亚信安全发布第七期《勒索家族和勒索事件监控报告》
本周态势快速感知
本周全球共监测到勒索事件121起,与上周相比,勒索事件数量大幅下降,仍需注意防范。
从整体上看Clop是影响最严重的勒索家族;本周Ransomhub和Akira也是活动频繁的两个恶意家族,需要注意防范。
本周,Japanrebuild公司的生产数据、审计资料、订单信息、客户信息、内部文件等超过200GB的数据被Ransomhub组织窃取。
01 勒索态势
1.1 勒索事件数量
本周全球共监测到勒索事件121起,与上周相比,勒索事件数量大幅下降。勒索事件趋势见图1.1。
图1.1 勒索事件趋势图
1.2 勒索事件受害者所属行业
本周全球勒索事件受害者所属行业和历史对比趋势图如图1.2所示。从图中可知,本周勒索事件数量与历史相比各行各业均有所下降。勒索事件趋势见图1.2。
图1.2 勒索受害者行业分布趋势图
2024年下半年至今,中国区域的勒索事件受害者所属行业分布如图1.3所示,Top3为互联网,制造业,其他。
图1.3 2024年下半年至今中国区域勒索受害者行业分布图
1.3 勒索事件受害者所属国家
本周勒索事件受害者所属国家Top10如图1.4所示。美国依旧为受勒索攻击最严重的国家,占比64%。
图1.4 Top10受影响国家
1.4 勒索家族
本周监控到活跃的勒索家族共有27个,Top10勒索家族如图1.5所示。本周Top3和历史Top3勒索家族的累积变化趋势如图1.6所示。从图中可知,整体上看Clop是影响最严重的勒索家族;本周Ransomhub和Akira也是活动频繁的两个恶意家族,需要注意防范。
图1.5 Top10活跃勒索家族
图1.6 流行勒索家族的累积变化趋势图
2024年下半年至今,中国区域的勒索家族活跃情况分布如图1.7所示。
图1.7 2024年下半年至今攻击中国区域的勒索家族分布图
02 勒索事件跟踪
本周监测到勒索事件121起。本周对公共安全造成重大影响的Top10事件如表2.1所示。随后本文在勒索事件简述部分对表中的一些重点事件进行阐述。
表2.1 Top10勒索事件详情
勒索事件简述
本周,美国安德烈工程网的项目调研报告被Ransomhub组织窃取。
本周,Japanrebuild公司的生产数据、审计资料、订单信息、客户信息、内部文件等超过200GB的数据被Ransomhub组织窃取。
03 重点勒索组织介绍
本周主要介绍这周活动频繁的恶意家族Clop、Ransomhub和Akira,需要注意防范。
Clop-2019年2月,Clop勒索软件作为一种专门针对全球大型企业和国有机构的CryptoMix变种首次出现,采用Clop后缀加密目标文件。2020年3月,Clop勒索软件团伙在暗网上启用了泄露站点,发布受害者信息以实施双重勒索攻击。
几个月后,Clop组织成功入侵全球最大的软件公司之一Software AG,要求支付超过2000万美元的赎金。由于未收到赎金,该团伙在暗网上公布了Software AG的数据截图。此后,Clop勒索软件又发起了多次勒索行动,在行业内声名显著。
Ransomhub-RansomHub由iZOOlogic研究团队在暗网中发现,该组织迅速确立了自己作为网络犯罪中潜在强大对手的地位。
RansomHub称他们是一个出于经济动机的黑客组织,由来自不同国家的各种成员组成。但是他们宣布不针对古巴、朝鲜、中国、罗马尼亚和独联体发起攻击,这意味着他们的成员可能来自这些国家。
Akira-Akira勒索软件团伙使用多种勒索策略,包括在暗网上维护一个专门的泄密网站。该网站列出了受害者,如果不满足他们的要求,就会公开被盗的数据。一旦恶意软件攻击,文件就会被加密并具有文件扩展名.akira。Akira向受害者提供了如何通过他们的TOR门户协商赎金的说明。勒索者只有在支付赎金后才会交出钥匙。Akira主要针对能够支付赎金的公司,其加密木马针对Windows和Linux PC。
04 亚信安全勒索检测能力升级
针对全球勒索事件频发的威胁态势,亚信安全推出勒索治理方案,针对近期活跃勒索事件已具备检测能力,请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下:
表4.1 本周勒索事件特征库更新列表
注:监测数据仅来源于互联网已公开信息,统计不包含亚信安全已拦截事件。