根据KASPERSKY发布的《2024年勒索软件现状报告》，勒索软件攻击仍然是当代最大的网络安全威胁之一，并在全球范围内影响着组织和个人。从医疗保健和工业领域的高调违规行为（泄露大量敏感数据或完全停止生产），到对相对容易成为目标的小企业的攻击，勒索软件攻击者正在扩大其影响力范围。报告分析了主要的勒索软件事件和趋势，并列出了观察、研究和统计数据，以阐明不断演变的勒索软件威胁格局及其对网络安全的影响，以下是主要内容。

事件响应实践中观察到的趋势

基于KASPERSKY的事件响应服务在2023 年处理的事件的趋势和统计数据得出以下结论：

• 2023 年，每三起事件（33.3%）就有一起与勒索软件有关；
• 勒索软件仍然是所有行业企业面临的主要威胁；
• 通过承包商和服务提供商（包括 IT 服务）实施的攻击首次成为三大攻击载体之一；
• 信任关系攻击、入侵面向互联网的应用程序、入侵凭证以及网络钓鱼是四个主要的初始感染载体；
• Lockbit（27.78%）、BlackCat（12.96%）、Phobos（9.26%）和 Zeppelin（9.26%）是2023年事件响应实践中最常遇到的勒索软件家族；
• 大多数数据加密攻击在一天（43.48%）或几天（32.61%）内结束。其余的攻击持续了数周（13.04%），只有 10.87% 的攻击持续了一个月以上。

勒索软件格局：目标群体和攻击增多

通过分析从多个相关公开来源收集到的2022年和2023年的目标勒索软件群组及其攻击数据，对其进行了过滤和验证。报告显示，与2022年相比，全球目标勒索软件群组的数量增加了30%，其攻击的已知受害者数量增加了71%，增幅惊人。

与随机攻击不同，这些有针对性的组织主要针对政府、高知名度组织或组织内的特定个人。此外，它们大多以 “勒索软件即服务”（RaaS）的模式分发恶意软件，其中包括一些较小的团体（称为附属机构），它们通过收取订阅费或部分赎金来获取勒索软件。在下图中，您可以看到 2023 年最活跃的勒索软件家族。

(2023 年按受害者数量分列的最活跃勒索软件家族)

• Lockbit 3.0，2023年在企业系统中最常遇到的勒索软件，其在2022年泄露了生成器，这导致各种独立组织使用该生成器创建定制的勒索软件变种，然后用来攻击世界各地的组织。
• 黑猫/ALPHV，2023 年第二大最活跃的勒索软件，美国国务院悬赏1000万美元通缉该组织的同伙。
• Cl0p，2023 年第三大最活跃的勒索软件，其入侵了文件传输系统 MoveIt，以获取其客户的数据，据新西兰安全公司 Emsisoft 称，截至 2023 年 12 月，已影响到 2500 多家机构。

其他值得注意的勒索软件变种

• BlackHunt：使用基于Conti 勒索软件源代码的 C++ 可执行文件攻击全球受害者。
• Rhysida：最初针对 Windows，后来扩展到 Linux。两个版本都使用 AES 和 RSA 算法进行文件加密，并在密钥生成过程中使用 ChaCha 流密码。该勒索软件还采用基于令牌的方式访问其隐藏服务，以提高保密性。
• Mallox：被称为 Fargo 和 TargetCompany，Mallox 通过 Clearnet 和 TOR 服务器运行，目标是面向互联网的 MS SQL 和 PostgreSQL 服务器，并通过恶意附件传播。
• 3AM：3AM 是一种新的 RaaS 变种，具有复杂的命令行界面和 “访问密钥 ”功能，其采用高效的文件处理技术，如反向遍历（从末端处理字符串，以快速识别文件路径和扩展名）和与 Windows API 集成，并在加密前终止各种进程，使恢复工作复杂化。与受害者的通信是通过基于 TOR 的隐藏服务进行的，但存在操作安全错误配置，如真实 IP 暴露。

勒索软件组织的策略和技术

勒索软件集团继续采用以前确定的入侵策略，利用类似的工具和技术。攻击者将目标锁定在易受远程命令执行（RCE）影响的面向互联网的应用程序上，例如那些受有漏洞的 log4j 版本支持的应用程序。对手利用这些应用程序中的漏洞，获得了未经授权的访问权限并入侵了基础设施。

一旦确认可以利用漏洞，攻击者通常会操纵负责执行应用程序的本地特权账户。他们执行命令修改用户密码，并上传一套工具（如 Meterpreter 和 Mimikatz）到被入侵的系统。通过执行 Meterpreter 开元旗牌建或修改系统进程，入侵者可获得更多访问权限，并在被入侵系统上建立持久性。

在某些情况下，对手会利用组织基础设施中面向公众的应用程序的漏洞，并利用 BloodHound 和 Impacket 等工具在网络中横向移动，获取目标基础设施的知识。不过，为了规避端点控制，他们也采用了不同的技术，如使用 Windows 命令外壳收集事件日志和提取有效用户名。

此外，对手还利用本地 Windows SSH 命令进行命令与控制 (C2) 通信和数据渗透。在确定访问互联网远程系统的路径后，他们会配置 SSH 后门并建立反向隧道进行数据交换。

总体而言，勒索软件组织对网络漏洞有着深刻的理解，并利用各种工具和技术来实现其目标。使用众所周知的安全工具、利用面向公众的应用程序中的漏洞以及使用本机 Windows 命令，都突出表明需要采取强有力的网络安全措施来抵御勒索软件攻击和域接管。

勒索软件：成为国家和开元旗牌安全问题

在过去几年中，勒索软件攻击对公共和私营组织的影响已经升级到威胁国家安全的程度。这种日益严重的威胁导致勒索软件在国家网络安全战略、网络安全监管机构的年度报告以及联合国网络安全不限成员名额工作组（OEWG）等论坛的政府间讨论中受到重视。对各国政府来说，勒索软件攻击的频繁性和破坏性已变得难以为继，这促使它们汇集资源，制定国家和多国倡议，以打击勒索软件集团。

• 2021 年，成立开元旗牌反勒索软件倡议（CRI），49 个国家齐心协力，共享网络安全信息，破坏攻击者的行动，并应对助长勒索软件攻击的金融机制。
• 2022年，美国立法《2022 年关键基础设施网络事件报告法》旨在加强事件报告和抵御攻击的能力。
• 2023 年初，法国实施了一项法律，将及时报告网络安全事件作为保险条件。

德国在最新的《2023年 IT 安全报告》指出，勒索软件是德国面临的最大网络安全威胁，并指出勒索软件已从 “猎杀大型游戏 ”转变为针对小型公司和市政当局。

此外，全球各地的执法机构正在联合行动，旨在摧毁勒索软件网络，比如：

• 2023 年，开元旗牌行动摧毁了 Hive、BlackCat 和 Ragnar 等勒索软件组织的基础设施。
• 2024 年初，克罗诺斯行动（Operation Cronos）瓦解了洛克比特（Lockbit）并获得了其解密密钥。

以通过将开元旗牌合作、立法行动和金融监督结合起来，有效减轻勒索软件攻击的开元旗牌胁和影响。

勒索软件——2024 年预测

勒索软件生态系统发生了重大变化。随着官员们讨论反勒索软件的措施，以及全球各地的法律机构联手打击网络犯罪，勒索软件的行动正变得越来越分散。规模更大、协调性更强的组织正在分解成更小的部分，使执法部门更难将其作为打击目标。此外，这些小团体中的每一个影响都较小，执法部门对其兴趣也较小，因此被追踪和起诉的可能性也较小，从而使独立的勒索软件行为者有更大的机会逃脱逮捕。

总之，在网络安全领域，勒索软件攻击仍然是一个重大且不断演变的威胁。从影响关键部门的高调漏洞到针对小型企业的攻击，勒索软件的影响在不断扩大。我们对勒索软件的现状进行反思时，发现了几个关键的观察点和趋势。

要降低勒索软件攻击的风险，个开元旗牌企业组织应优先采取网络安全措施，例如：

• 使用功能强大、配置正确的安全解决方案，比如为网站部署SSL证书实现HTTPS加密；为软件程序部署代码签名证书，防止代码被恶意篡改；为邮件客户端部署邮件安全证书，防止邮件钓鱼、邮件篡改、邮件泄露。
• 实施托管检测和响应 (MDR)，主动发现威胁，对异常行为的检测和及时报警，及时发现并应对安全事件。
• 禁用未使用的服务和端口，最大限度地减少攻击面。
• 定期更新和打补丁，保持所有系统和软件的最新状态，防止恶意攻击者利用漏洞入侵系统、传播恶意软件。
• 定期进行渗透测试和漏洞扫描，及时发现并解决漏洞。
• 为员工提供全面的网络安全培训，提高他们对网络威胁和最佳缓解方法的认识。
• 建立和维护关键数据的定期备份，并定期测试备份和恢复程序，在数据丢失或损坏时，可以及时恢复数据，避免对业务正常运转造成影响。
• 利用威胁情报跟踪集团使用的最新 TTP，并调整检测机制以捕捉这些 TTP。
• 特别关注网络内系统上运行和安装的任何 “新 ”软件（包括合法软件）。

资料参考来源：KASPERSKY、securelist