KROLL 6月威胁情报（TI）焦点趋势报告

威胁情报 (TI)聚光灯趋势报告 2025年6月 方法论 ▪Kroll TI 月度现货聚焦基于 Kroll 网络事件响应工作中的情报，我们受聘响应、管理或减轻网络安全事件。Kroll 的事件响应工作基于从数千个Kroll网络数据与弹性团队每年处理的业务。 ▪数据由Kroll网络威胁情报团队在初步范围界定阶段以及Kroll项目生命周期内进行收集和处理。 ▪Kroll 目前通过月度亮点每月和按季度报告数据和季度威胁态势报告。 关键要点 2025年6月 初始访问方法* 最受影响行业 •网络钓鱼：链接(26%)•网络钓鱼：非技术性(22%)•网络钓鱼：附件(17%) •有效账户(17%) •专业、科学和技术服务(18%)•金融与保险(14%) •医疗保健和社会援助(12%) •制造(12%) •信息(11%) 主要威胁事件类型 顶级勒索软件变种•麒麟(40%) •AKIRA(20%) •玩(20%) •MEDUSALOCKER(20%) •电子邮件妥协(35%)•内部威胁(26%)•勒索软件(12%) •非法访问(11%) •恶意软件(4%) 行业分析 2025年6月 专业、科学和技术服务是2025年6月受影响最严重的行业 ▪电子邮件妥协曾是影响专业、科学和技术服务业的主要报告威胁事件类型。 ▪在六月，针对专业、科学和技术服务行业最常涉及有效账户作为初始访问方法。 金融和保险是2nd2025年6月受影响最严重的行业 ▪电子邮件妥协是造成影响的最主要报告威胁事件类型金融和保险业。 ▪在六月，针对金融和保险业的威胁最常涉及有效账户作为初始访问方法。 最受影响行业 影响分析 2025年6月 为impact加密的数据是最常见的impactKROLL 于 2025 年 6 月观察到 ▪在Kroll勒索软件事件中，主要影响是金融盗窃和知识产权盗窃。 ▪对于内部威胁行动，最观察到的影響是智力盗窃财产和数据销毁。 ▪专业、科学和技术服务报告了所有威胁类型中最确证的影响，包括： ▪用于影响的数据加密▪数据窃取造成影响▪金融盗窃 勒索软件分析 2025年6月 麒麟是观察到的最常见的勒索软件变体2025年6月KROLL ▪六月，医疗保健和社会援助是寄生于Kroll业务中的勒索软件行为者攻击的首要行业。 ▪勒索软件攻击者主要通过网络钓鱼：附件和外部远程服务，例如VPN。观察到的最频繁的VPN是SonicWall。▪消费者和工业者是受害者被发布到勒索软件行为者控制的名誉受损网站和博客中的顶级行业。▪北美洲曾是受害者在勒索软件行动者控制区域的顶级地区羞辱网站和博客。 勒索软件：受影响最严重的行业2025年6月 勒索软件：行为者控制的网站列表2025年6月 按威胁类型划分的事故 威胁类型趋势 初始访问方法2025年6月 热门漏洞 2025年6月 威胁事件类型 电子邮件欺骗:一个第三方恶意访问电子邮件账户的事件（例如，账户）被接管）、被识别出钓鱼邮件/活动，或组织电子邮件被用于或遭到滥用于欺诈计划中，例如商业电子邮件妥协。 勒索软件:一个威胁行为者在网络中执行恶意活动，然后勒索赎金的事件。通常包括数据窃取、数据加密和勒索的组合。 恶意软件:一个组织受到恶意软件或病毒的攻击，但未提出任何财务要求。例如包括勒索软件活动之前的阶段（例如，QakBot、Emotet）或信息窃取者（例如，Vidar、Raccoon）。 非法访问：一个未经授权的参与者已无意中或恶意地访问了一个网络。 网络入侵:一个攻击者未经授权访问了 Web 应用程序或网站代码以进行恶意活动。例如，通过 SQL 注入窃取信用卡数据或篡改网站。 初始访问方法 旁路入侵：通过合法网站进行妥协。外部远程服务:通过VPN、RDP和其他设备等远程访问服务妥协。硬件添加：将计算设备加入以获取访问权限。利用面向公众的应用程序：利用漏洞或配置错误来获取访问权限。网络钓鱼：附件：使用附加在电子邮件中的恶意软件。网络钓鱼：链接：电子邮件中使用链接导致凭证丢失和/或下载恶意软件。网络钓鱼：非技术性：利用社会工程学技巧欺骗用户，即电子邮件伪造、欺骗。网络钓鱼：服务：使用第三方服务，如社交媒体，发送定向消息。网络钓鱼：声音：使用电话或团队通话诱骗目标透露敏感信息。通过可移动媒体进行复制：通过像 U 盘或可移动存储设备这样的设备传播恶意软件。供应链妥协：攻击组织供应链中的薄弱环节（例如，第三方漏洞）。有效账户：使用合法凭证获取未经授权的系统访问权限。可信关系：通过有权接触目标受害者的组织进行妥协 事件影响 账户访问移除:攻击者六月否认合法用户访问帐户，方法是删除、锁定或更改凭证。 数据销毁:攻击者在六月销毁系统或网络上的数据以破坏可用性，通常使恢复变得困难。 用于影响的数据加密:攻击者六月加密数据以拒绝访问，要求勒索或使数据永久无法访问。 数据窃取造成影响:对手在六月窃取并窃运敏感数据以造成损害、破坏运营、损害声誉或为财务或战略利益所用。 数据操作：攻击者六月会篡改数据以影响业务流程、决策或隐藏恶意活动。 ::金融盗窃：对手通过敲诈、欺诈或直接盗窃在六月窃取金融资产。篡改修改网站、应用程序或数字内容以散布错误信息、恐吓或宣传。磁盘擦除：破坏或损坏磁盘数据，使系统无法使用，通常用于破坏活动或勒索软件。端点拒绝服务利用或瘫痪终端设备以阻止正常用户访问或操作。 事件影响（续） 固件损坏：篡改或损坏固件以禁用硬件、破坏功能或持续恶意软件。 阻止系统恢复：攻击者六月删除备份并禁用恢复选项以阻止系统恢复。 知识产权盗窃:对手六月份窃取专有或敏感知识产权，通过间谍活动、内部威胁或网络入侵来获得竞争优势、经济优势或战略优势。 网络拒绝服务：通过洪泛或利用网络资源来降低或完全停止在线服务。 资源劫持：盗用计算资源（例如CPU、GPU、带宽）用于未经授权的任务，如加密货币挖掘或僵尸网络。 系统关机/重启:强行重启或关闭系统以破坏运营、擦除证据或协助进一步的攻击。 额外资源 请见下方Kroll网络威胁情报团队近期出版物和即将举行的活动 网络研讨会：构建弹性的OT安全计划 星期三，9月17日 | 上午11:00 – 上午11:45 美国东部时间 Kroll OT安全专家Sameer Koranne和Sumit Janmejai将邀请客座演讲嘉宾、InfraGard总裁兼全球OT安全领导者Marco Ayala，基于其在石油和天然气、海事、海上和化工行业数十年来保障OT/ICS系统的经验，提供其独特的见解，探讨如何基于项目化方法将风险管理、流程改进和实时响应相结合，以强化您的OT环境。立即注册 隐形威胁：重新思考清洁能源和国民基础设施的OT安全 近期重v对于中国制造的嵌入在电源逆变器中的“杀switch”所带来的喜悦，重新点燃了全球关于网络风险、供应链漏洞和操作技术（OT）生态系统中的地缘政治依赖的讨论。Kroll概述了清洁能源部门ICS和OT系统相关的关键风险和漏洞，以及组织应采取的解决步骤。 网络研讨会重播：探索零售业中的 AI 治理：来自真实场景的经验教训 洞察，企业必须应对数据隐私、安全合规的AI部署和道德使用的复杂挑战。在此次简报中，Kroll专家介绍了利用零售业的真实案例构建弹性的AI治理计划的关键步骤，这些步骤不仅有助于理解、实施和监控负责任的AI，还能为创新扫清道路，以产生成功的投资回报并建立消费者信任。 定义 如果您需要更多信息，请联系： 乔治·格拉丝高级副总裁 +44 7584999104george.glass@kroll.com 艾德·柯里助理首席代表 1 202 449 1816edward.currie@kroll.com