安全419盘点 | 第三季度勒索软件攻击趋势分析

2024年第三季度发生了多起重大勒索软件事件，包括对医疗机构、政府机构和大型企业的攻击，这些事件通常涉及大量的敏感数据泄露和高额的赎金要求。不少新出现的勒索团伙继续保持活跃，且攻击手段和策略不断演变，给全球网络安全带来了严峻挑战。



安全419根据第三季度的事件观察以及多份近期发布的勒索攻击报告，带来如下趋势分析：

目标行业基本不变 国家关基设施受创
 
勒索软件团伙正在不断扩大其攻击影响范围，已经从公共和私人组织上升到国家安全层面，目标群体不再仅仅针对政府和知名企业，还延伸至国家基础设施上。
 
众多热门行业对关键数据依赖性强，数据价值高，例如医疗、金融、教育、制造业等，都成为是勒索组织的主要目标。攻击者通过加密重要文件造成重大运营中断，迫使企业支付赎金以恢复系统服务或保护敏感数据。
 
勒索软件攻击对关键基础设施的威胁在近年来显著增加，攻击者利用关键基础设施对数字化服务的依赖性，通过加密数据或窃取敏感信息来索要赎金。关键基础设施领域，如能源、交通、水利、金融等，因其对国家安全和社会稳定的重要性，成为勒索软件攻击的重点目标。攻击者利用这些基础设施的数字化和网络化特点，通过高级持续性威胁（APT）等手段进行攻击，以扩大社会影响。
 
赎金规模变大 大猎物狩猎趋势明显
 
对于勒索软件而言，攻击者越来越针对“高价值目标”，这种策略在勒索软件攻击对象、攻击数量，尤其是赎金要求上得以体现。区块链研究公司Chainalysis通过追踪勒索软件操作者收到的加密货币，发现这些犯罪分子获得的金额相比去年的4.491亿美元增加了1000万美元。
 
攻击者认为这些组织更有可能支付大额赎金，因为他们依赖于数据进行日常运营，并且停机时间的代价高昂。从第三季度勒索事件来看，受攻击者也大多是拥有重要数据和资源的关键基础设施领域的企业和组织，例如这些目标包括政府机构、大型企业、关键制造业、金融服务、医疗卫生以及能源供应公司等。
 
此外，勒索软件攻击者也在利用社会工程学的方法，通过利用漏洞、网络钓鱼、弱口令等手段获得初始访问权限，然后在受感染的网络中横向移动，寻找高价值的数据进行加密或窃取。
 
总的来说，“大型猎物”时代表明勒索软件攻击者正在变得更加有针对性，其影响可能会更大。
 
攻击持续 活跃家族新人不断
 
第三季度，Ransomhub、Hunters和Qilin三个新晋勒索软件都有出现，这也是2024年上半年全球勒索软件中跻身前十名的“新人”。



从整体上看，Ransomhub最为活跃。Ransomhub自2024年2月问世以来，已经通过加密和泄露数据的方式入侵至少210个目标，涉及美国多个关键基础设施领域，包括水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信行业。
 
Hunters全称为HuntersInternational，2023年10月首次被发现。该组织侧重窃取数据，目标广泛，涉及医疗、汽车、制造、物流、金融、教育等行业。该组织的大部分目标都在美国，但也涉及到欧洲、加拿大、巴西，新西兰和日本的公司，其目标是尽可能扩大影响力，以获取更多赎金。
 
Qilin也称为Agenda，是一个复杂的俄罗斯勒索软件组织，这个组织采用勒索软件即服务（RaaS）模式，能根据受害者的特定环境进行定制攻击。其主要目标是通过敲诈勒索获得经济利益，针对多个行业的组织或公司，特别是医疗和教育。
 
不仅活跃的勒索软件家族数量众多，此外还出现了一些新型勒索软件和变种，足以反映出这个网络犯罪产业的繁荣。例如Rhysida这一项新的RaaS操作，由Windows扩展到Linux，两个版本都使用AES和RSA算法进行文件加密，并在密钥生成过程中使用ChaCha流密码。该勒索软件还对其隐藏服务实施基于令牌的访问，以增强保密性。
 
勒索攻击导致的数据泄露更受关注
 
加密和数据泄露的双重勒索仍是最主要的勒索手段，进一步加剧了威胁的严重性。7月，日本娱乐传媒巨头角川集团遭勒索，1.5TB数据被加密窃取。攻击者在索要258万美元赎金后，仍要求额外支付825万美元。集团拒付后，其数据被公开。8月，马来西亚国家基建系统遭受攻击，黑客利用勒索软件加密了关键系统文件，还表示若不满足其赎金要求，将公开泄露超300GB的敏感数据。双重勒索之所以成功，是因为即使企业可以恢复备份数据，仍然面临信息泄露的风险，愿意支付赎金来减轻损失的企业和组织不是少数。
 
但大规模加密的方式既耗费时间，又需要复杂的加密逻辑，也容易被受害者觉察。因此也有不少攻击者选择不再加密文件，而是窃取敏感数据作为勒索筹码。
 
安全419了解到，从天际友盟近日最新发布的《全球勒索软件报告2024年上半年》中发现，勒索软件破坏方式的重点转向了数据泄露。部分团伙选择直接进行数据窃取，之后索要赎金。从第三季度的勒索事件中同样可以发现，这种策略对基础数据相对重要的行业更为有效。
 
因此，所有长期勒索软件攻击除了数据加密之外，还兼具数据泄露。据相关观察，泄密网站的帖子数量在持续增长。除了影响业务连续性这一原有威胁外，由勒索攻击引发的数据泄露风险也已显而易见。从事件盘点中也可看出，更多勒索软件团伙在索要赎金不成后选择在犯罪网站上公布盗取的数据。从Verizon近日发布的《2024年数据泄露调查报告》中可知，涉及勒索软件或其他勒索攻击占所有数据泄露事件的32%，同比去年增长近8%。

第三季度勒索事件盘点如下：（不完全统计）
 
7月
 
7月2日，佛罗里达州卫生部遭受勒索攻击，包括健康信息和个人身份信息等在内的超过100GB的数据被RansomHub勒索组织窃取，在超过支付截止期限后，数据被公布在暗网。
 
7月2日，日本娱乐传媒巨头角川集团证实受到BlackSuit勒索软件团伙攻击，用于托管业务的数据中心被加密，超过1.5TB数据被窃取，导致集团官网、视频网站、图书出版等全线业务都陷入瘫痪。旗下弹幕视频网站Niconico也持续多日无法正常运营。攻击者在其数据泄露网站中发布了被盗数据样本，向角川集团提出了258万美元的高额赎金，但在收到第一笔赎金后要求再额外支付825万美元赎金。因角川集团拒付支付第二笔赎金，导致其数据已被公开。
 
7月10日，美国最大家具公司之一的BassettFurniture声称遭受勒索攻击，黑客通过加密数据文件扰乱了公司的业务运营。由于采取了关闭部分系统等遏制措施，公司的制造设施在一段时间内难以恢复运营，且公司订单履行能力受到了影响。此次攻击已经并且可能继续对该公司的业务运营产生重大影响，或一直持续到恢复工作完成之时。
 
7月15日，美国汽车软件提供商希迪凯（CDKGlobal）为恢复因勒索软件攻击而中断的核心系统，向勒索组织支付了2500万美元的赎金。此次攻击导致该公司各类客户服务系统与数据中心瘫痪数周，影响了数千家汽车经销商的日常运营。
 
7月19日，洛杉矶高等法院遭遇勒索软件团伙攻击，导致内部案件管理系统、门户网站和法院网站等核心系统一度崩溃，法院的线上业务均受到严重影响。由于业务系统关闭，该地区犯罪嫌疑人的押解、释放及儿童抚养听证会等事务安排都被延期。
 
7月22日，克罗地亚圣杰罗尼姆机场遭受Akira勒索团伙攻击，攻击导致机场的IT基础设施完全关闭，机场的航班运营陷入中断，当日航班发生大面积取消和延误。
 
7月31日，印度国家支付公司（NPCI）证实，印度金融科技服务商C-Edge遭受勒索软件攻击，导致印度17个地区近300家小型银行的支付系统暂时陷入瘫痪状态，ATM、支付交易等服务直接中断，用户无法通过移动应用程序完成交易，转账服务也出现故障。
 
8月
 
8月5日，法国国家信息系统安全局证实，巴黎奥运会场馆之一的巴黎大皇宫展览馆（RMN）以及另外40家博物馆遭到勒索软件攻击，或面临财务数据泄露风险。攻击者要求在48小时内支付赎金，否则将公布财务数据。
 
8月6日，Play勒索组织将美国互联网公司KinetX列为受害者，窃取了该公司的客户文件、预算、工资单、合同、税务以及身份证和财务信息等，并给予五天时间缴纳赎金。
 
8月13日，伊朗央行和多家银行周三遭受黑客组织IRLeaks攻击，导致伊朗银行系统大面积中断。为平息事态，伊朗方面支付了至少300万美元赎金，以阻止该组织泄露多达20家国内银行的个人账户数据。这次攻击被认为是伊朗史上最严重的网络安全事件之一。
 
8月15日，PaloAltoNetworksUnit42发布报告称，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。在11万个目标域中，攻击者获取了超过9万个独特变量，其中7000个变量属于组织的云服务，1500个变量与社交媒体账户相关联。攻击者对云存储容器中的数据进行勒索，但并没有在勒索前对数据进行加密，而是将数据外渗，并将勒索信放在被入侵的云存储容器中。
 
8月21日，全球石油巨头哈里伯顿（Halliburton）遭遇勒索软件组织RansomHub攻击，IT系统受到破坏，业务运营陷入混乱，订单采购等日常业务受到影响。攻击者向哈里伯顿索要4500万美元赎金。
 
8月26日，美国司法警察局遭遇勒索攻击，HuntersInternational勒索软件团伙在其暗网上公布了386GB的数据，这些数据包括犯罪案件记录、机密和绝密文件、FBI相关文件、行动数据、案件信息及电子监控数据等。
 
8月28日，蒙大拿州计划生育协会遭受RansomHub勒索软件组织攻击，网络系统被入侵，近100GB敏感数据被泄露。攻击者给该协会七天时间来协商赎金要求，否则将计划在暗网上泄露这些被盗文件，并将其出售给最高出价者。
 
8月30日，马来西亚国家基建系统遭受勒索软件组织RansomHub的攻击，超300GB的敏感数据或面临泄露风险。黑客利用勒索软件，不仅加密了关键系统文件，还扬言若不满足其赎金要求，将公开泄露这批庞大的数据。这些数据中可能包含项目管理细节、技术蓝图、甚至个人隐私等敏感信息。
 
9月
 
9月4日，全球最大的饮食集团之一CompassGroup遭受Medusa勒索软件攻击，1TB护照、驾驶执照泄露。攻击方要求支付200万美元才能删除数据，或向任何购买数据的人支付相同金额。支付10万美元赎金期限也可以延长一天。
 
9月16日，美国西雅图港和西雅图-塔科马国际机场遭受Rhysida勒索软件团伙攻击，涉及信息超过3TB的数据。这些数据包括护照详细信息、社会安全号码、密码和个人信息，影响了多个系统，包括行李、值机亭、Wi-Fi等。
 
9月17日，俄罗斯麒麟勒索软件攻击了病理学服务提供商Synnovis，影响了超过90万名患者的数据。攻击迫使伦敦多家大型NHS医院取消部分医疗程序，患者被转移。泄露的数据包括患者的组织学测试和临床分析结果，以及姓名、出生日期、NHS号码和个人联系方式。
 
9月18日，勒索软件组织LockBit于将美国国税局（IRS）官方授权的税务申报平台添加至受害者名单，要求在14天内支付赎金。