2024年勒索軟件流行態(tài)勢(shì)報(bào)告

能力中心反病毒部在2024年全年監(jiān)測(cè)、分析與處置的勒索軟件事同時(shí)融入國(guó)際熱點(diǎn)事件與形勢(shì)的分析判斷，旨在評(píng)Web應(yīng)用漏洞傳播手段的高度依賴。這一趨勢(shì)表明，利用Web漏洞作為索軟件家族擴(kuò)散攻擊的主要選擇之一。各勒索家族的核心加密功能開始向效率方面進(jìn)行優(yōu)化。Curve25519、ChaCha20等高效根據(jù)對(duì)受害者的問(wèn)卷調(diào)查分析，發(fā)現(xiàn)辦公文檔和數(shù)據(jù)庫(kù)文件是在遭到勒索攻擊后最被“在乎”的文件類型。反應(yīng)出針對(duì)個(gè)人用戶的勒索攻擊更多是發(fā)生于辦公場(chǎng)景之中。2024年，雙重勒索和多重勒索模式的贖金要求進(jìn)一步攀升，多家勒索軟件家族在成功攻擊后開出了超過(guò)千萬(wàn)美元的贖金。其中，DarkAngels家族向美國(guó)知名藥品公司雙重/多重勒索的重點(diǎn)攻擊目標(biāo)鎖定在制造業(yè)、租賃和商務(wù)服務(wù)業(yè)以及批發(fā)零售業(yè)。公2024年，廣東、山東和江蘇三省成為國(guó)內(nèi)勒索軟件攻擊最為嚴(yán)重的地區(qū)。受攻擊的系業(yè)所面臨的威脅也有顯著提升，已緊隨其后位于榜單的第四相同——分別是德國(guó)和美國(guó)。而勒索軟件作者所采用的溝通郵箱則依然以匿名郵箱為在與勒索軟件對(duì)抗的安全技術(shù)發(fā)展方面，我們認(rèn)為未來(lái)將朝著A索軟件對(duì)抗的安全技術(shù)前沿，推動(dòng)行業(yè)在防護(hù)能力和應(yīng)對(duì)策略第一章勒索軟件攻擊形勢(shì) 1一、勒索軟件概況 2 3 4 4二、勒索軟件傳播方式 7三、多重勒索與數(shù)據(jù)泄露 8 8 9 四、勒索軟件家族更替 一、受害者所在地域分布 38二、受攻擊系統(tǒng)分布 39三、受害者所屬行業(yè) 40四、受害者支付贖金情況 42五、對(duì)受害者影響最大的文件類型 43六、受害者遭受攻擊后的應(yīng)對(duì)方式 43七、受害者提交反勒索服務(wù)申請(qǐng)?jiān)V求 44 一、黑客使用IP 46二、勒索聯(lián)系郵箱的供應(yīng)商分布 46三、攻擊手段 47 一、AI成為勒索對(duì)抗熱點(diǎn) 59 二、專業(yè)化、系統(tǒng)化攻擊頻發(fā) 60三、創(chuàng)新驅(qū)動(dòng)反勒索技術(shù)發(fā)展——安全技術(shù)新突破 61 一、針對(duì)企業(yè)用戶的安全建議 62 二、針對(duì)個(gè)人用戶的安全建議 64 三、不建議支付贖金 65四、勒索事件應(yīng)急處置清單 65 一、多家中國(guó)公司遭SANGGIERO勒索 67二、江森自控稱勒索攻擊導(dǎo)致的數(shù)據(jù)被盜造成其2700萬(wàn)美元損失 68三、特朗普案件的機(jī)密信息遭勒索軟件竊取 69四、瑞士表示PLAY勒索軟件泄露了65000份政府文件 70五、芯片制造商安世在遭勒索軟件公布數(shù)據(jù)后確認(rèn)泄露事件 71六、波音公司證實(shí)有勒索軟件試圖向其勒索2億美元 72七、多名勒索軟件相關(guān)黑客在美國(guó)被起訴 73八、UNITEDHEALTH稱有一億條數(shù)據(jù)在勒索事件中被盜 76九、施耐德電器確認(rèn)黑客竊取數(shù)據(jù)后開發(fā)平臺(tái)遭到破壞 77十、俄羅斯逮捕多名勒索組織成員并判刑 78 一、遠(yuǎn)控與勒索急救功能 二、勒索預(yù)警服務(wù) 三、弱口令防護(hù)能力 四、數(shù)據(jù)庫(kù)保護(hù)能力 五、WEB服務(wù)漏洞攻擊防護(hù) 六、橫向滲透防護(hù)能力 七、提權(quán)攻擊防護(hù) 90八、掛馬網(wǎng)站防護(hù)能力 91九、釣魚郵件附件防護(hù) 91 1第一章勒索軟件攻擊形勢(shì)的傳播手段，成功躍升為傳播量最廣泛的勒索軟件家族之一。此外，新的勒索家族如RNTC國(guó)內(nèi)勒索軟件形勢(shì)依然嚴(yán)峻，隨著Web漏洞通過(guò)對(duì)2024年勒索軟件樣本的深入分析及攻加密方式，轉(zhuǎn)而專注于數(shù)據(jù)竊取，將數(shù)據(jù)泄露作為勒索的主要安全威脅。與此同時(shí)，AI在安全領(lǐng)域的應(yīng)用也取得了顯著進(jìn)展，各大安全公司紛紛推出結(jié)網(wǎng)絡(luò)威脅的對(duì)抗中占據(jù)主動(dòng)。因此，AI無(wú)疑已成為當(dāng)前勒索軟件攻2與近幾年情況類似，2024年整體勒索反饋量同樣呈現(xiàn)相對(duì)平穩(wěn)的趨勢(shì)。與以往略有不3并在自身傳播方式中新增了Web漏洞利用途徑。結(jié)合其原有的廣泛傳播網(wǎng)絡(luò)和龐大的關(guān)。盡管如此，Phobos仍以第三位的反饋量占比保持強(qiáng)勁的攻擊勢(shì)頭，且在傳播和加員休息期間實(shí)施集中的突襲，極大地提高了入侵成功率。盡管隨著Web漏洞的修復(fù)，4等相對(duì)基礎(chǔ)的傳播手段進(jìn)行擴(kuò)散的Makop和Phobos勒索軟件家族，盡管其感染量持續(xù)較高，對(duì)比的是，2024年新出現(xiàn)的勒索軟件家族，或是采用了創(chuàng)新傳播手段的家族，它們的感染l其中，TargetCompany(Mallox)勒索軟件家族雖然同該家族自2024年4月起加入了利用Web漏洞入侵受害者網(wǎng)絡(luò)的新手段進(jìn)行傳播，所以RNTC兩個(gè)勒索軟件家族作為今年的“新秀”，更是一經(jīng)問(wèn)世便展示出了強(qiáng)大的破壞能力，在年末對(duì)各大企業(yè)目標(biāo)展開了一波頗為強(qiáng)勁的我們對(duì)2024年仍在活躍傳播且具有代表性5phobosMoneyMessage-6DoNexC---通過(guò)對(duì)2024年勒索軟件樣本的技術(shù)分析，我在非對(duì)稱加密階段，Curve25519算法逐漸嶄露頭角。主流勒索軟件家族采用多級(jí)加密7位居第二，但與傳統(tǒng)通過(guò)遠(yuǎn)程桌面入侵量的占比已相差無(wú)幾，說(shuō)是并列第一也并不為過(guò)。2024年通過(guò)漏洞利用發(fā)起的勒索攻擊量有著非常大幅的增加。而在各類應(yīng)用的漏洞利年出現(xiàn)以來(lái)就一直是勒索軟件界的活躍分子，年新增了利用Web漏洞來(lái)入侵目標(biāo)網(wǎng)絡(luò)的手段。這類勒索軟件家族本就有著較為完善8典規(guī)?！庇兄欢ǖ囊?，所以此類攻擊的總體占比并不像遠(yuǎn)程桌面入侵一樣夸張。近年來(lái)，通過(guò)雙重勒索或多重勒索模式獲利的9從遭到數(shù)據(jù)泄露機(jī)構(gòu)所在地分布情況來(lái)看，但總體波動(dòng)很小。這可以看作是美國(guó)機(jī)構(gòu)在2下圖為根據(jù)全球地區(qū)分布數(shù)據(jù)所繪制的更加從數(shù)據(jù)泄露的相關(guān)統(tǒng)計(jì)來(lái)看，總體有一定的波動(dòng)，但并未出現(xiàn)較大規(guī)模的爆TargetCompany(Mallox)采用了新的入侵手段有關(guān)。而年底的一波峰值數(shù)據(jù)，則主要是受到對(duì)2024年勒索軟件贖金進(jìn)行跟蹤發(fā)現(xiàn)，勒萬(wàn)到數(shù)千萬(wàn)不等，凸顯了勒索軟件攻擊的嚴(yán)重性和對(duì)受害者的財(cái)HuntersInternationalDarkAngelsBlackSuitAcadianAmbulance(US)今年，雙重勒索軟件攻擊首次出現(xiàn)了即使支付贖金數(shù)據(jù)依然被泄露的案例。屬組織透露，贖金高達(dá)2200萬(wàn)美元。原配，但BlackCat卻突然關(guān)閉，私自侵始泄露部分被盜數(shù)據(jù)，并要求額外支付費(fèi)用以防止數(shù)據(jù)進(jìn)一步泄露。這一事件最終導(dǎo)致ChangeHealthcare的數(shù)據(jù)被成交。大金額勒索事件的最終結(jié)果通常是私下和解或被受害者直接無(wú)竊取到的全部數(shù)據(jù)，通過(guò)對(duì)這部分?jǐn)?shù)據(jù)分析發(fā)現(xiàn)，2024年的勒索軟件攻擊事件波及了數(shù)百它可能導(dǎo)致身份盜竊、金融欺詐、商業(yè)機(jī)密U.S.govtagencyCMSPrudentialFinancialFidelityNationalFinancFrontierCommunicationsCityofColumbus3AMMoneyMessageAnnaJaquesCommunityClinicofMauiJewishHomeLifecare在數(shù)據(jù)被泄露的情況下，攻擊者會(huì)利用盜取的數(shù)據(jù)直接聯(lián)系客戶，警告其個(gè)人信息可能已被泄露。例如，攻擊者可能通過(guò)電子郵件、電話等方式通知客戶，要求其盡快采取措施保護(hù)個(gè)人信息，或要求客戶支付一定費(fèi)用以防止進(jìn)一步的信息泄漏。通過(guò)這種方式，攻擊者不僅增加了受害者的心理壓力，還攻擊者通過(guò)與媒體的合作，擴(kuò)大數(shù)據(jù)泄露事件的曝光度。在一些情況下，勒索團(tuán)伙甚至建立了自己的媒體關(guān)系，主動(dòng)向記者透露攻擊細(xì)節(jié)，確保事件得到廣泛報(bào)道，放大輿論效應(yīng)。通過(guò)這些手段，攻擊者不僅在經(jīng)濟(jì)上獲得勒索收益，還在社會(huì)層面加大了對(duì)企業(yè)的壓力。攻擊者可能將這些新聞報(bào)道鏈接關(guān)機(jī)制，在發(fā)生泄露事件時(shí)能夠及時(shí)、有效地管理輿情，減少聲譽(yù)損勒索團(tuán)伙會(huì)通過(guò)建立專門的黑市網(wǎng)站或平臺(tái)，公開拍賣竊取的數(shù)據(jù)。這些數(shù)據(jù)通常包括企業(yè)的敏感信息、客戶資料、內(nèi)部文件等。一些團(tuán)伙甚至?xí)O(shè)置競(jìng)拍機(jī)制，將竊取的數(shù)據(jù)以高價(jià)售賣給其他犯罪分子、競(jìng)爭(zhēng)對(duì)手或第三方公司。通過(guò)這種方式，勒索團(tuán)伙不僅增加了經(jīng)濟(jì)收益，還加劇了受害企業(yè)的壓據(jù)。這些團(tuán)伙通過(guò)拍賣的方式獲得了極高的利益，同時(shí)也讓受害企業(yè)面臨了業(yè)如果未能及時(shí)報(bào)告，可能會(huì)面臨嚴(yán)厲的罰款和法律后許多企業(yè)在遭遇勒索軟件攻擊或數(shù)據(jù)泄露時(shí)，可能會(huì)選擇隱瞞事件，試圖通過(guò)支付贖金解決問(wèn)題，而不向公眾或監(jiān)管機(jī)構(gòu)報(bào)告。這種做法雖然可能暫時(shí)緩解企業(yè)的壓力，但一旦被揭露，企業(yè)將面臨更為嚴(yán)峻的法律制裁。例如，康涅狄格州的檢察長(zhǎng)聯(lián)合要求的，顯示出各州對(duì)數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全的高度家醫(yī)院不得不啟動(dòng)“血液短缺”應(yīng)急程序。這一事件突顯了數(shù)據(jù)泄露對(duì)公共健康服務(wù)的嚴(yán)重影響。在醫(yī)療行業(yè)，數(shù)據(jù)泄露可能不僅導(dǎo)致經(jīng)濟(jì)損失，還可最終申請(qǐng)破產(chǎn)保護(hù)。該事件反映了勒索軟件對(duì)企業(yè)運(yùn)營(yíng)連續(xù)性的影響，尤其失達(dá)到數(shù)千萬(wàn)美元。此外，勒索軟件攻擊可能導(dǎo)致企業(yè)網(wǎng)站癱瘓，進(jìn)一步影-RebornRansomware,Anony,PSAUX,RdpLocker針對(duì)以上新增勒索軟件家族，我們對(duì)其中幾個(gè)典型家族進(jìn)行具體的區(qū)，因?yàn)樵谌蚍秶鷥?nèi)，包括加拿大、羅馬尼亞、韓國(guó)、英國(guó)等地改編而成的勒索軟件。與主流勒索軟件相似，LvtLocker在代碼中內(nèi)ChaCha20對(duì)稱加密算法對(duì)文件進(jìn)行加密，這種加密方式因其效率而被主流勒索軟件廣泛采例如：CVE-2020-28188、CVE-2022-24989和翼軟件中的SQL注入漏洞作為其主要傳播手段。這種漏洞允許攻擊者在沒有適當(dāng)身份驗(yàn)證第一個(gè)版本在成功加密受害者的文件之后，會(huì)在文件名后添加“.locked”的后綴。盡第二個(gè)版本在加密文件后，會(huì)在文件名后添加“.Wormhole”的后綴。與第一個(gè)版本不可能會(huì)使受害者在談判過(guò)程中處于不利地位重大威脅。這種惡意軟件通過(guò)暴力破解技術(shù)，專門針對(duì)遠(yuǎn)程桌面協(xié)議（RDP）的登錄憑據(jù)進(jìn)區(qū)，并使用WindowsBitLocker加密公司系統(tǒng)ShrinkLocker勒索軟件僅在滿足特定條件時(shí)才會(huì)繼續(xù)攻擊，例如當(dāng)前域與目標(biāo)匹配，操作系統(tǒng)版本比Vista新。否則，ShrinkLo件，它會(huì)利用BitLocker加密文件，并通過(guò)TryCloudflare攻的是，由于PSAUX勒索軟件加密算法中存在錯(cuò)助用戶更新和解決與消除攻擊后果相關(guān)的問(wèn)題。然而，在報(bào)告漏洞時(shí)，互聯(lián)網(wǎng)上有超過(guò)22,000個(gè)未打補(bǔ)丁的服務(wù)器。攻擊發(fā)生后，大多數(shù)服務(wù)器變得不可用，可能已被破壞并感命令來(lái)下發(fā)惡意軟件;如果Redis這條路“走不通”，蠕MorLockRedRansomwareAPT73ArcusMediaNitrogenFunksecNotLockBit運(yùn)作。該組織據(jù)信在RAMP暗網(wǎng)論壇購(gòu)買了Knight（曾用名Cyclops）勒索軟件的源碼，并方面與BlackCat/ALPHV存在顯著相似性，且兩者的命令與控制基礎(chǔ)設(shè)施（C2其Telegram頻道公開招募滲透測(cè)試人員和開發(fā)人員，竊密工具等。其定價(jià)僅為250美元，并承諾后續(xù)發(fā)布的功能不會(huì)再向附屬成員索要任何費(fèi)竊密工具等。其定價(jià)僅為250美元，并承諾后續(xù)發(fā)布的功能不會(huì)再向附屬成員索要任何費(fèi)件，還是BlackCat(ALPHV)、Hive、LockBit等勒索軟件的附屬公司，ActiveDirectory）憑據(jù)，從而操盡管有安全研究員將Embargo勒索軟件與BlackCat聯(lián)系在一起，但EmbargoCicada3301謎題系列的組織者已明確否認(rèn)與勒索軟件有任何聯(lián)系，在規(guī)定時(shí)間內(nèi)支付贖金，他們會(huì)在該站點(diǎn)公開竊取的數(shù)對(duì)Cicada3301的加密程序分析顯示，它與已解散的BlackCat/ALPHV勒索軟件HellDown采用雙重勒索策略，不僅竊取數(shù)據(jù)，還威脅受害者若不支付贖金則公開數(shù)據(jù)。該其復(fù)雜性屬于中等水平，但HellDown主要針對(duì)非營(yíng)利組織以及多個(gè)行的中小企業(yè)。DragonRansom勒索軟件是2024年10月推出的新型勒索軟件組織。該組織此前以針對(duì)以色列以及西方支持以色列的政黨進(jìn)行攻擊時(shí)使用的加密程序是StormCry。但去已申明頻道外，并未開啟其他頻道。Dispossessor針對(duì)以上其它類型勒索家族，我們對(duì)其中幾個(gè)典型家族進(jìn)行具體的Dispossessor勒索團(tuán)伙與RADAR勒索團(tuán)和黑客論壇（如BreachForums和XSS）上出售這些數(shù)據(jù)。因此，研究人員普遍認(rèn)為，Dispossessor并非一個(gè)新興的勒索軟件團(tuán)伙，而是一群犯罪分子，他們?cè)噲D利用其他團(tuán)伙法機(jī)構(gòu)還拆除了該組織使用的9個(gè)域名，其中8個(gè)在美國(guó)，1個(gè)在德國(guó)。這標(biāo)志著功能描述進(jìn)行釣魚郵件傳播。釣魚郵件中暗示用戶可以通過(guò)打開附件中的軟件查詢開房記trash.dat文件，向里面瘋狂寫入大量垃圾數(shù)據(jù)，直到最終將整個(gè)磁盤的空間占滿(C盤除HelloGookie勒索軟件，作為HelloKitty勒索軟件品牌Gookee/kapuchino在黑客論壇上公開了HelloKitty構(gòu)建器和源代碼，這點(diǎn)上發(fā)布了之前攻擊CDProjekt和思科時(shí)竊取的數(shù)據(jù)。這些泄攻擊的數(shù)據(jù)，還包含了舊版HelloKitty勒索LukaLocker在執(zhí)行攻擊時(shí)，會(huì)利用TruHellman（ECDH）密鑰協(xié)商算法隨機(jī)生成Chacha8密鑰和隨機(jī)數(shù)件，它結(jié)合了ChaCha20和RSA算法對(duì)受害者的文件進(jìn)行加密，受害者想要解密文件僅需支當(dāng)GoZone運(yùn)行完畢后，會(huì)將桌面背景修改為下圖，提內(nèi)部因?qū)θA盛頓警察數(shù)據(jù)處理發(fā)生內(nèi)部矛盾，其創(chuàng)始者將其源代碼公開發(fā)布；第二章勒索軟件受害者分析波動(dòng)始終均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主下圖為根據(jù)全國(guó)地區(qū)分布數(shù)據(jù)所繪制的更加對(duì)2024年受攻擊的操作系統(tǒng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，位居前三的系統(tǒng)為Windows10、Windows同，本輪桌面系統(tǒng)的占比回歸更多是受到了Web漏洞入侵手段增加和中小型企業(yè)采用此外，受到越來(lái)越多的勒索家族采用雙重/多重勒索攻擊影響，金融行業(yè)所掌握的數(shù)據(jù)基于2024年的問(wèn)卷數(shù)據(jù)統(tǒng)計(jì)分析，辦公文檔和數(shù)據(jù)庫(kù)數(shù)據(jù)依然分列受害者最“在乎”與2023年的占比分布也幾乎完全一樣：利用安解勒索軟件更多知識(shí)”這一選項(xiàng)的占比同樣有著進(jìn)一步的提第三章勒索軟件攻擊者分析2024年的勒索軟件攻擊數(shù)據(jù)分析揭示，弱口令攻擊仍然是最普遍的網(wǎng)絡(luò)攻擊形式，但2024年，勒索軟件主流的聯(lián)系方式依然自建聊天室、第三方通信工具和郵箱三種。其信。這種做法導(dǎo)致我們能夠監(jiān)測(cè)到的活躍郵件地通過(guò)對(duì)2024年收集到的黑客郵箱進(jìn)行數(shù)據(jù)分析,我們發(fā)現(xiàn)最受勒索軟件作者歡迎的是病毒傳播的重要原因。盡管當(dāng)前已有多種技術(shù)手段用于解決口令脆弱性問(wèn)題，但“弱口令”在勒索軟件攻擊事件中，常見的弱口令問(wèn)題通常出現(xiàn)在以下幾類環(huán)境不要低估攻擊者對(duì)設(shè)備信息的挖掘能力，黑客在攻擊過(guò)程中通常首先會(huì)尋找力破解攻擊的風(fēng)險(xiǎn)。另外，對(duì)于一些老舊系統(tǒng)，缺乏足夠的安全防護(hù)，容易難度，是一種簡(jiǎn)單而有效的防護(hù)措施，能夠有效減少由于口令泄露帶來(lái)的風(fēng)用多個(gè)系統(tǒng)時(shí)，維護(hù)多個(gè)認(rèn)證系統(tǒng)和口令信息會(huì)帶來(lái)很大的管理負(fù)擔(dān)。尤其是讓員工記住多個(gè)復(fù)雜的密碼并定期更新，這在實(shí)際操作中非常困難。使用此外，密碼管理工具能夠幫助員工生成強(qiáng)密碼，減少設(shè)置“弱口令”的可能分為“0day漏洞”（廠商尚未修復(fù)）和“nday漏洞”（廠商攻擊的第一步通常是使用掃描工具對(duì)潛在目標(biāo)進(jìn)行偵查，目的是發(fā)現(xiàn)開放的服務(wù)和潛在漏管理員不要心存僥幸，認(rèn)為自己部署的服務(wù)不受黑客），必自己編寫攻擊代碼，只需替換攻擊載荷（payload）即可完成攻擊。對(duì)于廠商修復(fù)但尚未一些常見、通用的漏洞，為無(wú)法打補(bǔ)丁或沒有補(bǔ)丁的環(huán)境提供員應(yīng)建立健全的補(bǔ)丁管理機(jī)制，確保所有設(shè)備和系統(tǒng)我們總結(jié)了在2024年的勒索攻擊活動(dòng)中經(jīng)常被使用到的漏洞。其中主要的漏洞基于WindowsPrintSpooler服務(wù)AtlassianConfluenceVMwareIdentityManagerFortiADC,FortinetFortiZimbramemcache命令注入U(xiǎn)nRARActiveDirectory域ActiveDirectory域FortinetFortiClientWindowsBackground AdobeFlashPlayerAdobeColdFusionAdobeColdFusionMicrosoftMalwareProtectionEngine擊工具包（如ExploitKits），針對(duì)未打補(bǔ)丁的設(shè)（值得一提的是：Everything除了被用來(lái)搜集文件外，還被黑客用Everything可被部署為文件服務(wù)器，攻擊者利用這一特性，在被攻擊設(shè)備中暗中植入MEGAsync,CrackMapExec,Mimikatz,PsExec,AnyDesk,GMProcessExplorer,FileZilla,ScreenConnectCobaltStrike,Exfitrator-22,KPortScProcessHacker,NetworkPasfscan,AnyDesk,powercat,lcx,DefinderControl,Mimikatz,NeProcessHacker,PChunter,CobaltStrike,Nasp,NetworkShareCobaltStrike,AnyDesk,,file.io,LoLBins,WinRAR,DEWMODE,FlawedGrace,SDBot,Truebot,ProcDump,NetScan,SoftPerfProcessHacker,NetScan,PChunter,PChunter,ProcessHacker,ProcessExplorer,NeNetworkShare,Everything,Mimikatz,mouselock,Exploit,AdvancedPortNLBrute,denfendercontrl,ydayk,GotoAZORult,Vidar,RigEK,PChunter,MiMagniberMagnitudeExploitKit,YDArk,phobosDataBase,DefinderControl,accountrestore,denfendercontrl,netppyark,NetworkShare,Everything,FRP,frluciroot,NetScan,Nasp,PChunter,YDArk,PuTTY,dfcontrol,GMER,HRSWord,NLBrute,ydayk,WebBrowserPassView,PrSmokeLoader,CobaltStrike,BloodHounNetworkShare,AdvancedPortScanner,Lcertutil,bitsadmin,PoweAnyDesk,PChunter,Everything,KPortScan,Nasp,NetworkShare,HRSWord,GMER,NetScanMedusaLockerPChunter,denfendercontrl,Mimikatz,ProcessHackeNetScan,PsExec,put.io,PPAExec,SuperOps,SplashTopSoftPerfectNetworkScanner,Plink,ManBlackSuitSliver,Chisel,Cloudflare,AnyDesk,AteraAgenPsExec,MEGAsync,WinRAR,LoLBins,AnyDesk,NetScan,7zip,的防護(hù)措施可以顯著降低勒索軟件加密共享文件夾帶來(lái)的夾通常是這些勒索軟件的默認(rèn)行為，且加密操作在沒有用戶干預(yù)的情況下自動(dòng)管理員或特定用戶組能夠?qū)γ舾形募M(jìn)行修改。避免將過(guò)高的訪問(wèn)權(quán)限授予不必及時(shí)撤銷不再需要的權(quán)限，防止權(quán)限過(guò)度擴(kuò)展而增加安全風(fēng)速助手（QuickAssist）功能，通過(guò)社會(huì)工程學(xué)手段發(fā)動(dòng)勒索攻BlackBast勒索軟件團(tuán)伙在選定攻擊目標(biāo)后，向目標(biāo)用戶的電子郵件發(fā)送“自帶易受攻擊的驅(qū)動(dòng)程序”（BYOVD，BringYourOwnVulnerableDriver）是近年繞過(guò)安全防護(hù)，直接在內(nèi)核層面關(guān)閉或干擾安全軟件，從而為勒索軟件的部署提供便品）都會(huì)立即失效，這使得勒索軟件得以順利部署并執(zhí)和SysMon.sys，這些驅(qū)動(dòng)程序通過(guò)繞過(guò)安全軟件的保護(hù)，使得勒索軟件能夠在目標(biāo)系統(tǒng)中第四章勒索軟件發(fā)展與趨勢(shì)分析在2024年，勒索軟件威脅毫無(wú)意外的再次展趨勢(shì)，并從我們?yōu)閼?yīng)對(duì)勒索軟件威脅所做的努力中，探討未來(lái)的勒索應(yīng)對(duì)展現(xiàn)出了前所未有的優(yōu)勢(shì)，推動(dòng)了各行各業(yè)的數(shù)字化轉(zhuǎn)型。在安全領(lǐng)域，AI的應(yīng)用也開始攻擊數(shù)據(jù)的清洗篩選等場(chǎng)景。未來(lái)，AI將進(jìn)一步增強(qiáng)勒索軟件的智能化特點(diǎn)，使其具備自我學(xué)習(xí)與適應(yīng)能力。AI不僅可以通過(guò)模擬用戶行為繞過(guò)傳統(tǒng)的安全防護(hù)，還能根據(jù)受害者的系統(tǒng)架構(gòu)和漏洞進(jìn)行精準(zhǔn)定制化攻擊，未來(lái)的攻擊都將是“定制化勒索病毒的自動(dòng)化能力大幅提升是AI應(yīng)用在網(wǎng)絡(luò)攻擊中的一個(gè)據(jù)加密等一系列過(guò)程。AI驅(qū)動(dòng)的勒索病毒將能夠自我學(xué)習(xí)和適應(yīng)目標(biāo)環(huán)境，不斷優(yōu)化攻擊路徑和手段。通過(guò)分析目標(biāo)系統(tǒng)的弱點(diǎn)，AI可以自動(dòng)選擇最優(yōu)的攻擊方法，顯著提高勒索持續(xù)的攻擊。這種自動(dòng)化和持續(xù)性將大大增加企業(yè)防御的難AI在安全產(chǎn)品中的應(yīng)用，特別是增強(qiáng)離線安全能力，正成為解決當(dāng)前網(wǎng)絡(luò)安全難題的更新周期較長(zhǎng)，無(wú)法實(shí)現(xiàn)實(shí)時(shí)響應(yīng)和動(dòng)態(tài)防護(hù)。借助A前網(wǎng)絡(luò)攻擊的戰(zhàn)術(shù)和技術(shù)，進(jìn)而識(shí)別潛在威脅。這些訓(xùn)練好的AI行高效的安全分析和攻擊識(shí)別，不依賴于實(shí)時(shí)更新的情報(bào)資源。通過(guò)這種方式，AI能夠較不僅限于上述幾點(diǎn)，AI在提升安全產(chǎn)品的預(yù)測(cè)能力、降低運(yùn)營(yíng)強(qiáng)度等方面也已經(jīng)顯現(xiàn)AI技術(shù)在安全領(lǐng)域的應(yīng)用也在大幅降低企業(yè)使用高端安全產(chǎn)品的門檻。許多傳統(tǒng)的安安全團(tuán)隊(duì)要求較高。然而，AI技術(shù)的加入使得這些復(fù)雜的任務(wù)能夠被自動(dòng)化處理，降低了AI驅(qū)動(dòng)的安全產(chǎn)品能夠提供更加智能化的威脅檢測(cè)、自動(dòng)化的事件響應(yīng)和實(shí)時(shí)的漏洞在資源有限的情況下，也能享有與大企業(yè)相同的安全防護(hù)能AI正在成為網(wǎng)絡(luò)安全領(lǐng)域的轉(zhuǎn)折點(diǎn)。其廣泛應(yīng)用不僅提升了安全產(chǎn)品的效能，也引發(fā)全防護(hù)更加智能和動(dòng)態(tài)，彌補(bǔ)了傳統(tǒng)防護(hù)手段無(wú)法快速應(yīng)對(duì)演化攻擊的不足。然而，AI的志著網(wǎng)絡(luò)安全發(fā)展的一次重要轉(zhuǎn)折，未來(lái)的安全防護(hù)將更加依賴A加劇。以TargetCompany(Mallox)和Tell2024年，我們?cè)谄髽I(yè)安全產(chǎn)品中，強(qiáng)化了弱口令暴破防護(hù)的能力，提供了包括登錄時(shí)用環(huán)境。增加支持了更豐富的協(xié)議，保護(hù)更多的2024年，我們改進(jìn)了一系列反勒索方案，新增了一套一種輕量化，不依賴白名單機(jī)制錄程序?qū)ξ募牟僮鳉v史，判別可能存在的勒索攻第五章安全建議防火墻等安全軟件切斷外部對(duì)遠(yuǎn)程桌面的訪問(wèn)。并關(guān)閉服務(wù)器的Web服務(wù)端及數(shù)據(jù)庫(kù)業(yè)務(wù)、數(shù)據(jù)、服務(wù)分離。不同職能部門與區(qū)域之丟失、損壞、無(wú)法訪問(wèn)等情況造成的業(yè)務(wù)停擺，甚至被迫向攻要求員工不共享企業(yè)內(nèi)網(wǎng)，辦公設(shè)備不安裝來(lái)路不明的避免具有多重勒索功能的病毒進(jìn)一步獲取更多的重要信息作為勒索籌碼。3.盡量使用安全瀏覽器，減少被掛馬攻擊、釣魚網(wǎng)4.重要文檔、數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時(shí)找），對(duì)照下面清單，完成事件的初步處理，之后再由專業(yè)團(tuán)隊(duì)詳細(xì)排查事故原檢查有哪些設(shè)備被攻擊，常見被攻擊特征有：文件后綴為被改，文件夾留下勒索信息，桌面背o辦公機(jī)（檢查是否僅是共享文件夾被加密）根據(jù)現(xiàn)場(chǎng)情況，對(duì)已經(jīng)發(fā)現(xiàn)的被攻擊設(shè)備或者存在風(fēng)險(xiǎn)的設(shè)備與網(wǎng)段進(jìn)行臨時(shí)管控，常見管控o設(shè)置IP訪問(wèn)黑白名單：禁止國(guó)外IP訪o控制重要設(shè)備的訪問(wèn)權(quán)限，或?qū)χ匾O(shè)備做臨時(shí)下線處理。o拔出網(wǎng)線/禁用網(wǎng)卡/禁用無(wú)線網(wǎng)卡/移除移動(dòng)網(wǎng)卡o臨時(shí)停用非必要賬號(hào)，修改所有普通用戶賬號(hào)密碼在完成上述應(yīng)急處置后，盡快確認(rèn)以下事項(xiàng)，并聯(lián)系安全團(tuán)隊(duì)進(jìn)行進(jìn)一步排查。（注意：被加o收集可疑樣本、被加密文件（少量）、勒索提示信息（一份）o檢查存儲(chǔ)有敏感信息設(shè)備是否被異常訪問(wèn)o檢查設(shè)備中賬戶情況，包括第三方軟件賬戶，最近新增賬戶o檢查數(shù)據(jù)庫(kù)賬戶，VPN賬戶，NAo完成后續(xù)安全加固工作，安裝補(bǔ)丁，修補(bǔ)存在的其它問(wèn)題。附錄1.2024年勒索軟件大事件Sanggiero方面表示并沒有就被盜明，甚至有報(bào)道稱該公司試圖在Discord和Reddit上屏蔽相關(guān)用戶的投訴。Pandabuy的一位發(fā)言人則表示他們此前已向黑客支付了一筆未披露的贖金以阻止數(shù)據(jù)縣官員否認(rèn)已支付了贖金，也沒有回答為什么泄密事件會(huì)就此作罷以及LockBit是否真的摧毀了其勒索活動(dòng)中使用的暗網(wǎng)網(wǎng)站，執(zhí)法瑞士國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了一份報(bào)告，分析了Xplain遭受勒索軟件攻擊后的數(shù)據(jù)泄露情況，披露該事件影響了數(shù)千份敏感的聯(lián)邦政府文件。Xplain是一家瑞士技術(shù)和軟件解決方案提供商，為各種政府部門、行政單位，甚至該國(guó)的軍事力量提供圍。目前勒索軟件團(tuán)伙已泄露了涉嫌被盜數(shù)據(jù)的樣本。Nexperia方面表示已向荷蘭警方和表示并未向LockBit支付任何贖金。而在起訴書中提到的未具名公司是科羅謝夫及其同伙航空航天巨頭波音公司正在調(diào)查一場(chǎng)影響其零部件和分銷業(yè)務(wù)的網(wǎng)絡(luò)攻擊，此前雖然波音公司方面尚未證實(shí)LockBit的說(shuō)法，但該團(tuán)伙在暗網(wǎng)搭建的不會(huì)公布詳細(xì)列表或樣例，但在截止日期之后，我們便不會(huì)再有所保留?！贬槍?duì)新澤西州地區(qū)關(guān)于惡意廣告投放的起訴書，另一份是針對(duì)弗吉尼亞州東區(qū)關(guān)于Ransom他們使用惡意廣告來(lái)誘騙受害者點(diǎn)擊看似合法的互聯(lián)網(wǎng)廣告。”協(xié)調(diào)組織的聯(lián)合執(zhí)法形同中于西班牙被捕。根據(jù)起訴書中的內(nèi)容，Silnikau創(chuàng)建和管理了問(wèn)經(jīng)紀(jì)人”（IAB）進(jìn)行合作，這些經(jīng)紀(jì)人提供對(duì)受感染企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，管理與受害者的通信并處理贖金支付。此外，Silnikau還通過(guò)加密貨幣轉(zhuǎn)移贖金以掩蓋資金流向并使意軟件，可將用戶鎖定在操作系統(tǒng)之外——釣魚網(wǎng)站旨在要求目標(biāo)員工輸入他們用于訪問(wèn)金融