凭据可以从各种来源收集，包括信息窃取日志、第三方数据泄露和钓鱼攻击。然而，KELA 评估认为，大多数 ULP 文件源自信息窃取日志。 KELA 2025预测： 信息窃取工具将持续成为常见的初始访问向量 展望2025年，信息窃贼的使用预计将持续增长。MaaS平台的激增和信息窃贼日益复杂化，可能会增强它们作为初始访问的主要途径的作用。然而，执法力度的加大也将塑造这一领域。 2024年的高调行动，例如破坏RedLine，展示了国际机构瓦解信息窃取供应链关键部分的才能。这些努力有可能在2025年持续并升级，不仅仅针对恶意软件开发者，还将着眼于分支团队合作基础和市场的架构，以及其他支撑其运作的平台。 虽然这种行为可能会暂时破坏窃取信息程序生态，但同时也可能推动其他马太（Maas）型信息窃贼活动的增加，随着新入者争相抓住机遇填补空缺。 应对措施 实时检测和隔离信息窃取活动的解决方案，重点在于基于行为分析而非仅基于签名分析方法。 ●实施严格的资格管理：在所有账户中强制执行多因素认证，并定期更换特权凭证，以限制被盗登录信息的影响。 ●开展定期的威胁狩猎：积极搜索网络中信息窃取程序感染的迹象，重点关注已知恶意域名或IP地址的异常流量。 ●加强网络分段隔离关键系统和数据，以限制攻击者使用被盗凭证横向移动的机会。 ●与提供身份安全解决方案的威胁情报提供商合作：利用网络威胁情报（CTI）服务，及时了解您所在行业最新的信息窃取病毒菌株、战术以及威胁行为者的活动，以及您公司资产暴露情况，包括第三方资源访问权限。 ●增强电子邮件安全性：利用高级邮件过滤方案来阻止针对信息窃贼的主要传播手段——网络钓鱼攻击。 ●提高员工培训：定期开展意识宣传活动，教育员工识别钓鱼邮件和下载未经验证软件的危险，不与未经授权的个人共享工作电脑或笔记本电脑，练习安全密码管理，及时报告可疑活动，并遵循处理敏感数据的既定协议。 ●准备事件应对计划：保持针对信息窃取感染响应的更新版操作手册，强调控制、分析和修复。 威胁聚焦 赎金与敲诈 尽管在2024年执法机构造成了重大干扰，例如针对LockBit的Cronos行动5并且拆解了雷达勒索软件集团6 勒索软件和敲诈勒索行为者持续适应和运作。KELA在2024年识别出60多个新行为者，其中13个在同年停止了活动。因此，尽管勒索软件和敲诈勒索活动非常流行，但保持在这一行业需要付出努力。其中大多数继续作为勒索软件即服务（RaaS）平台运作，依赖双重敲诈和供应链妥协。 2024年，KELA观察到的新型威胁群体中，超过10个被认定为仅窃取数据而不使用勒索软件的行动者，表明数据窃取的方向转变，而加密技术仍然被广泛使用。 供应链攻击仍然很常见，因为第三方为许多不同组织提供敏感访问权限。针对它们对威胁行为者来说非常高效，他们可以利用这些访问权限进行多次进一步攻击，广泛地从中获利。 有趣的是，在2024年，KELA观察到一些勒索软件团伙采用不同的盈利模式和推广额外服务。例如，Meow开始作为一个数据市场运营，用于向任何感兴趣的买家出售被盗数据，而不仅仅是作为一项曝光勒索过程的服务。此外，KillSec推广了一项“开源情报服务”，暗示收集关于任何实体的数据。另外，尽管Funksec的信誉度仍然很低，但它为其勒索活动引入了额外服务：所谓的“黑区”，免费在其网站上发布其他威胁行为者的泄露信息，这可能是一种吸引流量和增加其网站曝光度的策略。 显著的勒索攻击 2024年发生了多起重要的勒索事件，影响了各个行业的组织，凸显了威胁格局的演变。 ●联合健康集团2024年2月，Alphv（BlackCat）将其作为攻击目标，利用被盗凭证未经多因素认证访问Change Healthcare的Citrix门户。攻击者在部署勒索软件之前，窃取了九天的数据，迫使该组织切断连接以遏制攻击。值得注意的是，RansomHub在2024年4月声称同样的受害者，显然与实施攻击的Alphv分支机构合作。4月底，在向媒体提供的声明中，联