2024 年第一季度，ReliaQuest 發(fā)現(xiàn)了 1041 個(gè)組織公開(kāi)了勒索軟件數(shù)據(jù)泄露網(wǎng)站，相比 2023 年第四季度減少了 18%。盡管 2024 年第一季度的數(shù)據(jù)表明勒索軟件活動(dòng)有所放緩，但這可能只是短暫的平靜。安全研究人員預(yù)計(jì)勒索軟件將在 2024 年第二季度再度增加，前幾年的趨勢(shì)也是如此。

2024 年 2 月，執(zhí)法部門對(duì) LockBit 勒索軟件團(tuán)伙進(jìn)行了打擊，這也導(dǎo)致勒索軟件活躍程度下降。雖然近年來(lái)最多產(chǎn)的勒索軟件團(tuán)伙 LockBit 在執(zhí)法行動(dòng)后表現(xiàn)出了極強(qiáng)的韌性，但與 2023 年第四季度相比，該組織的活動(dòng)仍然減少了 21%。

ALPHV 于 2024 年第一季度在數(shù)據(jù)泄露網(wǎng)站上發(fā)布了可能是虛假的執(zhí)法取締聲明，但各方都認(rèn)為攻擊者是為了詐騙附屬公司從 UnitedHealth 的 Change Healthcare 部門勒索的 2200 萬(wàn)美元贖金。此后，部分 ALPHV 成員可能已經(jīng)轉(zhuǎn)投其他勒索軟件團(tuán)伙（包括 2024 年 2 月出現(xiàn)的 RansomHub 勒索軟件團(tuán)伙）。

2024 年第一季度勒索軟件態(tài)勢(shì)

2024 年第一季度勒索軟件活動(dòng)呈下降趨勢(shì)，數(shù)據(jù)泄露網(wǎng)站受害者的月均數(shù)量未能達(dá)到 400 個(gè)。與 2023 年第一季度的 860 個(gè)受害者相比，2024 年第一季度仍然增長(zhǎng)了 20%。盡管是勒索軟件活動(dòng)的低迷期，但總體活動(dòng)仍然呈現(xiàn)上升趨勢(shì)。開(kāi)年的緩慢進(jìn)展可能是由于許多俄語(yǔ)地區(qū)都在 2024 年 1 月 7 日慶祝東正教圣誕節(jié)，也可能是很多勒索軟件團(tuán)伙還在籌備攻擊。

受害者數(shù)量

在攻擊方式上，勒索軟件團(tuán)伙使用的策略基本保持一致。網(wǎng)絡(luò)釣魚、對(duì)外暴露的遠(yuǎn)程服務(wù)和存在漏洞的服務(wù)仍然是獲得初始訪問(wèn)權(quán)限的常見(jiàn)方法，攻擊者利用了企業(yè)普遍存在的安全缺陷進(jìn)行攻擊。

1.目標(biāo)地區(qū)

毫不意外，美國(guó)仍然是最大的攻擊目標(biāo)，其次是加拿大和英國(guó)。英語(yǔ)國(guó)家可能被攻擊者認(rèn)為更有經(jīng)濟(jì)能力支付贖金，也有可能是與俄羅斯利益相關(guān)的勒索軟件團(tuán)伙存在民族主義驅(qū)動(dòng)。

2.目標(biāo)行業(yè)

2024 年第一季度勒索軟件最集中的目標(biāo)行業(yè)是制造業(yè)，其次是科學(xué)技術(shù)業(yè)、建造行業(yè)、衛(wèi)生保健業(yè)與零售業(yè)。排名前五的行業(yè)幾乎與上一季度相同，這與 2023 年第四季度的調(diào)查結(jié)果一致。這些行業(yè)不僅容易受到勒索軟件攻擊，而且可能會(huì)受到業(yè)務(wù)中斷的嚴(yán)重影響。沒(méi)有有效的系統(tǒng)流程，制造業(yè)就無(wú)法繼續(xù)運(yùn)營(yíng)，這可能會(huì)給公司帶來(lái)巨大壓力迫使其支付贖金。

行業(yè)目標(biāo)

3.最活躍的團(tuán)伙

最活躍的勒索軟件團(tuán)伙如下所示，盡管執(zhí)法部門在 2024 年 2 月針對(duì) LockBit 開(kāi)展了執(zhí)法行動(dòng)，但仍然穩(wěn)居最活躍的勒索軟件團(tuán)伙寶座。緊隨其后的是，Black Basta、Play、ALPHV 和 Akira。

與上一季度類似，LockBit、Play、ALPHV、No Escape 和 8base 是最活躍的團(tuán)伙。與上季度相比最大的變化是 NoEscape 勒索軟件團(tuán)伙的覆滅，該組織的數(shù)據(jù)泄露網(wǎng)站在 2023 年 12 月關(guān)閉。NoEscape 的附屬機(jī)構(gòu)聲稱 NoEscape 是假裝退出，以騙取附屬機(jī)構(gòu)數(shù)百萬(wàn)美元贖金。據(jù)報(bào)道，LockBit 已經(jīng)招募了幾個(gè) NoEscape 和 ALPHV 的附屬機(jī)構(gòu)，這些機(jī)構(gòu)在 2024 年 2 月也謊稱退出。

勒索軟件團(tuán)伙的動(dòng)蕩不安凸顯了網(wǎng)絡(luò)犯罪活動(dòng)的不可信，攻擊者之間互相敲詐，犯罪團(tuán)伙關(guān)閉和開(kāi)張的速度一樣快。相比 2023 年第四季度，大多數(shù)勒索軟件團(tuán)伙的受害者數(shù)量都有所減少。另一方面，Black Basta 的攻擊活動(dòng)卻逆勢(shì)增長(zhǎng) 41%。

Black Basta 在 2022 年年初啟動(dòng)運(yùn)營(yíng)，一直是最活躍的攻擊團(tuán)伙之一。大家普遍認(rèn)為該組織是 Conti 團(tuán)伙的一個(gè)分支，而 Conti 團(tuán)伙已經(jīng)在 2022 年解散。該組織在 2023 年年底受到了 Qakbot 被執(zhí)法行動(dòng)摧毀的影響，而 Qakbot 是多個(gè)勒索軟件團(tuán)伙的攻擊渠道。

Qakbot 的新版本已經(jīng)重新上線，也啟用了 OneNote 作為新的攻擊方式。2024 年 1 月，Black Basta 被發(fā)現(xiàn)使用 Pikabot 替換 Qakbot。2024 年第一季度的攻擊活動(dòng)激增表明勒索軟件團(tuán)伙已經(jīng)適應(yīng)了新的惡意軟件，要么是 Pikabot 要么是 Qakbot 的新變種。分析人員預(yù)計(jì)，Black Basta 將繼續(xù)成為今年第二季度勒索軟件的領(lǐng)跑者。

活躍勒索軟件團(tuán)伙

2024 年第一季度重大事件

1.執(zhí)法行動(dòng)摧毀 LockBit

2024 年第一季度最大的事件就是針對(duì) LockBit 的執(zhí)法行動(dòng)。名為 Chronos 行動(dòng)的國(guó)際聯(lián)合執(zhí)法在 2024 年 2 月 20 日進(jìn)行，不僅摧毀了 LockBit 的重要基礎(chǔ)設(shè)施，還導(dǎo)致兩名犯罪嫌疑人被捕。最重要的是，執(zhí)法機(jī)構(gòu)釋放了部分解密密鑰以幫助 LockBit 受害者恢復(fù)文件。

LockBit 在被執(zhí)法機(jī)構(gòu)打擊后快速恢復(fù)元?dú)?，但攻擊活?dòng)的數(shù)量仍然大幅度下降。從 2023 年第四季度的 275 個(gè)受害者，下降到 2024 年第一季度的 216 個(gè)受害者。可能是由于 LockBit 必須更新攻擊基礎(chǔ)設(shè)施，也可能是由于其在附屬機(jī)構(gòu)的聲譽(yù)遭到了重大打擊。

2024 年 2 月 19 日，網(wǎng)絡(luò)犯罪論壇上用戶閑聊推測(cè) LockBit 的管理員 LockBitSupp 正在與執(zhí)法部門合作，將相關(guān)犯罪分子的身份公開(kāi)。這引發(fā)了犯罪分子的擔(dān)憂，大量犯罪者的匿名性面臨重大挑戰(zhàn)。

犯罪論壇帖子

這對(duì)于執(zhí)法機(jī)構(gòu)來(lái)說(shuō)是重大勝利，不僅幫助受害者解密還提供了豐富的情報(bào)。

LockBit 團(tuán)伙的未來(lái)仍然不明朗，即便該團(tuán)伙能夠恢復(fù)攻擊基礎(chǔ)設(shè)施重新運(yùn)營(yíng)，許多附屬機(jī)構(gòu)也會(huì)對(duì)未來(lái)產(chǎn)生擔(dān)憂。最有可能的情況是對(duì) LockBit 的品牌進(jìn)行重塑，例如更名為 2024 年 4 月上旬確定的 DarkVault。

DarkVault 的數(shù)據(jù)泄露網(wǎng)站與 LockBit 存在許多相似之處，例如字體、紅白配色與贖金勒索倒計(jì)時(shí)時(shí)鐘等。DarkVault 的開(kāi)發(fā)人員很可能參與過(guò) LockBit，但尚不清楚參與程度有多深。DarkVault 釋放了一部分受害者，但能否填補(bǔ)犯罪市場(chǎng)留下的空白還有待觀察。

2.ALPHV 欺詐附屬機(jī)構(gòu)

2024 年 3 月 3 日，在 ALPHV 向 Change Healthcare 勒索 2200 萬(wàn)美元贖金后。該團(tuán)伙的一個(gè)附屬機(jī)構(gòu)發(fā)表公開(kāi)聲明，聲稱其贖金分成被貪污。兩天后，ALPHV 的數(shù)據(jù)泄露網(wǎng)站上掛出了 FBI 的執(zhí)法通知。事實(shí)證明，這是此前執(zhí)法行動(dòng)中截取偽造的文件，被認(rèn)為是該團(tuán)伙要獨(dú)吞贖金的表現(xiàn)。

公開(kāi)聲明

收到 2200 萬(wàn)美元的贖金后，ALPHV 團(tuán)伙會(huì)選擇退出或重塑品牌，勒索軟件經(jīng)常采用這種策略來(lái)逃避執(zhí)法。但事件發(fā)生以來(lái)，研究人員尚未觀察到 ALPHV 的任何動(dòng)作。

盡管支付了贖金，Change Healthcare 很快又面臨 RansomHub 的另一次攻擊。RansomHub 團(tuán)伙于 2024 年 2 月出現(xiàn)，可能是 ALPHV 的更名版本或分支版本。研究人員發(fā)現(xiàn)多個(gè) ALPHV 的附屬機(jī)構(gòu)已經(jīng)加入 RansomHub，盡管這兩個(gè)組織可能曾經(jīng)也是不同的實(shí)體。

地下論壇

RansomHub 在運(yùn)營(yíng)者和附屬機(jī)構(gòu)間采用獨(dú)特的合作方式，其允許附屬機(jī)構(gòu)獲得 100% 的勒索收益，但必須上交 10% 給開(kāi)發(fā)人員。這種模式扭轉(zhuǎn)了其他大多數(shù)勒索軟件團(tuán)伙所采取的策略，將更大的利潤(rùn)分成交給附屬機(jī)構(gòu)。據(jù)報(bào)道，RansomHub 的許多附屬機(jī)構(gòu)都已經(jīng)脫離 ALPHV。

宣傳廣告

這次攻擊產(chǎn)生了廣泛的影響，該公司與美國(guó)大多數(shù)醫(yī)院都有業(yè)務(wù)往來(lái)，并且擁有大量病患數(shù)據(jù)。ALPHV 與 RansomHub 可能會(huì)將這些數(shù)據(jù)出售給其他網(wǎng)絡(luò)犯罪分子，然后這些犯罪分子可能會(huì)利用這些信息進(jìn)行進(jìn)一步的欺詐活動(dòng)。

2024 年勒索軟件預(yù)測(cè)

雖然 2024 年第一季度的整體攻擊活動(dòng)有所下降，但分析人員預(yù)計(jì) 2024 年剩余時(shí)間的攻擊活動(dòng)仍將呈上升趨勢(shì)。

1.Clop 歸來(lái)

Clop 在 2021 年、2022 年、2023 年針對(duì)文件傳輸軟件（MOVEit、GoAnywhere 和 Accellion 等）、零日漏洞進(jìn)行數(shù)據(jù)竊密取得了巨大成功。分析人員在上一季度就預(yù)測(cè)了 Clop 勒索軟件團(tuán)伙的卷土重來(lái)。

2024 年第一季度，Clop 僅在數(shù)據(jù)泄露網(wǎng)站上公開(kāi)了 8 個(gè)受害者，這與 2023 年第四季度數(shù)量相同。但 Clop 通常會(huì)突然爆發(fā)，沉默數(shù)月后發(fā)起一次大規(guī)模攻擊。從 2023 年 7 月到 11 月針對(duì) MOVEit 的攻擊，為 Clop 勒索軟件團(tuán)伙帶來(lái)了巨大的成功。

2.針對(duì)云與 SaaS 平臺(tái)的攻擊

隨著企業(yè)繼續(xù)遷移到云服務(wù)和軟件即服務(wù)（SaaS）平臺(tái)，攻擊者也會(huì)快速跟進(jìn)。分析人員預(yù)計(jì)勒索軟件會(huì)利用這些環(huán)境特有的漏洞，針對(duì)錯(cuò)誤配置和薄弱的訪問(wèn)控制來(lái)加密存儲(chǔ)在云服務(wù)上的數(shù)據(jù)。

3.AI 與機(jī)器學(xué)習(xí)

生成式人工智能將會(huì)徹底改變?nèi)粘Ｉ畹姆椒矫婷?，包括安全領(lǐng)域。年度威脅研究報(bào)告指出，在事件響應(yīng)中使用人工智能的組織的平均響應(yīng)時(shí)間（MTTR）縮短了 98.8%。

雖然人工智能和機(jī)器學(xué)習(xí)正在改變游戲規(guī)則，但生成式人工智能也有可能提高攻擊者的威脅程度。攻擊者可能利用人工智能和機(jī)器學(xué)習(xí)自動(dòng)選擇目標(biāo)、定制網(wǎng)絡(luò)釣魚并優(yōu)化加密過(guò)程。這樣會(huì)產(chǎn)生更有效、更有針對(duì)性的攻擊，提高了勒索軟件的成功率。

4.適應(yīng)執(zhí)法行動(dòng)

執(zhí)法機(jī)構(gòu)越來(lái)越頻繁的執(zhí)法行動(dòng)，例如 Chronos 行動(dòng)等，入侵犯罪團(tuán)伙的攻擊基礎(chǔ)設(shè)施對(duì)外發(fā)布解密密鑰來(lái)創(chuàng)建解密工具。為了防止這種情況發(fā)生，勒索軟件團(tuán)伙可能會(huì)改變共享、存儲(chǔ)解密密鑰的方式，將這些機(jī)密信息轉(zhuǎn)移到離線的攻擊基礎(chǔ)設(shè)施上。