全球勒索软件报告2024年上半年/天际友盟 1 2024-09 双子座实验室 全球勒索软件报告2024年上半年/REPORT 2 目录 TABLEOFCONTENT 01勒索软件攻击特点变化03 02TOP10勒索软件攻击05 统计数据05 2024年上半年热门勒索软件及团伙06 活动猖獗的Ransomhub06 侧重窃取数据的Hunters08 瞄准特定行业的Qilin09 032024年上半年典型勒索软件攻击事件11 新型勒索软件攻击事件11 国内的重大勒索软件攻击事件12 国外的重大勒索软件攻击事件12 04总结14 05附录15 2024上半年主要勒索软件攻击事件汇总15 勒索软件攻击特点变化 2024年上半年,天际友盟监测数据显示,勒索软件攻击事件高达2300余起,远超其它网络攻击类型。同时,赎金规模也创历史新高。Chainalysis发布的报告指出,2024年上半年,勒索软件受害者已向网络犯罪分子支付约4.598亿美元赎金,预示着2024年或将成为勒索软件收入最高的一年,这在很大程度上归因于勒索组织转向更为隐蔽的攻击策略,同时保持了高效的赎金收取能力。纵观上半年,最为活跃的Lockbit3勒索组织虽然在年初遭受全球多国政府联合打击,但其迅速复苏,并以600余起攻击事件蝉联勒索软件攻击榜首,然而其攻击行为已明显趋于低调,不再频繁爆出全球影响力大的公司。相对来说,其他勒索软件的排名变动较大,Ransomhub、Hunters和Qilin等新晋勒索软件凭借强劲发展势头,成功跻身前十名。 天际友盟双子座实验室详细追踪了上半年近百起勒索软件攻击事件,发现勒索软件组织的策略也在不断调整,其变化特点如下: 01勒索金额逐步提高,针对性增强 在短短一年多内,严重勒索软件的赎金支付中位数急剧上升,从2023年初的不足20万美元飙升至2024年6月中旬的150万美元,这一显著增长反映出勒索软件组织正将目标转向大型企业和关键基础设施提供商。这些企业不仅财力雄厚,而且其系统稳定运营至关重要,难以承受长时间中断。因此,这些企业更可能支付高额赎金,成为勒索软件组织的主要攻击目标。 02竞争日益激烈,运营方式更新灵活 随着RaaS平台的成熟,勒索软件市场的竞争愈加激烈,很多勒索团伙为了获取客户资源,开始提供更多灵活便利的服务,例如提供定制功能开发服务,优化赎金分成方式等。这些举措不仅使勒索软件的服务更加个性化,也为用户提供了更优质的体验。 03破坏方式重点不再加密数据,转向数据泄露作为主要威胁手段 一些新的勒索软件逐渐放弃了大规模加密受害者文件的方式,因为此类方式既耗费时间,又需要复杂的加密逻辑,而且很容易被受害者觉察。由此,部分团伙选择直接进行数据窃取,之后索要赎金,这种策略对基础数据相对重要的行业更为有效。同时很多企业还面临着政府日益严格的数据监管压力,如何保护自己的数据不被窃取,防止数据泄露,已经成为企业安全防护最为关键的问题之一。 04目标行业随机性仍在,但确定性已逐步显现 许多大型勒索软件组织攻击的目标行业并不确定,具有较强的随机性,但近几个月来,有一些组织逐步明确了自己的目标行业,如QIlin团伙将目标转向医疗和教育领域,可能是由于这些行业的网络安全防护体系相对薄弱。 0P2OINT TOP10勒索软件攻击 2024年上半年,天际友盟监测数据显示,勒索软件攻击事件高达2300余起,远超其它网络攻击类型。同时,赎金规模也创历史新高。Chainalysis发布的报告指出,2024年上半年,勒索软件受害者已向网络犯罪分子支付约4.598亿美元赎金,预示着2024年或将成为勒索软件收入最高的一年,这在很大程度上归因于勒索组织转向更为隐蔽的攻击策略,同时保持了高效的赎金收取能力。纵观上半年,最为活跃的Lockbit3勒索组织虽然在年初遭受全球多国政府联合打击,但其迅速复苏,并以600余起攻击事件蝉联勒索软件攻击榜首,然而其攻击行为已明显趋于低调,不再频繁爆出全球影响力大的公司。相对来说,其他勒索软件的排名变动较大,Ransomhub、Hunters和Qilin等新晋勒索软件凭借强劲发展势头,成功跻身前十名。 天际友盟双子座实验室详细追踪了上半年近百起勒索软件攻击事件,发现勒索软件组织的策略也在不断调整,其变化特点如下: 2.1统计数据 天际友盟双子座实验室追踪了2024年上半年活跃勒索软件组织的攻击活动,并根据监控的暗网勒索团伙动向,统计出了2024上半年最为活跃的TOP10勒索软件的攻击活动数据(如图1)。从图1可以看出,LockBit依然以607名受害者数量遥遥领先于其它勒索组织,而其它排名有了明显的变动,2024年2月份才出现的勒索组织Ransomhub异军突起,排名跃至第二位,成为目前最为热门的勒索团伙。Play和8Base勒索软件较2023年下半年均有所上升,而Hunters和Qilin组织则首次挤进前十。 700 600 500 400 300 200 100 607 193164127124115114114 10596 0Lockbit3 Ransomhub Play 8Base Blackbasta Hunters Cactus AkiraBianlianQilin 图1暗网最为活跃的TOP10勒索软件 2024上半年,勒索软件攻击同样广泛分布于多个行业,主要集中在制造、软件信息技术和医疗领域,中小型企业受到的影响显著。同时,教育、军工、金融、建筑、政府、零售和能源等领域也受到较大波及。 政府能源制造业 零售 建筑医疗 军工 教育 图2攻击目标行业TOP10 软件和信息技术 2.22024年上半年热门勒索软件及团伙 2.2.1活动猖獗的Ransomhub Ransomhub作为2024上半年发展最为猖獗的勒索软件,它于2024年2月首次出现,提供RaaS服务, 截止目前,其受害者已达到200多家,展现出强劲的发展状态。Ransomhub采用Go和C++语言编写,基于aes256、chacha20、xchacha20算法进行加密。RansomHub运营商通常使用Atera和Splashtop等工具进行远程访问,并使用NetScan进行网络侦察。在部署勒索软件之前,他们使用命令行工具,例如iisreset停止所有的InternetInformationServices(IIS)服务。下图为Ransomhub勒索组织在暗网数据泄露站点的首页: 图3Ransomhub暗网首页 RansomHub组织由来自全球不同地区的黑客组成,他们因共同的经济利益目标而团结在一起。该团伙明确提到禁止攻击特定国家和非营利组织,这些特定的国家和组织表明了其亲俄的意识形态。下图是该组织针对其攻击目标的说明,该组织禁止其附属机构或运营商针对独联体、古巴、朝鲜和中国以及非营利性组织进行攻击。 图4关于Ransomhub勒索软件 RansomHub组织可能起源于俄罗斯,它为其附属公司提供90%的收益,因其严格的策略执行,使该组织在与LockBit和ALPHV等主要勒索组织的竞争中开始争夺领导地位,从其近半年的攻击势头可以看出,RansomHub已经一跃成为第二大勒索团伙。 研究人员认为RansomHub勒索软件可能是其它勒索软件的品牌重塑,比如Symantec认为RansomHub来自于旧的Knight勒索软件,因为他们用了相同的GO语言混淆器;还有人认为来自俄罗斯网络犯罪领域的勒索软件运营商彼此之间存在关系,因此RansomHub可能已经收购了前ALPHV附属公司作为自己的合作伙伴。 RansomHub团伙在24年6月6日的攻击中向其武器库中增加了一个古老但重要的ZeroLogon漏洞 (CVE-2020-1472),此漏洞允许攻击者通过建立易受攻击的Netlogon安全通道连接来接管组织的域控制器。成功利用此漏洞后,攻击者可以在网络设备上运行特别构建的应用程序,从而获得域管理员访问权限。 下图为其暗网主页上的Archive页面,上面可以下载已公开受害者的泄露数据信息: 图5Ransomhub勒索软件Archive页 2.2.2侧重窃取数据的Hunters Hunters全称为HuntersInternational,该勒索组织于2023年10月首次被发现,其加密器由Rust语言编写,加密文件后缀为.locked,该组织有其Tor数据泄露网站,如下图所示: 图6Hunters主页 Hunters的技术与Hive勒索软件存在的显着重叠,这种联系表明Hunters继承或改编了Hive的加密技术和操作策略。Twitter上有信息表明Hive的领导人战略性地选择结束运营,并将资产转移给HuntersInternational。如下图所示: 图7Hunters与Hive关系 Hunters在首次发布时与Hive大约具有60%的代码相似度。但是Hunters却表示,他们不仅仅是Hive的新版本,而是一个接管了Hive源代码和基础设施的独立实体。他们主要区别在于Hunters侧重窃取数据而不是加密数据,这将两者明显的区分出来。 Hunters的目标瞄准了全球各行各业,它们的受害者遍布医疗、汽车、制造、物流、金融、教育等行业。该组织的大部分目标都在美国,但也涉及到欧洲、加拿大、巴西,新西兰和日本的公司,很明显该组织的目标是尽可能扩大影响力,获取更多的赎金。 2.2.3瞄准特定行业的Qilin Qilin也称为Agenda,是一个复杂的勒索软件组织,这个组织采用勒索软件即服务(RaaS)模式,在设计时考虑到了工具的适用性,能根据受害者的特定环境进行定制攻击。该组织的名字可能来源于中国神话中的麒麟,但实际上被确认为是俄罗斯血统。这种勒索软件以其先进的技术、跨平台功能和有针对性的攻击而著称,使其成为全球勒索组织的有力竞争对手。它的工作方式类似于经典的俄罗斯勒索软件运营商,将独联体国家排除在其目标之外,并在黑客论坛上分享附属公司的招聘帖子。下图为Qilin勒索组织的暗网首页: 图8Qilin暗网主页 Qilin勒索软件具有独特的方法和高度的复杂程度。它使用Go(Golang)和Rust编写的工具,这使得Qilin可以很容易地针对各种操作系统进行编译,包括Windows和Linux,增强了其功能并扩展了覆盖范围。 Qilin勒索软件的主要目标是通过敲诈勒索获得经济利益。它针对多个行业的组织或公司,特别针对医疗和教育。之所以选择这两个行业,可能是因为它们更依赖于关键数据,而且与注重金融的行业相比,它们的网络安全防护水平通常比较低。通过加密重要文件造成重大的运营中断,迫使受害者支付攻击者要求的赎金以恢复他们的系统。 Qilin最常见的攻击方法之一是通过网络钓鱼邮件,其中通常包含恶意附件或链接。此外,Qilin还利用软件或操作系统中的已知漏洞来进行攻击。远程桌面协议(RDP)攻击是另一种常用的策略,针对薄弱或暴露的RDP配置以渗透系统。一旦麒麟获得初步访问权限,它就会采用先进的混淆技术和反分析技术来逃 避检测,例如重命名函数、更改控制流和加密字符串、检测和禁用调试、检测沙箱环境等,这也使得Qilin很难被检测到,因为其逆向工程工作比较复杂。 成功部署后,Qilin会寻求提升其权限,以获得对受感染系统的管理控制权。这可能涉及利用系统漏洞或使用PowerShell或PsExec等合法工具来实现更高级别的访问。 Qilin勒索软件采用强大的加密机制,结合对称和非对称加密来锁定文件。首先,它使用对称加密来使用随机生成的密钥加密文件。然后,使用公共RSA密钥对此对称密钥进行加密,确保只有持有相应私有RSA密钥的攻击者才能解密它。为了掩盖踪迹,它还要删除有助于调查的日志和其他文件,包括清除事件日志和删除在攻击期间创建的任何临时文件。 0P3OINT 2024年上半年 典型勒索软件攻击事件 01新型勒索软件EvilAnt处于早期攻击阶段 3.1新型勒索软件攻击事件 2024年4月,Ne