安全419盘点 | 2024年第一季度勒索软件攻击趋势总结

网络犯罪专业化发展是调研机构认为的网络安全主要趋势之一，其中又以勒索软件攻击商业模式系统化发展最具代表性，这种趋势带来的威胁也是代言网络安全的一种长期威胁。安全419长期关注安全产业发展与趋势变化，现观察并总结2024年Q1期间勒索软件攻击相关事件发现如下趋势：

趋势不减

赎金创纪录之下迎来新的一年

中国计算机学会计算机安全专委会每年都会发布十大网络安全发展趋势，“勒索软件攻击依然是最普遍的网络威胁形式”即为今年的十大趋势之一，其指出，展望2024年，网络安全将面临着严峻的挑战，随着黑客组织不断更新和改进攻击策略和技术，如智能化、多重勒索常态化等，新一代的勒索软件攻击会变得更加难以预防和处置。

区块链数据追踪平台Chainalysis在一季度发布的报告显示，2023年的勒索软件赎金支付飙升到了11亿美元以上，已经创下了新的纪录。此前2021年的9.83亿美元已是最高赎金，数字对比之下可以更为直观地了解到勒索软件的破坏力和影响力。这也能理解为什么世界经济论坛会在今年展望全球网络安全风险时会提出“网络安全经济”概念一词。

网络安全厂商Arctic Wolf一季度发布报告指出，2023年最初的勒索软件赎金诉求中位数已达到60万美元，比上一年增长20%。当然影响赎金数额因素还有受害者规模和财务状况，从行业上来看，制造业、零售业等对业务连续性较高的行业，赎金则多在百万美元以上。制造业因为对生产停机时间容忍度较低，是勒索软件组织泄露站点上“点名”最多的行业。

短期内的对于勒索软件攻击事件的主要归因是组织未曾主动修复关键漏洞，即勒索组织仅仅利用漏洞就能击穿绝大多数组织的IT业务系统。数据显示，攻击利用的漏洞60%属于Nday漏洞，但零日漏洞利用呈现增长趋势。漏洞利用始终有效对于组织而言考虑的是自身的漏洞监测与修复能力，以及更为负责地做好开发安全工作。

对于勒索软件未来的担心还有一部分来自AI人工智能技术的双刃发展，好的一面是带来了更多的创新及可能，坏的一面是攻击者可能将AI技术应用到勒索软件攻击当中，从而造成破坏。英国国家网络安全中心（NCSC）在一月份就警告认为，网络犯罪分子已经将人工智能用于各种目的，预计这种现象将在未来两年内恶化，从而增加网络攻击的数量和严重程度。

2024年全行业仍将面临持续挑战，如何在大环境中持续迎接数字化浪潮，如何在网络安全压力持续增长的情况下平衡投入，以确保数据安全和业务连续性，成为企业重要命题。

勒索组织遭持续打击 但未来仍需观察

在今年的一季度，LockBit勒索软件团伙被执法成为热点新闻事件，从报道内容来梳理此次事件，这次执法行动可谓酝酿已久，甚至要追溯到2022年4月份的欧洲司法部的早期调查。这起事件有一些细节是需要关注的，一个是虽然大部分的LockBit基础设施以及被用于渗透破坏的恶意账号遭到破坏，但其主要负责人立即发表了要进行报复的公开声明，也意味着LockBit不会因此解散。

另外从其主动披露出来的信息显示，LockBit遭到执法RaaS基础设施被关停的主要原因居然是他们使用了带有漏洞的PHP版本，也印证了“常在河边走，哪有不湿鞋”经典警示。常用漏洞去攻击别人，如今遭到反噬也是相当的嘲讽。

当然，各国针对勒索组织及成员的执法行动也不仅仅只有LockBit，我们也会看到一些被执法的个人，要么是被实施监禁要么是被实施制裁。让人印象深刻的是一名俄裔加拿大网络犯罪分子，在疫情期间共参与了一千次网络攻击，作为LockBit的附属成员，由其参与的攻击在赎金要求方面就超过1亿美元。

纵然针对勒索软件的打击工作持续进行，但根据卡巴斯基安全专家最近的一项深入研究发现，从2022年到2023年，全球有针对性的勒索软件组织数量激增了30%。所以当勒索软件即服务产业壮大到如今这一地步，加之全球地缘政治问题很难在短时间内解决，目前的执法行动将很难撼动这一产业的持续作恶，未来潜在的增长趋势仍然十分明显。

所以如何对抗勒索组织，我们也才会看到目前国际社会从政府层面最为主流的意见是“所有人”拒绝支付赎金。比如在第三届国际反勒索软件倡议峰会上，就有近50个国家签署了联合反勒索软件倡议政策声明，声明的核心就是政府机构将停止向勒索软件团伙支付赎金。他们的想法是，勒索软件是目前对大多数企业最具破坏性的网络威胁，只要有资金流向勒索软件犯罪分子，问题就会持续增长。

勒索软件攻击需针对性防范

网络安全厂商针对勒索软件攻击的防御方法方面主要提醒应着重关注以下几个大的方面，其一是解决两大攻击媒介问题，一个是电子邮件的安全性问题，主要防范社区钓鱼攻击，二是做好漏洞管理工作，及时为面向公众的应用程序安全最新的补丁，解决勒索软件当前进入业务系统的主要利用手段。

做好这两件事之后，需要注意的是有针对性地了解勒索软件团伙当前的勒索策略，所以企业应将内部的重要数据进行加密操作，如此就算勒索组织盗取了数据，他们也无法执行以数据为中心的多重勒索。同时做好备份策略，以防止勒索软件本身的删除或加密等恶意行为。维护重要数据的定期加密与备份，并测试他们的有效性，被认为是抵御勒索软件攻击的重要手段。

在2024全国两会期间，北京信息灾备技术产业联盟联合会员单位通过全国人大代表吴兰在有关“强化我国数据灾备安全与韧性”的提案中，就提出应提升灾备方案应对勒索病毒的恢复能力。她建议需要共同研究应对方案，并需要开展针对勒索攻击的攻防演练。其建议也强调了以容灾备份为核心的灾备技术作为底线措施在抵御勒索软件攻击方面的有效性问题。

一项由数据安全厂商的调研数据显示，绝大多数企业在数据备份与恢复方面的能力确实有待提升。比如调研发现对于企业从勒索软件攻击中完全恢复过来的时间方面通常在4到6天（35%）或更长时间，只有7%的受访者表示他们能够做到在1到3内得以恢复，其中24%的公司甚至需要3周时间才会完全恢复，最为重要的是几乎没有公司能够做到24小时内恢复。

第一季度勒索攻击代表事件一览

一 月

1、西班牙马略卡岛卡尔维亚市议会在一月初宣布成为勒索软件攻击目标，攻击影响了市政服务。作为历史名镇，卡尔维亚拥有50,000人口，是马略卡岛的主要旅游热点之一，勒索软件攻击发生之后，卡尔维亚成立了危机委员会，以评估造成的损害并制定影响缓解计划。卡尔维亚市长已明确表示，在任何情况下他们都不会支付赎金，另据当地媒体报道，该起事件的赎金可能高达1100万美元。

2、美国密苏里州最大城市堪萨斯城地区交通管理局（KCATA）宣布成为勒索软件攻击目标，攻击影响了其所有通信系统。该机构运营着300辆公交车，每年服务人数超千万。攻击并未影响交通服务，包括公交路线和辅助交通服务，但导致了区域呼叫中心的工作中断。美杜莎勒索组织在其数据泄露网站上发布了数据泄露威胁页面，要求支付200万美元以删除被盗数据。

3、施耐德电气再次成为网络攻击受害者，2月份，Cactus勒索软件团伙主动披露他们在1月份攻击了该厂商的可持续发展业务部门，从其受感染的系统中窃取的数据可能包括有关客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。施耐德在去年就曾被Clop勒索软件团伙利用MOVEit关键漏洞攻击。

4、芬兰IT服务和企业云托管提供商Tietoevry遭受了勒索软件攻击，Tietoevry证实，勒索软件攻击发生在周五晚上到周六早上，并且只影响了他们在瑞典的一个数据中心。报道称该攻击是由Akira勒索软件团伙进行的。一些商业机构、大学、医院在此事件中受到影响，因基础设施受到攻击导致IT服务中断。

5、LockBit勒索软件团伙将美国跨国快餐店赛百味添加到其Tor数据泄露网站的受害者名单中，并威胁要在2月2日之前如不支付赎金就将泄露被盗数据。“最大的三明治连锁店假装什么都没发生。”根据媒体报道，勒索团伙入侵了赛百味的内部系统，窃取了数百GB数据，包括员工工资、特许权使用费支付、特许经营佣金支付、餐厅营业额等。

6、根据VF Corporation公司向美国证券交易委员会提交的报告显示，其在去年12月发生的勒索软件攻击导致了超过3500万客户个人信息被盗。该公司是一家全球服装和鞋品巨头，年收入超过百亿美元，旗下品牌包括Vans、Timberland、The North Face、Dickies 和 Supreme。

7、美国佐治亚州富尔顿县遭到LockBit勒索软件团伙攻击，富尔顿县人口超一百万，是佐治亚州最大的县，也是州首府亚特兰大所在地。此次攻击破坏性严重，由于政府的IT系统中断，通讯、税务、支付系统大范围中断，比如公民因不能通过电子支付，在攻击发生之后公民买水就遇到了大问题。有媒体甚至指出，该起事件可能是LockBit随后被执法的关键导火索，但政府的关键IT系统安全性如此薄弱也应被指责。

8、Black Basta勒索软件团伙声称入侵了英国水务公司Southern Water，该公司是英国水务行业的主要参与者。Black Basta勒索软件组织已将Southern Water添加到其Tor数据泄露网站的受害者名单中，并威胁要在2024年2月29日泄露被盗数据。该组织声称窃取了750GB的敏感数据，包括用户的个人文档和公司文档。该水务公司披露称运营和服务并未因攻击事件受到干扰，但约有5%—10%的客户数据在事件中被盗。

9、跨国企业集团威立雅（Veolia）子公司威立雅北美公司（Veolia North America）披露了一次勒索软件攻击，该攻击影响了其市政水务部门的系统，并破坏了其账单支付系统。报道称，为缓解攻击威立雅曾短暂将系统离线，并及时联系了执法部门和第三方专家，以评估攻击对其运营和系统的影响程度。威立雅北美公司为大约550个社区提供供水和污水处理服务，并为约100家工业设施提供工业用水解决方案，在美国和加拿大的416家工厂每天处理超过22亿加仑的水和废水。

二 月

10、德国黑森州消费者中心遭到勒索软件攻击，导致IT系统关闭。黑森州是德国中部的一个州，人口超过600万，是德国第二大都市区和主要金融中心。黑森消费者中心是一个非营利组织，旨在为黑森州居民提供有关消费者法、电话和互联网、金融和保险、节能、健康和护理、食品和营养的公正和中立的建议。事件发生之后，该州的数据保护和IT安全办公室已向黑森州警方提起刑事诉讼。本次攻击是由Blackcat勒索团伙所主导。

11、美国第二大人寿保险公司保诚金融（Prudential Financial）在向美国证券交易委员会提交的8-K表格中上报了一起黑客攻击事件，由于存在安全漏洞，攻击者访问了部分IT系统，其间公司员工和承包商的数据可能存在泄露可能。Prudential Financial是全球财富500强公司，管理着1.4万亿美元的资产，为全球超过5000万客户提供保险、退休计划以及财富和投资管理服务。

12、勒索软件团伙针对罗马尼亚关键医疗系统开展攻击，医院用来管理医疗活动和患者数据的HIS系统遭到破坏，事件初期就导致了该国家25家医院的数据被攻击者加密，其他75家紧急关闭了HIS系统，这也意味着国内医院的医生被迫要手写处方和记录患者信息。罗马尼亚医疗机构统一使用的HIS系统是由罗马尼亚SRL公司所开发，另外攻击者使用的是Backmydata勒索软件，要求单笔赎金数额为15.7万欧元。

13、德国软件开发商PSI Software SE遭到勒索软件攻击，这家公司主要为能源供应商提供软件解决方案，业务遍及全球，拥有2000名员工。该公司就此事件对外界披露信息有限，了解到的信息其一是确定为勒索软件攻击，导致了部分IT系统做出紧急关闭处理，其额外声明是调查发现没有证据表明此次攻击事件会影响到其服务的客户。

14、媒体披露汽车制造商现代汽车欧洲公司遭受了Black Basta勒索软件攻击，攻击者声称窃取了3TB的公司数据。从披露来看，攻击具体时间是在1月份，现代汽车初始回应是“遭遇了IT问题”，随着媒体发现Black Basta勒索团伙随后公布了其数据泄露威胁信息。据称，Black Basta勒索团伙是Conti勒索软件的一个分支，由Conti前任领导人之一运营，有数据显示，该勒索组织自成立以来已收到超过1亿美元的赎金。

15、德国电池制造商Varta宣布成为网络攻击的目标，为了确保数据安全，遏制IT系统漏洞，该公司作出了关闭IT系统的决定，这也直接导致了该公司的五家工厂业务严重中断。报道显示攻击具有勒索软件攻击特征，但并没有额外信息确定事件为勒索软件攻击。在宣布遭到网络攻击后，并因五家工厂的停产没有明确地恢复正常运营时间表，导致VARTA的股价下跌了4.75%。

16、德国钢铁巨头蒂森克虏伯（ThyssenKrupp）二月份披露了一起黑客攻击事件，事件具有勒索软件攻击典型特征，其受影响的是汽车车身生产部门，为了缓解攻击，他们做出了关闭IT系统的决定，但其声明称虽然关闭了生产但供应上不会有影响。蒂森克虏伯是全球最大的钢铁生产商之一，也是全球产品供应链的重要组成部分，其拥有超过100,000名员工，年收入超过 444 亿美元（2022 年）。

17、美医疗保健IT平台Change Healthcare勒索软件攻击事件是一季度最受关注的网络安全事件之一，由于该平台是美国医疗系统的关键支付交换平台，各方在回应此次事件时则表示，由于系统不可用，患者不得不自费购买处方药，作为美国70,000多家药店使用的最大支付交换平台，更有专家评价称，该起网络安全事件凸显了将一家企业集团置于核心医疗保健服务中心的风险。后续披露信息显示，Change Healthcare的母公司Optum已于3月1日向BlackCat勒索组织支付了赎金，以删除从Change Healthcare平台窃取的数据并接收解密器，据称Optum此次支付的赎金高达2200万美元。后续信息则显示，由于勒索软件附属组织没有得到BlackCat的分成，但其宣称仍手握被盗数据，这也意味着Change Healthcare将面临二次勒索的可能。

三 月

18、勒索软件组织Black Basta宣称，西半球最大的免税零售商Duty Free Americas已经成为其新增的十几个新勒索软件的受害者之一。且已从其公司网络系统中窃取了约1.5TB的敏感信息。Black Basta声称窃取了DFA的多个部门文件，包括会计、财务、法律和人力资源等，其中包含大量敏感员工数据。该组织发布了约15个样本泄露页面，其中约十个内容是DFA员工的护照、社会保障卡和驾驶执照。另外还展示了带有完整账号的信用卡复印件。

19、黑客入侵了日产大洋洲地区公司和财务办公室的IT系统。日产在3月13日的最新消息中写道，该事件很快得到解决，但黑客已经窃取了大量敏感数据。雷诺－日产－三菱联盟的经销商、部分现任和前任员工以及客户有望在未来几周收到正式的妥协通知。其中多达10%的人至少有一种政府身份信息被盗，4000张医疗卡、7500张驾照、220本护照和1300个纳税申报单号，其余大多数人丢失了其他形式的个人信息，比如贷款相关交易报表的复印件、就业和薪资信息，以及出生日期等更一般性的信息。

20、比利时啤酒品牌Duvel在3月初遭到勒索软件攻击，攻击发生在凌晨1点半，因为系统监测到了勒索软件，这家公司做出了比较快速的响应，但为了有效缓解攻击，他们还是不得不关闭生产的决定。这家公司表示，虽然产品生产暂时中断，但他们的“战略储备”充足，并不会造成市场上的供应中断。Stormous勒索软件组织此后声称对Duvel攻击负责，他们持有从啤酒厂系统中窃取的88GB数据，并威胁如果到2024年3月25日仍不支付赎金，就会泄露这些数据。

21、NHS是苏格兰的公共资助医疗保健系统，也是组成英国国家医疗服务体系的四个系统之一。据媒体最新披露，该系统最近成为勒索软件的攻击对象，INC Ransom勒索团伙已在该系统中窃取了3TB数据，该勒索组织是去年7月份成立的新的勒索组织。披露信息来看，此次攻击并未形成大范围影响，只影响了邓弗里斯和加洛韦两个地区，但确实攻击事件导致了少量患者临床数据被泄露。

22、日本科技巨头富士通遭到网络攻击，公开披露称在公司内部几台商用计算机上发现了恶意软件，在及时发现之后他们迅速隔离了受影响计算机，并采取了监控等措施。富士通将继续调查恶意软件是如何进入业务系统的，以及是否存在数据泄露。事件与勒索软件攻击轨迹有高度重合，比如勒索攻击也是通过主要的业务系统作为突破，再横移到内部的终端主机上进行加密和窃取数据操作。

23、France Travail是一家法国政府机构，主要负责登记失业人员、提供经济援助并协助他们找到工作。该机构公开披露称，黑客在2月6日至3月5日之间的一次网络攻击中窃取了过去20年在该机构注册的求职者的详细信息，多达4300万人可能会受到影响。该事件间接归因于Clop勒索软件组织通过利用MOVEit Transfer软件工具中的零日漏洞破坏了该机构的系统。

END

✦

推荐阅读

✦

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送