2025年網(wǎng)絡(luò)安全報(bào)告

連續(xù)13

年2025

年網(wǎng)絡(luò)安全報(bào)告主要威脅、新興趨勢和

CISO

建議目錄01020304引言2024

年網(wǎng)絡(luò)網(wǎng)絡(luò)安全趨勢全球分析安全事件05060708備受矚目的全球漏洞事件響應(yīng)視角2025

年行業(yè)預(yù)測CISO

建議01引言2025

年網(wǎng)絡(luò)安全狀況MAYA

HOROWITZ研究副總裁引言我很高興為您介紹

Check

Point《網(wǎng)絡(luò)安全報(bào)告》，這也是我們連續(xù)第

13

年度出版這個(gè)報(bào)告。2024

年，諸如人工智能和云基礎(chǔ)設(shè)施之類的進(jìn)步改善了我們的日常生活，但也給網(wǎng)絡(luò)犯罪分子帶來了可乘之機(jī)。本報(bào)告重點(diǎn)強(qiáng)調(diào)了這些變化對現(xiàn)實(shí)世界的影響，并給

CISO

提供關(guān)于

2025年的網(wǎng)絡(luò)安全趨勢和切實(shí)可行的建議。手握十多年的分析經(jīng)驗(yàn)，Check

Point

研究院的見解有著其它公司無法比擬的數(shù)據(jù)資源和專業(yè)分析團(tuán)隊(duì)組合。我們從企業(yè)和中小企業(yè)客戶的網(wǎng)絡(luò)、云、電子郵件、終端和移動(dòng)設(shè)備收集攻擊遙測數(shù)據(jù)。通過結(jié)合事件響應(yīng)、暗網(wǎng)和開源發(fā)現(xiàn)，我們在

170

多個(gè)國家/地區(qū)實(shí)現(xiàn)了可見性，以揭示全球和地區(qū)趨勢。《2025

年網(wǎng)絡(luò)安全報(bào)告》重點(diǎn)強(qiáng)調(diào)了關(guān)鍵威脅，包括：通過虛假信息影響了全球三分之一選舉的人工智能策略。信息竊取攻擊猛增

58%，主要針對企業(yè)訪問權(quán)限。勒索軟件攻擊從加密轉(zhuǎn)向數(shù)據(jù)竊取勒索，醫(yī)療保健行業(yè)現(xiàn)已成為第二大攻擊目標(biāo)?；旌暇W(wǎng)絡(luò)使得本地和云端之間能夠轉(zhuǎn)換和移動(dòng)。硬件和軟件供應(yīng)鏈遭受的攻擊猛增幅度最大我想強(qiáng)調(diào)

Check

Point

對客戶安全的承諾。在

2024

年，邊緣設(shè)備遭到利用，通過泄露的憑證和漏洞訪問企業(yè)網(wǎng)絡(luò)。眾多被披露的零日漏洞之一出現(xiàn)在

Check

Point

的一款產(chǎn)品中：VPN

信息披露漏洞

(CVE-2024-24919)。我們迅速披露了該漏洞，在一天內(nèi)發(fā)布了補(bǔ)丁，并積極為少數(shù)可能受影響的客戶提供事件響應(yīng)和緩解支持。保護(hù)客戶是我們無可動(dòng)搖的職責(zé)。雖然

Check

Point

旨在通過我們的研究來保護(hù)我們的客戶，但我們也希望這份報(bào)告能夠滿足更廣泛行業(yè)的需求，把我們專業(yè)團(tuán)隊(duì)所獲得的信息和分析分享給您。我代表

CheckPoint大家庭，希望這份報(bào)告能使安全從業(yè)者和

C-level

高管受益匪淺。祝您閱讀愉快！Maya

Horowitz，研究副總裁03 網(wǎng)絡(luò)安全趨勢02 2024

年網(wǎng)絡(luò)安全事件引言0107 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB4 2025年網(wǎng)絡(luò)安全狀況安全事件0

2024

年網(wǎng)絡(luò)22025

年網(wǎng)絡(luò)安全狀況在披露了兩個(gè)零日漏洞后，Ivanti

的

Connect

Secure

VPN面臨大規(guī)模的漏洞利用。數(shù)以千計(jì)的

VPN

設(shè)備遭到入侵，眾多受害者受到了影響，如美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)。CheckPoint

研究院發(fā)現(xiàn)了一個(gè)針對

100

多個(gè)熱門項(xiàng)目持有者的

NFT

騙局。詐騙者發(fā)送看似合法的空投，這些空投鏈接到欺詐性網(wǎng)站。受害者被誘騙并連接到他們的資金賬戶，攻擊者由此就可以竊取受害者的資金。微軟報(bào)告稱遭到了

Midnight

Blizzard

(Nobelium)

組織的攻擊，該組織使用密碼攻擊入侵了公司的電子郵件帳戶，包括高層領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全和法務(wù)人員的帳戶等。HarmonyEndpoint

終端安全防御平臺和威脅萃取方案能夠防范這種威脅（APT.Win.APT29；APT.Wins.Nobelium）HealthEC

LLC

經(jīng)歷了一次數(shù)據(jù)泄露事件，該事件影響了

450萬人，他們的姓名、地址、出生日期、社會(huì)安全號碼、醫(yī)療和賬單信息以及健康保險(xiǎn)數(shù)據(jù)都遭到了泄露。ALPHV勒索軟件團(tuán)伙攻擊了

UnitedHealthGroup（聯(lián)合健康集團(tuán)）的子公司，竊取了

6

太字節(jié)的數(shù)據(jù)。這導(dǎo)致美國在全球的軍事診所和醫(yī)院業(yè)務(wù)中斷，不得不臨時(shí)采用人工處方流程。CheckPoint威脅萃取方案和

HarmonyEndpoint終端安全防御平臺能夠防范這種威脅（Ransomware.Wins.BlackCat.ta.*；Ransomware.Win.BlackCat）一項(xiàng)由人工智能驅(qū)動(dòng)的照片和視頻編輯服務(wù)

Cutout.Pro

經(jīng)歷了一次數(shù)據(jù)泄露事件，致使

2000

萬用戶的個(gè)人數(shù)據(jù)被暴露，包括電子郵件地址、哈希密碼和

IP

地址。某

APT

組織在一場網(wǎng)絡(luò)間諜活動(dòng)中瞄準(zhǔn)了全球

70

個(gè)政府實(shí)體，該活動(dòng)自

2022

年初以來一直活躍，利用的是面向互聯(lián)網(wǎng)的服務(wù)器中的漏洞和魚叉式網(wǎng)絡(luò)釣魚策略。CheckPoint研究院追蹤了受經(jīng)濟(jì)利益驅(qū)動(dòng)的威脅行為者M(jìn)agnetGoblin，它利用了諸如

IvantiConnectSecureVPN、Magento

和

QlikSense等服務(wù)器中的一日漏洞。并部署了新的

Linux版本的

NerbianRAT

和

WARPWIREJavaScript

憑證竊取程序，這同時(shí)也證明該漏洞很容易被威脅攻擊者快速利用。CheckPointIPS

和

HarmonyEndpoint

終端安全防御平臺能夠防范這種威脅

(RAT_Linux_Nerbian_*)谷歌

Chrome

瀏覽器的

V8JavaScript

引擎中已確認(rèn)存在一個(gè)高嚴(yán)重性漏洞

CVE-2024-0517。該漏洞可能允許遠(yuǎn)程攻擊者通過特制的

HTML

頁面進(jìn)行損壞。后來，谷歌修補(bǔ)了該漏洞。CheckPointHarmonyIPS能夠防范這種威脅（谷歌Chrome越界寫入

(CVE-2024-0517)）CheckPoint研究院發(fā)現(xiàn)了微軟

Outlook中的一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行

(RCE)漏洞，被稱為

#MonikerLink

(CVE-2024-21413)。#MonikerLink允許遠(yuǎn)程攻擊者部署一個(gè)繞過受保護(hù)視圖協(xié)議的鏈接，這有可能導(dǎo)致憑證泄露和

RCE

能力。后來，微軟修補(bǔ)了該漏洞。CheckPointIPS刀片能夠防范這種威脅（MicrosoftOutlook

惡意

MonikerLink

遠(yuǎn)程代碼執(zhí)行

(CVE-2024-21413)）美國司法部破壞了APTVolt

Typhoon

在針對美國關(guān)鍵基礎(chǔ)設(shè)施時(shí)用來掩蓋身份的

KB

僵尸網(wǎng)絡(luò)。該組織利用易受攻擊的、沒有維保和技術(shù)支持的思科和

SOHO

設(shè)備來獲取初始訪問權(quán)限。作為回應(yīng)，CISA

和

FBI

為供應(yīng)商發(fā)布了關(guān)于保障

SOHO路由器安全的指南。Check

Point

威脅萃取方案能夠防范這種威脅（APT.Wins.VoltTyphoon；InfoStealer.Wins.VoltTyphoon）定義

2024

年的網(wǎng)絡(luò)安全事件二月三月一月第一季度03

網(wǎng)絡(luò)安全趨勢2024

年網(wǎng)絡(luò)安全事件0201

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB62025

年網(wǎng)絡(luò)安全狀況

CheckPoint

的研究人員檢測到了一場域名仿冒活動(dòng)，該活動(dòng)由部署在

PyPI（Python

包索引）上的

500

多個(gè)惡意軟件包組成，存在

PII盜取惡意軟件安裝的風(fēng)險(xiǎn)。CheckPointCloudGuard

CodeSecurity

能夠防范這種威脅。黑客活動(dòng)組織

RGB-TEAM在

Telegram

上泄露了近十年的

10萬份犯罪記錄。數(shù)據(jù)包括盜竊和販毒等犯罪的詳細(xì)信息。AT&T發(fā)生數(shù)據(jù)泄露事件，約

5100

萬名前任和現(xiàn)任客戶的個(gè)人信息被曝光，可能包括全名、家庭住址、電子郵件地址、電話號碼、社會(huì)安全號碼、AT&T

帳戶號碼和

AT&T

密碼。CheckPoint

研究院報(bào)告稱，出現(xiàn)了一波詐騙攻擊浪潮，攻擊者使用各種方法，包括惡意二維碼和釣魚郵件，獲取美國納稅人的憑證以竊取美國國稅局的退稅。美國和英國宣布對黑客組織

APT31提起刑事訴訟并實(shí)施制裁，因其涉嫌對美英政府官員發(fā)動(dòng)攻擊。Check

Point

研究院探討了該組織對零日漏洞的利用。五月六月四月第二季度Check

Point研究院發(fā)現(xiàn)了一場網(wǎng)絡(luò)間諜活動(dòng)，其目標(biāo)是非洲和加勒比地區(qū)的政府組織。該活動(dòng)歸因于威脅行為者采用CobaltStrikeBeacon作為有效載荷，實(shí)現(xiàn)了諸如

C2

通信和命令執(zhí)行等后門功能，同時(shí)最大限度地減少了其自定義工具的暴露。這種方法表明他們對目標(biāo)有更深入的了解。捷克共和國、德國和北約披露了一場針對捷克機(jī)構(gòu)的間諜活動(dòng)，該活動(dòng)通過微軟

Outlook

的一個(gè)漏洞進(jìn)行，此漏洞歸因于APT28組織，該組織一直在歐洲進(jìn)行長期的間諜活動(dòng)。戴爾發(fā)生數(shù)據(jù)泄露事件，影響了

4900

萬客戶，此前其數(shù)據(jù)庫被列在一個(gè)黑客論壇上。被曝光的數(shù)據(jù)包括全名、家庭住址和訂單詳情。

一次數(shù)據(jù)泄露事件曝光了來自印度的

500GB

生物識別數(shù)據(jù)，在選舉期間影響了警察、軍人和公職人員。此次泄露涉及ThoughtGreen

Technologies

和

Timing

Technologies

未受保護(hù)的數(shù)據(jù)庫，包括指紋和面部掃描數(shù)據(jù)。這些信息可能被用于操縱印度選舉中的生物識別系統(tǒng)。臭名昭著的網(wǎng)絡(luò)犯罪團(tuán)伙

ShinyHunters在一個(gè)網(wǎng)絡(luò)犯罪論壇上出售來自

Ticketmaster

和桑坦德銀行的數(shù)據(jù)。此次數(shù)據(jù)泄露可能導(dǎo)致數(shù)百萬客戶的個(gè)人信息被曝光。有報(bào)告指出，該威脅行為者通過使用大型云存儲公司

Snowflake

一名員工被盜的憑證，獲取了

Ticketmaster

和桑坦德銀行的訪問權(quán)限。日本加密貨幣交易所

DMMBitcoin證實(shí)發(fā)生了數(shù)據(jù)泄露事件，導(dǎo)致價(jià)值

3.08

億美元的

BTC損失，這是最大的加密貨幣盜竊案之一。Water

Sigbin8220

團(tuán)伙利用了

OracleWebLogic中的漏洞（CVE-2017-3506

和

CVE-2023-21839），使用具有十六進(jìn)制

URL

編碼和無文件執(zhí)行技術(shù)的

PowerShell

腳本部署了加密貨幣挖礦惡意軟件。CheckPoint

IPS能夠防范這種威脅（Oracle

WebLogicWLS

安全組件遠(yuǎn)程代碼執(zhí)行

(CVE-2017-10271)、OracleWebLogic服務(wù)器不當(dāng)訪問控制

(CVE-2023-21839)）CheckPoint

研究院分析了

Rafel

RAT，這是一種用于對安卓設(shè)備進(jìn)行間諜活動(dòng)和勒索軟件攻擊的開源遠(yuǎn)程管理工具。該惡意軟件針對知名組織，尤其是軍事領(lǐng)域，受害者主要來自美國、中國和印度尼西亞。它能夠?qū)崿F(xiàn)數(shù)據(jù)竊取、監(jiān)控和對設(shè)備的完全控制，導(dǎo)致了嚴(yán)重的隱私和安全漏洞攻擊。CheckPoint的

HarmonyMobile能夠防范這種威脅。定義

2024

年的網(wǎng)絡(luò)安全事件03

網(wǎng)絡(luò)安全趨勢2024

年網(wǎng)絡(luò)安全事件0201

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB72025

年網(wǎng)絡(luò)安全狀況CheckPoint研究院發(fā)現(xiàn)，超過

2萬個(gè)

Ubiquiti

攝像頭和路由器存在漏洞

(CVE-2017-0938)，容易受到放大攻擊和隱私風(fēng)險(xiǎn)的影響，原因是暴露的

UDP

端口

10001

和

7004。這些端口允許未經(jīng)授權(quán)訪問設(shè)備信息，可能會(huì)被用于技術(shù)和社會(huì)工程攻擊。CheckPoint

研究院指出，服務(wù)器端模板注入

(SSTI)

漏洞有所增加，這些漏洞使攻擊者能夠執(zhí)行命令并訪問敏感數(shù)據(jù)。顯著的案例包括

AtlassianConfluence

和

CrushFTP。這些漏洞帶來了重大風(fēng)險(xiǎn)，如數(shù)據(jù)竊取和信譽(yù)損害，反映在關(guān)鍵

CVE

的增加上CheckPointIPS能夠防范這種威脅（Python

服務(wù)器端模板注入、Java服務(wù)器端模板注入、PHP

服務(wù)器端模板注入、Ruby

服務(wù)器端模板注入、Node.js

服務(wù)器端模板注入、表達(dá)式語言服務(wù)器端模板注入）在

7月某國總統(tǒng)選舉之后，Check

Point研究院顯示，該國政府有關(guān)的選舉舞弊指控，黑客活動(dòng)組織“Cyber

Hunters”對政府發(fā)起了

DDoS

攻擊和黑客攻擊嘗試。HarmonyEndpoint終端安全防御平臺和威脅萃取方案能夠防范這種威脅

(InfoStealer.Wins.PhemedroneStealer.*)Check

Point

研究院發(fā)現(xiàn)了“Stargazers

Ghost

Network”，它由

3000

個(gè)

GitHub

存儲庫組成，通過使用“分發(fā)即服務(wù)”(DaaS)模式的網(wǎng)絡(luò)釣魚計(jì)劃來分發(fā)惡意軟件和惡意鏈接。該網(wǎng)絡(luò)共享了各種類型的惡意軟件，如

AtlantidaStealer和RedLine，并已獲得了巨額利潤。Check

PointHarmonyEndpoint終端安全防御平臺和威脅萃取方案能夠防范這種威脅（InfoStealer.Win.Atlantida.*、Trojan.WIN32.AtlantidaStealer*、InfoStealer.Wins.Lumma.ta*、InfoStealer.Win.Lumma*、Injector.Win.RunPE.C、Loader.Wins.GoBitLoader.A、Trojan.Wins.Imphash.taim.LV、InfoStealer.Wins.Redline.ta.BY）RockYou2024

是一次涉及近

100

億個(gè)明文密碼的泄露事件，這些密碼來自多次數(shù)據(jù)泄露，引起了憑證填充和暴力破解攻擊的重大風(fēng)險(xiǎn)，可能會(huì)影響到各種在線帳戶和服務(wù)。在一次勒索軟件攻擊中，Rite

Aid

的

4500

萬條記錄被盜，據(jù)稱其中包括客戶的身份信息和

Rite

Aid

獎(jiǎng)勵(lì)號。RansomHub勒索軟件組織聲稱對此負(fù)責(zé)，并威脅要泄露被盜數(shù)據(jù)。CheckPoint威脅萃取方案和

HarmonyEndpoint終端安全防御平臺能夠防范這種威脅（Ransomware.Win.RansomHub；Ransomware.Wins.RansomHub.ta.*）位置安全應(yīng)用程序

Life360

和項(xiàng)目管理工具

Trello

因

API

漏洞遭遇數(shù)據(jù)泄露。Life360

的

442,519

名客戶的個(gè)人信息被曝光，而

Trello

有

21.1GB

的數(shù)據(jù)被泄露。威脅行為者“emo”聲稱對此負(fù)責(zé)，并在暗網(wǎng)上分享了被盜數(shù)據(jù)。八月九月七月第三季度勒索軟件組織

RansomHub

從

Planned

Parenthood（計(jì)劃生育協(xié)會(huì)）的蒙大拿分部竊取了

93GB

的敏感數(shù)據(jù)，主要影響了該組織的行政

IT

系統(tǒng)。CheckPoint威脅萃取方案和

HarmonyEndpoint終端安全防御平臺能夠防范這種威脅（Ransomware.Win.RansomHub；Ransomware.Wins.RansomHub.ta.*）Check

Point

研究院發(fā)現(xiàn)了一個(gè)網(wǎng)絡(luò)活動(dòng)，使用惡意軟件

Veaty和

Spearal

攻擊某國政府網(wǎng)絡(luò)。其技術(shù)包括被動(dòng)式

IIS

后門、DNS

隧道以及通過被入侵的電子郵件進(jìn)行

C2

通信，這表明與APT34

組織有關(guān)聯(lián)。該活動(dòng)可能利用社會(huì)工程學(xué)進(jìn)行初始感染，并擁有復(fù)雜的

C2

基礎(chǔ)設(shè)施。CheckPoint威脅萃取方案和

HarmonyEndpoint

終端安全防御平臺能夠防范這種威脅（APT.Wins.Oilrig.ta.B/C/D/E、APT.Win.OilRig.F、APT.Win.OilRig.WA.G、APT.Win.OilRig.H）FBI、CISA

以及

NSA

報(bào)告稱，GRU

29155

部隊(duì)進(jìn)行了網(wǎng)站篡改、數(shù)據(jù)竊取和

WhisperGate惡意軟件攻擊，擾亂了援助工作。他們還在全球范圍內(nèi)針對政府、金融、交通、能源和醫(yī)療保健等部門。CheckPoint威脅萃取方案和

HarmonyEndpoint

終端安全防御平臺能夠防范這種威脅（Trojan.Win.WhisperGate；Trojan.Wins.WhisperGate.ta.*；Trojan.Wins.WhisperGate）ChatGPT

的

macOS

應(yīng)用程序中存在一個(gè)漏洞，使攻擊者能夠通過間接的提示將持久性間諜軟件

SpAIware

植入該應(yīng)用程序的內(nèi)存中，從而能夠持續(xù)竊取用戶輸入和聊天會(huì)話的數(shù)據(jù)。后來，OpenAI

解決了這個(gè)問題。定義

2024

年的網(wǎng)絡(luò)安全事件03

網(wǎng)絡(luò)安全趨勢2024

年網(wǎng)絡(luò)安全事件0201

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB82025

年網(wǎng)絡(luò)安全狀況FBI、美國財(cái)政部以及以色列國家網(wǎng)絡(luò)安全局

(INCD)

發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全公告，指稱網(wǎng)絡(luò)組織

Emennet

Pasargad

發(fā)起了一場大規(guī)模冒充

INCD

并針對以色列組織的網(wǎng)絡(luò)釣魚活動(dòng)。CheckPoint

研究院分析了該惡意軟件，追蹤了其演變和學(xué)習(xí)過程。CheckPoint威脅萃取方案和

HarmonyEndpoint終端安全防御平臺能夠防范這種威脅（Behavioral.Win.FakeChrome.B和

Trojan.Wins.FakeUpdater.A）CheckPoint

研究院監(jiān)測到了一場大規(guī)模的網(wǎng)絡(luò)釣魚活動(dòng)，被稱為“CopyRh(ight)adamantys”，它使用了最新版本的Rhadamanthys

竊取程序（0.7版）。這場網(wǎng)絡(luò)釣魚活動(dòng)以版權(quán)為主題，冒充不同的公司，針對美國、歐洲、東亞和南美洲等地區(qū)，根據(jù)不同的

Gmail帳戶為每封電子郵件量身定制內(nèi)容。CheckPoint威脅萃取方案和

HarmonyEndpoint終端安全防御平臺能夠防范這種威脅（InfoStealer.Wins.Rhadamanthys.ta.V、InfoStealer.Wins.Rhadamanthys.*和

InfoStealer.Wins.Rhadamanthys.*）CheckPoint

研究院追蹤了“WIRTE

威脅”行為者，并且在2024

年已擴(kuò)展到與針對以色列實(shí)體的

SameCoin

惡意軟件相關(guān)的破壞性攻擊。CheckPoint威脅萃取方案和

HarmonyEndpoint終端安全防御平臺能夠防范這種威脅（APT.Wins.Wirte.ta.A/B/C/D/E/F、ransom.win.honey

以及

infoastealer.win.blackguard.d）CheckPoint研究院分析了“Operation

MiddleFloor”，這是一場在

2024

年

10

月選舉前針對摩爾多瓦政府和教育部門的虛假信息活動(dòng)?！癓ying

Pigeon”組織使用偽造的電子郵件來傳播有關(guān)歐盟成員國身份的虛假信息，同時(shí)收集數(shù)據(jù)以發(fā)動(dòng)潛在的惡意軟件攻擊。一個(gè)名為

Mamba

2FA

的新的釣魚即服務(wù)平臺瞄準(zhǔn)了中間人釣魚攻擊。它模仿

Microsoft

365

的登錄頁面，繞過多因素身份驗(yàn)證，竊取通過

Telegram

機(jī)器人發(fā)送給攻擊者的憑證和Cookie。FBI和

CISA

正在調(diào)查與“Salt

Typhoon”組織對美國電信公司（包括

AT&T、Verizon

和

Lumen

Technologies）的入侵事件。這些攻擊的目標(biāo)是當(dāng)選總統(tǒng)特朗普、前副總統(tǒng)哈里斯和其他知名政客的竊聽系統(tǒng)和設(shè)備。十一月十二月十月第四季度CheckPoint研究院發(fā)現(xiàn)了

GodotEngine（一個(gè)游戲開發(fā)平臺）的一種新的漏洞利用，該漏洞可執(zhí)行惡意的

GDScript

代碼。該技術(shù)使攻擊者能夠在

Windows、macOS、Linux、Android

和

iOS

等平臺上傳播惡意軟件，同時(shí)避開大多數(shù)防病毒解決方案的檢測。惡意加載程序“GodLoader”使用了這種技術(shù)，并且已經(jīng)感染了超過

17,000

臺機(jī)器。CheckPointHarmonyEndpoint

終端安全防御平臺和威脅萃取方案可以提供強(qiáng)大的防御和保護(hù)（Technique.win.GDscript.*、Dropper.Win.Godot.*）CheckPoint研究院分析了

Akira勒索軟件的最新變種，它由Rust

語言編寫，在

2024

年初的攻擊目標(biāo)主要是針對

ESXi

裸金屬虛擬機(jī)管理程序服務(wù)器。該報(bào)告展示了如何使用

Rust

的習(xí)慣用法、樣板代碼和編譯器策略來創(chuàng)建復(fù)雜的勒索軟件。CheckPoint

HarmonyEndpoint終端安全防御平臺和威脅萃取方案為抵御這種威脅提供保護(hù)（Ransomware_Linux_Akira_C/D、Ransomware.Wins.Akira.G/H）定義

2024

年的網(wǎng)絡(luò)安全事件03

網(wǎng)絡(luò)安全趨勢2024

年網(wǎng)絡(luò)安全事件0201

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB92025

年網(wǎng)絡(luò)安全狀況0

網(wǎng)絡(luò)安全3趨勢2025

年網(wǎng)絡(luò)安全狀況虛假信息與影響力行動(dòng)2024

年，在人工智能和大型語言模型

(LLM)

融合的推動(dòng)下，虛假信息宣傳活動(dòng)的復(fù)雜程度達(dá)到了新的高度。這些活動(dòng)聚焦于全球事件，許多國家被指控使用先進(jìn)策略來操縱公眾輿論、破壞信任并干擾選舉，以破壞民主進(jìn)程的穩(wěn)定。根據(jù)

Check

Point

研究院的發(fā)現(xiàn)，在

2023

年

9

月至

2024

年

2月期間全球舉行的選舉中，至少有三分之一使用了人工智能，要么是候選人自己使用，要么可能是外國勢力使用。比如組織使用了深度偽造包含政治人物形象的偽造新聞片段。這些內(nèi)容通過

X（原名

Twitter）和

Facebook

進(jìn)行傳播，利用平臺算法針對特定的選民群體。人工智能生成的機(jī)器人進(jìn)一步傳播分裂性的敘述，偽裝成真實(shí)的意見文章來分化選民。網(wǎng)絡(luò)攻擊活動(dòng)還通過“黑客攻擊和泄露”行動(dòng)攻擊知名政治人物，將目標(biāo)對準(zhǔn)了美國總統(tǒng)選舉。記者、活動(dòng)家和說客也成為了社會(huì)工程、冒充、網(wǎng)絡(luò)釣魚和憑證收集惡意軟件的攻擊目標(biāo)。這些行動(dòng)展示了將虛假信息與網(wǎng)絡(luò)滲透相結(jié)合以影響公眾看法的能力。與此同時(shí)，人工智能生成的深度偽造視頻，描繪虛假的背書和誤導(dǎo)性的公共服務(wù)公告。這些視頻在

X

和

TikTok

等平臺上廣泛傳播，旨在詆毀候選人并加深黨派分歧。此外，帶有歪曲的民意調(diào)查問題的熱門帖子似乎顯示了對某些候選人的支持或捏造的欺詐證據(jù)，破壞了對選舉過程的信任。除了備受矚目的美國總統(tǒng)選舉外，羅馬尼亞的總統(tǒng)選舉以及摩爾多瓦的歐盟公投也成為網(wǎng)絡(luò)驅(qū)動(dòng)的虛假信息戰(zhàn)的主要目標(biāo)。攻擊者使用人工智能生成的文章和社交媒體帖子來模仿合法的新聞來源，詆毀候選人，左右公眾輿論。描繪候選人發(fā)表有爭網(wǎng)絡(luò)戰(zhàn)爭

2024

版全球社會(huì)長期以來一直在猜測，毀滅性的戰(zhàn)爭將在網(wǎng)絡(luò)空間展開，各個(gè)國家將部署能夠在一次決定性打擊中使關(guān)鍵基礎(chǔ)設(shè)施癱瘓的數(shù)字末日武器。然而，盡管網(wǎng)絡(luò)活動(dòng)以前所未有的速度升級，但這樣的末日事件尚未發(fā)生。無論是由于能力有限、對相互毀滅的恐懼，還是不愿意引發(fā)不可逆轉(zhuǎn)的混亂，網(wǎng)絡(luò)戰(zhàn)爭的性質(zhì)走上了一條不同的道路。各國已將重點(diǎn)轉(zhuǎn)向破壞公眾信任、利用社會(huì)裂痕以及從內(nèi)部破壞機(jī)構(gòu)穩(wěn)定的沖突。活動(dòng)包括在社交媒體上操縱信息，這些網(wǎng)絡(luò)攻擊受國家支持，但“黑客活動(dòng)分子”團(tuán)體聲稱為此負(fù)責(zé)，并且對受感染網(wǎng)絡(luò)和安全措施薄弱設(shè)備的秘密訪問威脅持續(xù)存在。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB112025

年網(wǎng)絡(luò)安全狀況同樣，WIRTE

組織展示了其不斷發(fā)展的網(wǎng)絡(luò)能力，通過使用SameCoin

擦除變體攻擊以色列的醫(yī)院和市政當(dāng)局，加劇了持續(xù)沖突帶來的心理和后勤損失。在東歐，出現(xiàn)將破壞性惡意軟件武器化的現(xiàn)象，這種惡意軟件不僅旨在摧毀系統(tǒng)，還能更深入地嵌入環(huán)境中，竊取敏感的軍事計(jì)劃并切斷重要的通信渠道。這些行動(dòng)突顯了惡意軟件被利用并作為其地緣沖突中的重要支持機(jī)制。破壞準(zhǔn)備

–

可能的“紅色按鈕”雖然一些國家采取了影響巨大的一次性攻擊，但其它國家則采取了較為低調(diào)的方式。他們滲透到關(guān)鍵系統(tǒng)的深處，為未來潛在的大規(guī)模破壞奠定基礎(chǔ)。有些行為者專注于滲透關(guān)鍵基礎(chǔ)設(shè)施，并在其中持續(xù)保持隱蔽性。利用諸如路由器、VPN

設(shè)備和物聯(lián)網(wǎng)系統(tǒng)等邊緣設(shè)備中的漏洞，對安全性較低的網(wǎng)絡(luò)組件的議言論的深度偽造視頻廣泛傳播，而具有誤導(dǎo)性的民意調(diào)查問題表明對特定候選人的支持下降。虛假的社交媒體帳戶被利用并被操縱內(nèi)容以進(jìn)行干預(yù)，推動(dòng)極右翼候選人當(dāng)選。在其意外贏得第一輪選舉后，解密的情報(bào)揭示了外國干預(yù)的程度，促使前所未有的選舉結(jié)果被廢除并安排新的投票。在另一個(gè)國家，一場名為“Operation

MiddleFloor”的活動(dòng)針對政府和教育部門，使用偽造的電子郵件和文件來傳播反歐盟的敘述，并破壞對親歐領(lǐng)導(dǎo)層的信任。巴黎奧運(yùn)會(huì)成為虛假信息的另一個(gè)重點(diǎn)關(guān)注對象。Storm-1679組織傳播了有關(guān)腐敗、裁判不公和暴力威脅的虛假敘述。自動(dòng)化帳戶和機(jī)器人放大了這些言論，以抹黑該賽事。更具攻擊性的是，“Emennet

Pasargad”組織利用了奧運(yùn)會(huì)顯示系統(tǒng)供應(yīng)商的漏洞來干擾廣播，并以虛假身份向運(yùn)動(dòng)員發(fā)出威脅。這些對民主國家和北約等西方政治聯(lián)盟的攻擊變得愈發(fā)有效和危險(xiǎn)，因?yàn)槊裰鲊颐媾R著日益增長的挑戰(zhàn)。網(wǎng)絡(luò)文化戰(zhàn)爭、社交媒體助長的民粹主義以及利用先進(jìn)算法定制有利內(nèi)容的政治化媒體平臺，為外國勢力破壞公眾信任創(chuàng)造了肥沃的土壤。與特定國家的宣傳一致或支持其宣傳的內(nèi)容的傳播已經(jīng)扎根，加深了社會(huì)分裂。許多國家已經(jīng)通過加強(qiáng)監(jiān)管并將虛假信息視為對關(guān)鍵基礎(chǔ)設(shè)施的威脅來做出回應(yīng)。美國國土安全部強(qiáng)調(diào)選舉干預(yù)是一種威脅，而加拿大擴(kuò)大了

CSIS

法案以促進(jìn)更好的情報(bào)共享。歐盟對

Meta

等平臺實(shí)施了嚴(yán)格的規(guī)定以遏制虛假信息。OpenAI

和微軟正在關(guān)停與多國的帳戶。破壞性和干擾性惡意軟件各國越來越依賴破壞性惡意軟件作為網(wǎng)絡(luò)戰(zhàn)中的重要武器。這些以擦除惡意軟件和其它破壞性工具為特征的“高調(diào)”行動(dòng)，以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)，擾亂其基本服務(wù)并制造混亂。在中東局勢日益緊張的情況下，地區(qū)威脅組織展示了擦除惡意軟件的破壞性潛力。多個(gè)黑客活動(dòng)分子身份為幌子部署了惡意軟件，針對國家的關(guān)鍵基礎(chǔ)設(shè)施和私營組織，擦除數(shù)據(jù)并擾亂服務(wù)。隱蔽階段公開階段數(shù)據(jù)竊取數(shù)據(jù)泄露破壞活動(dòng)黑客活動(dòng)分子實(shí)體初始訪問圖

1

–

典型的作戰(zhàn)行動(dòng)策略。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言2025

年行業(yè)預(yù)測CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB122025

年網(wǎng)絡(luò)安全狀況2024

年，黑客活動(dòng)突顯了網(wǎng)絡(luò)空間中聯(lián)盟和影響力不斷變化的動(dòng)態(tài)，反映了東西方之間的地緣政治緊張局勢。像“HolyLeague”這些聯(lián)盟往往反映了現(xiàn)實(shí)世界的發(fā)展。

這些團(tuán)體通過反復(fù)聲明合作來強(qiáng)調(diào)他們的統(tǒng)一戰(zhàn)線，試圖在日益復(fù)雜的現(xiàn)代網(wǎng)絡(luò)沖突格局中持續(xù)吸引關(guān)注、增強(qiáng)其心理影響并擴(kuò)大全球影響力。這樣的組織進(jìn)行了網(wǎng)站篡改活動(dòng)、黑客入侵和數(shù)據(jù)泄露操作以及破壞活動(dòng)，并聲稱對入侵以色列網(wǎng)絡(luò)和竊取數(shù)太字節(jié)的敏感數(shù)據(jù)負(fù)責(zé)。

Karma

針對以色列組織部署了諸如

BiBi

和

NoJustice

擦除器這樣的破壞性工具。

Cyber

Avengers

瞄準(zhǔn)了包括以色列、美國和愛爾蘭的電網(wǎng)和供水系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施?！癏omeland

Justice”組織也攻擊了阿爾巴尼亞的政府機(jī)構(gòu)，以報(bào)復(fù)其收留反對派組織“Mujahedin-e-Khalq”(MEK)。這些活動(dòng)突顯了組織將黑客活動(dòng)與網(wǎng)絡(luò)戰(zhàn)相結(jié)合的特征。同樣，其它的攻擊行為者也體現(xiàn)了相似的策略，比如有些組織將目標(biāo)對準(zhǔn)對立的國家的關(guān)鍵基礎(chǔ)設(shè)施，主要進(jìn)行分布式拒絕服務(wù)

(DDoS)

攻擊和其它操縱活動(dòng)，擾亂了對立國家的政府及私營部門的運(yùn)作。除了個(gè)人力量外，黑客活動(dòng)分子還通過結(jié)盟來擴(kuò)大影響力。這些組織的顯著特征和活動(dòng)包括針對國際上大型活動(dòng)的協(xié)調(diào)式DDoS

攻擊和宣傳活動(dòng)。試圖將網(wǎng)絡(luò)攻擊與心理操縱相結(jié)合以影響公眾輿論。未授權(quán)訪問權(quán)限，使他們能夠收集情報(bào)并建立潛在的“紅色按鈕”能力

—

這種訪問權(quán)限可用于未來的大規(guī)模破壞。這種戰(zhàn)略定位在美國目標(biāo)中尤為明顯。有些組織便展現(xiàn)了這種方法，重點(diǎn)加強(qiáng)利用美國關(guān)鍵基礎(chǔ)設(shè)施中的防火墻和路由器。利用“借地生存”(LOTL)

技術(shù)，依靠受感染環(huán)境中的合法管理工具來躲避檢測。能夠繞過傳統(tǒng)的網(wǎng)絡(luò)安全措施并保持隱蔽，為未來的行動(dòng)做好準(zhǔn)備。“Salt

Typhoon”瞄準(zhǔn)了包括

AT&T

和

Verizon

在內(nèi)的主要互聯(lián)網(wǎng)服務(wù)提供商

(ISP)，利用漏洞攔截和操縱網(wǎng)絡(luò)流量?！昂诳突顒?dòng)分子”團(tuán)體去年，隨著各國依靠龐大的網(wǎng)絡(luò)人物網(wǎng)絡(luò)來服務(wù)其地緣政治議程，國家支持的網(wǎng)絡(luò)戰(zhàn)的模糊邊界變得越來越明顯。這些人物中的許多人，自稱是出于意識形態(tài)動(dòng)機(jī)的獨(dú)立黑客活動(dòng)分子，其實(shí)是國家贊助的幌子。通過放大分裂性的敘述并針對公眾信任，黑客活動(dòng)組織成為更廣泛的影響力行動(dòng)的關(guān)鍵組成部分，使他們的贊助者能夠掩蓋其直接參與，同時(shí)利用愛國言論來擴(kuò)大其影響。在公眾興趣下降和日益疲勞的背景下，2024

年出現(xiàn)了一個(gè)顯著的趨勢：聯(lián)盟的形成，不同的團(tuán)體在共同的旗幟下聯(lián)合起來，形成一個(gè)更強(qiáng)大、更有凝聚力的陣線。在個(gè)體方面，黑客活動(dòng)組織也加強(qiáng)了他們的活動(dòng)，主要針對以色列和阿爾巴尼亞的目標(biāo)。像

MalekTeam

和

Handala

Hack圖

2

–

關(guān)于創(chuàng)建“Holy

League”的電報(bào)帖子。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言04

全球分析05

備受矚目的漏洞事件響應(yīng)視角2025

年行業(yè)預(yù)測CISO

建議網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB132025

年網(wǎng)絡(luò)安全狀況網(wǎng)絡(luò)驅(qū)動(dòng)的金融戰(zhàn)其它國家還在部署黑客活動(dòng)分子進(jìn)行干擾和破壞穩(wěn)定，而有些國家的網(wǎng)絡(luò)行動(dòng)超越了激進(jìn)主義的偽裝。比如精心策劃的一個(gè)龐大且相互關(guān)聯(lián)的網(wǎng)絡(luò)行動(dòng)機(jī)構(gòu)，將金融犯罪與間諜活動(dòng)相結(jié)合，以在國際制裁的重壓下幫助維持其陷入困境的政權(quán)。一些國家的“金融戰(zhàn)”還可以視為是一種微妙的平衡行為：勒索軟件和加密貨幣盜竊為國家計(jì)劃提供資金，而間諜活動(dòng)則收集情報(bào)以增強(qiáng)軍事和技術(shù)能力。“Lazarus

Group”作為網(wǎng)絡(luò)犯罪核心機(jī)構(gòu)的典型代表，在2024

年以其特有的老練手法帶頭開展行動(dòng)。一次行動(dòng)偽裝成一個(gè)以坦克為主題的加密貨幣游戲，利用谷歌

Chrome

的零日漏洞部署了

Manuscrypt

后門程序。其目標(biāo)不僅是竊取加密貨幣，還增加了間諜活動(dòng)的元素。今天竊取的錢包可能為明天竊取的軍事藍(lán)圖提供資金。像

BlueNoroff

這樣的子團(tuán)體進(jìn)一步完善了這種方法。他們的“隱藏風(fēng)險(xiǎn)”活動(dòng)通過令人信以為真的釣魚郵件和旨在操縱交易并將資金吸入政權(quán)金庫的假新聞網(wǎng)站來引誘加密貨幣交易者。這也展示了如何將虛假信息部署策略利用于網(wǎng)絡(luò)犯罪。還有些組織模糊了金融盜竊和破壞之間的界限，瞄準(zhǔn)美國的醫(yī)療保健組織，使用以網(wǎng)絡(luò)犯罪為導(dǎo)向的“Play”勒索軟件對關(guān)鍵系統(tǒng)進(jìn)行加密，以勒索加密貨幣付款。這些行動(dòng)不僅是為了即時(shí)的經(jīng)濟(jì)收益，還充當(dāng)了在地緣政治危機(jī)中破壞重要部門策略的試驗(yàn)場。甚至就業(yè)領(lǐng)域也變成了戰(zhàn)場。2024

年，西方公司在不知情的情況下接納了偽裝成遠(yuǎn)程

IT

自由職業(yè)者的特工。特工通過滲透以虛假身份進(jìn)入公司環(huán)境，這些特工實(shí)現(xiàn)了雙重目的：為政權(quán)創(chuàng)造硬通貨，并伺機(jī)訪問敏感的組織網(wǎng)絡(luò)。從預(yù)測的災(zāi)難性打擊到持續(xù)的戰(zhàn)斗以廣泛的視角縱觀今年，網(wǎng)絡(luò)戰(zhàn)已表現(xiàn)為在多個(gè)領(lǐng)域中分割的持續(xù)的小規(guī)模戰(zhàn)斗，而非旨在一舉擊垮國家的災(zāi)難性的打擊。這些沖突很少有明確的贏家或輸家，但大多成功地侵蝕了信任，削弱了機(jī)構(gòu)，并模糊了國家和民間領(lǐng)域之間的界限。ELI

SMADJA安全研究小組經(jīng)理如今的網(wǎng)絡(luò)戰(zhàn)已經(jīng)從即時(shí)的破壞演變?yōu)榘榍治g系統(tǒng)（無論是社會(huì)系統(tǒng)還是物理系統(tǒng)）奠定基礎(chǔ)的持續(xù)性的行動(dòng)?，F(xiàn)在，各國揮舞著諸如人工智能生成的深度偽造和社交媒體操縱等網(wǎng)絡(luò)“武器”，同時(shí)其秘密行動(dòng)確保能夠訪問關(guān)鍵基礎(chǔ)設(shè)施，為未來的攻擊做好準(zhǔn)備。影響力行動(dòng)成為關(guān)鍵戰(zhàn)線，由人工智能驅(qū)動(dòng)的虛假信息活動(dòng)瞄準(zhǔn)了選舉、社會(huì)凝聚力和地緣政治穩(wěn)定。同時(shí)，破壞性惡意軟件、黑客活動(dòng)前沿組織以及金融網(wǎng)絡(luò)犯罪成為一些國家進(jìn)行脅迫、破壞穩(wěn)定和自我維持的工具。雖然民主國家試圖通過收緊法規(guī)和投資網(wǎng)絡(luò)防御來適應(yīng)，但他們腳下的網(wǎng)絡(luò)戰(zhàn)場已經(jīng)發(fā)生了變化。網(wǎng)絡(luò)戰(zhàn)不再局限于數(shù)字基礎(chǔ)設(shè)施，而是已經(jīng)滲透到社會(huì)結(jié)構(gòu)中。關(guān)于信息和認(rèn)知的戰(zhàn)斗有可能比曾經(jīng)預(yù)期的物理系統(tǒng)攻擊持續(xù)時(shí)間更久。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言04

全球分析備受矚目的漏洞事件響應(yīng)視角2025

年行業(yè)預(yù)測CISO

建議網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB142025

年網(wǎng)絡(luò)安全狀況2024年的勒索軟件生態(tài)系統(tǒng)：執(zhí)法行動(dòng)的影響、針對醫(yī)療保健領(lǐng)域以及數(shù)據(jù)泄露勒索的興起2024

年，勒索軟件仍然是全球企業(yè)面臨的最重大網(wǎng)絡(luò)威脅，其規(guī)模和影響都達(dá)到了新的高度。鮮為人知的勒索軟件組織“Dark

Angels”據(jù)報(bào)道獲得了一家未具名的《財(cái)富》50

強(qiáng)公司高達(dá)

7500萬美元的贖金支付，而

ALPHV則從

Change

Healthcare

那里勒索到

2200

萬美元。在

Change

Healthcare

這起案件中，勒索軟件攻擊導(dǎo)致服務(wù)中斷數(shù)月，超過

1

億名患者的醫(yī)療記錄被盜。Change

Healthcare

的母公司UnitedHealth

報(bào)告稱

2024

年第一季度受到了高達(dá)

8.72

億美元的影響。這包括

5.93

億美元的直接應(yīng)對成本和

2.79

億美元的業(yè)務(wù)中斷損失。此外，該公司還撥出

8億美元用于未來的索賠儲備。盡管有此增長，但

2024

年的贖金支付中位數(shù)仍約為

20

萬美元，大多數(shù)攻擊都在悄然進(jìn)行，很少引起公眾關(guān)注。除了備受矚目的案例外，今年的威脅形勢從根本上發(fā)生了變化。持續(xù)的執(zhí)法壓力和罪犯之間的糾紛導(dǎo)致

LockBit（多年來在勒索軟件領(lǐng)域占主導(dǎo)地位的一方）及其主要競爭對手

ALPHV垮臺。它們的退出為新的威脅組織

RansomHub

的壯大鋪平了道路。此外，曾經(jīng)被認(rèn)為較少成為目標(biāo)的醫(yī)療保健部門，成為了網(wǎng)絡(luò)犯罪分子的主要關(guān)注點(diǎn)。最后，威脅行為者愈發(fā)從傳統(tǒng)的基于加密的策略轉(zhuǎn)向單純的數(shù)據(jù)勒索，這標(biāo)志著其犯罪手段更加精簡和危險(xiǎn)。執(zhí)法行動(dòng)及其對勒索軟件生態(tài)系統(tǒng)的影響雖然網(wǎng)絡(luò)安全措施提供了保護(hù)，但它們不足以應(yīng)對已成為企業(yè)首要網(wǎng)絡(luò)威脅的勒索軟件。并且打擊此類攻擊的行為因缺乏國際合作而受到阻礙。應(yīng)對這一威脅需要國際執(zhí)法持續(xù)的且相互協(xié)調(diào)的行動(dòng)進(jìn)行共同努力，例如共享情報(bào)、協(xié)調(diào)法律框架，以及共同追捕肇事者并圖

3-暗網(wǎng)帖子，指明

Cicada3301!

組織的招募條件，禁止針對獨(dú)立國家聯(lián)合體

-

CIS

開展活動(dòng)。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB152025

年網(wǎng)絡(luò)安全狀況拆除他們的基礎(chǔ)設(shè)施等。令人鼓舞的是，2024

年出現(xiàn)了幾個(gè)此類行動(dòng)的有效范例。在前幾年，打擊行動(dòng)成功地針對了主要的勒索軟件團(tuán)體，如Hive、Ragnar

等。2024

年

2

月，由英國國家犯罪局

(NCA)和

FBI

領(lǐng)導(dǎo)的協(xié)調(diào)國際執(zhí)法行動(dòng)“克洛諾斯行動(dòng)”，對勒索軟件即服務(wù)

(RaaS)

生態(tài)系統(tǒng)中的主導(dǎo)團(tuán)體

LockBit

造成了重大打擊。這次行動(dòng)查封了

LockBit

的數(shù)據(jù)泄露站點(diǎn)

(DLS)

并拆除了關(guān)鍵基礎(chǔ)設(shè)施，極大地?cái)_亂了他們的運(yùn)營。當(dāng)局控制了多個(gè)國家的

34

臺服務(wù)器，包括荷蘭、德國和美國。該行動(dòng)持續(xù)到10

月，并在波蘭和烏克蘭逮捕了關(guān)鍵人物，同時(shí)法國和美國司法當(dāng)局發(fā)布了起訴書。執(zhí)法機(jī)構(gòu)獲取并公布了

LockBit

的解密密鑰和內(nèi)部數(shù)據(jù)，使其運(yùn)營和附屬網(wǎng)絡(luò)受到進(jìn)一步審查。這次行動(dòng)不僅旨在拆除

LockBit

的技術(shù)基礎(chǔ)設(shè)施，還意在損害其在網(wǎng)絡(luò)犯罪領(lǐng)域中的形象。LockBit

的信譽(yù)對其運(yùn)營至關(guān)重要，這從其積極參與犯罪論壇和媒體采訪中可見一斑。該組織的領(lǐng)導(dǎo)人，被稱為

LockBitSupp，經(jīng)常在這些平臺上互動(dòng)，推廣他們的勒索軟件服務(wù)，并保持公眾形象。這種曝光度對于招募附屬機(jī)構(gòu)以及向受害者保證他們在處理贖金支付和數(shù)據(jù)方面的“專業(yè)性”是不可或缺的。在“克洛諾斯行動(dòng)”之后，LockBit

的活動(dòng)顯著減少。一旦他們的內(nèi)部通信和附屬機(jī)構(gòu)身份被曝光，他們就失去了信任。LockBit

試圖通過發(fā)布虛假的重復(fù)名單或其它攻擊者的受害者名單來營造“一切照舊”的形象，隨著向基于數(shù)據(jù)的勒索轉(zhuǎn)變，這種現(xiàn)象有所增加。盡管

LockBit

試圖重新開展業(yè)務(wù)，但持續(xù)的執(zhí)法壓力以及在網(wǎng)絡(luò)犯罪社區(qū)內(nèi)信譽(yù)的喪失阻礙了他們的復(fù)蘇。然而，在

2024

年的最后一周，該組織宣布了一個(gè)新版本，LockBit

4.0。只有時(shí)間才能證明這是否標(biāo)志著這個(gè)犯罪組織的復(fù)蘇。ALPHV

是另一個(gè)退出舞臺的主要

RaaS

參與者。在

2023

年底，他們受到了一次執(zhí)法行動(dòng)的打擊，但短暫恢復(fù)后又激進(jìn)地對醫(yī)療保健實(shí)體重新展開了攻擊行動(dòng)。2024

年

2

月，ALPHV

的一個(gè)附屬機(jī)構(gòu)攻擊了

ChangeHealthcare。該組織扣下了該附屬機(jī)構(gòu)的全部

2200

萬美元，拒絕給其分成。然后該組織在其

DLS

上偽造了一份查封通知，并宣布退休。雖然這兩個(gè)主導(dǎo)團(tuán)體的清除在短期和長期內(nèi)影響了勒索軟件的格局，但對遏制該生態(tài)系統(tǒng)的攻擊數(shù)量作用甚微。事實(shí)上，公布的受害者數(shù)量穩(wěn)步上升。這種韌性突顯了

RaaS

運(yùn)營的性質(zhì)：獨(dú)立的附屬機(jī)構(gòu)在很大程度上不受單個(gè)品牌或運(yùn)營商垮臺的影響，只是遷移到其它平臺。這些附屬機(jī)構(gòu)擺脫了先前的從屬關(guān)系，找到了提供必要基礎(chǔ)設(shè)施、泄露站點(diǎn)和支持服務(wù)的其它

RaaS

團(tuán)體，確保他們的勒索軟件攻擊渠道保持完整。420293

3043804773474073875446035345413862023年2024年

2024年

2024年2024年2024年

2024年

2024年

2024年

2024年

2024年

2024年2024年12月 1月 2月 3月 4月 5月 6月 7月 8月 9月

10月 11月

12月2001000300400500600700圖

5

-

勒索軟件數(shù)據(jù)泄露網(wǎng)站上報(bào)告的受害者總數(shù)。圖

4-

來自

LockBit

羞辱網(wǎng)站的截圖損害了其信譽(yù)（來源：NCA）。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB162025

年網(wǎng)絡(luò)安全狀況醫(yī)療保健行業(yè)遭受攻擊勒索軟件團(tuán)體轉(zhuǎn)向以醫(yī)療保健組織為目標(biāo)，突顯了先前既定的“道德”準(zhǔn)則的逐漸衰落。在新冠疫情的最初幾個(gè)月，許多RaaS

運(yùn)營商公開宣布醫(yī)院和醫(yī)療提供者是禁區(qū)。然而，隨著時(shí)間的推移，這些限制逐漸減弱。一些

RaaS

管理員采取了一種更微妙的方法。雖然他們不鼓勵(lì)直接破壞醫(yī)療保健服務(wù)，比如對關(guān)鍵系統(tǒng)進(jìn)行加密，但他們允許竊取敏感的醫(yī)療數(shù)據(jù)。附屬機(jī)構(gòu)隨后可以通過威脅泄露患者信息來勒索受害者，并向醫(yī)療保健實(shí)體施壓要求付款，而不會(huì)直接危及患者。在針對

ALPHV

的執(zhí)法行動(dòng)之后，這種情況進(jìn)一步惡化。該組織公開鼓勵(lì)附屬機(jī)構(gòu)專門針對醫(yī)院。到

2024

年

2

月，醫(yī)療保健和醫(yī)療部門成為

ALPHV

最主要的攻擊目標(biāo)，約占其報(bào)告受害者的

30%。在事件剛發(fā)生后的那段時(shí)間，沒有任何一個(gè)實(shí)體能夠復(fù)制LockBit

和

ALPHV

之前所擁有的市場主導(dǎo)地位。雖然RansomHub

似乎準(zhǔn)備擔(dān)當(dāng)領(lǐng)導(dǎo)角色，但其地位遠(yuǎn)未得到保證。相反，該領(lǐng)域進(jìn)入了一個(gè)競爭分散的時(shí)期，像

Akira、Play、Medusa、Dan0n、Hunters

和

Bianlian

這樣的中型參與者，爭相招募附屬機(jī)構(gòu)并積聚勢力。ALPHV

扣留附屬機(jī)構(gòu)的贖金分成所帶來的后果，再加上LockBit

受損的信譽(yù)以及泄露的勒索軟件代碼的可用性，推動(dòng)了更多自主勒索軟件運(yùn)營商的崛起。越來越多規(guī)模較小的勒索軟件獨(dú)立團(tuán)體出現(xiàn)，他們不愿意依賴已建立的

RaaS

框架或與中心化運(yùn)營商分享利潤。通過利用泄露的代碼，這些參與者定制了自己的勒索軟件變種和基礎(chǔ)設(shè)施，減少了對主要

RaaS

提供商的依賴，促進(jìn)了一個(gè)更加分散和競爭激烈的勒索軟件生態(tài)系統(tǒng)。隨著

2024

年接近尾聲，RansomHub

成為新的主導(dǎo)者，在

11月占報(bào)告受害者的

16%。同期，超過

40

個(gè)其它雙重勒索軟件組織仍然活躍，每個(gè)組織都維護(hù)著自己的數(shù)據(jù)泄露站點(diǎn)，并瞄準(zhǔn)新的受害者。0

16014012010080604020200180

2023年

2023年

2024年

2024年

2024年

2024年

2024年

2024年

2024年

2024年

2024年

2024年

2024年11月

12月

1月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月LockBit

受害者 RansomHub

受害者圖

6-2024

年報(bào)道的

LockBit

與

RansomHub

數(shù)據(jù)泄露站點(diǎn)的受害者。Akira6%KillSec36%QiLin5%SafePay5%4%IncRansom

Hunters4%Lynx4%Medusa4%Play4%RansomHub16%其他42%圖

7-2024

年

11

月，按攻擊者劃分的數(shù)據(jù)泄露站點(diǎn)受害者。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB172025

年網(wǎng)絡(luò)安全狀況醫(yī)療保健行業(yè)運(yùn)營的關(guān)鍵性和特殊性意味著，系統(tǒng)長時(shí)間停機(jī)會(huì)給患者帶來很大的風(fēng)險(xiǎn)，這是不可接受的。正如

ChangeHealthcare

遭受的攻擊所表明的那樣，這大大增加了支付贖金的可能性。醫(yī)療保健和醫(yī)療機(jī)構(gòu)如今在所有公開報(bào)道的勒索軟件受害者中占

10%，使醫(yī)療保健行業(yè)成為

2024

年第二大受攻擊的行業(yè)，僅次于制造業(yè)。備受矚目的

Change

Healthcare

攻擊引起了全球的關(guān)注，而許多其它重大事件也突顯了這一令人不安的趨勢。2024

年

2

月，一次

Phobos

勒索軟件攻擊瞄準(zhǔn)了羅馬尼亞的醫(yī)療保健系統(tǒng)，此次攻擊直接影響了

25

家醫(yī)院，并由于其對

Hipocrate

信息系統(tǒng)

(HIS)

的影響，導(dǎo)致

100

多家其它設(shè)施的運(yùn)營中斷。由于與互聯(lián)網(wǎng)斷開連接，醫(yī)院的醫(yī)療服務(wù)變慢，患者護(hù)理延遲，運(yùn)營能力大幅降低。6

月，倫敦主要醫(yī)院的關(guān)鍵病理服務(wù)提供商

Synnovis

遭到了Qilin

(Agenda)

勒索軟件組織的攻擊。此次攻擊要求

5000

萬美元的贖金，并泄露了約

400GB

的敏感數(shù)據(jù)。這次入侵導(dǎo)致超過

6000

次醫(yī)療預(yù)約和手術(shù)被取消。此次中斷還導(dǎo)致了英國國家醫(yī)療服務(wù)體系

(NHS)

的獻(xiàn)血量短缺。許多醫(yī)療保健受害者現(xiàn)在成為勒索軟件攻擊的目標(biāo)：19%

受到Bianlian

的攻擊，23%

受到

INC

Ransomware

的攻擊，10%受到

RansomHub

的攻擊，盡管

RansomHub

的政策是避開非營利組織和醫(yī)院（見下圖）。這突顯了威脅行為者對該領(lǐng)域的關(guān)注日益增加。值得注意的是，超過

65%

的醫(yī)療保健相關(guān)受害者位于美國，與他們在更廣泛的勒索軟件生態(tài)系統(tǒng)中的比例相比，這一比例顯得過高。醫(yī)療保健業(yè)務(wù)的重要性以及承受長期中斷能力的有限性，使它們成為特別有吸引力的目標(biāo)。所有跡象都表明，這一令人不安的趨勢將持續(xù)到

2025年。圖

8

-

ALPHV

允許附屬機(jī)構(gòu)“封鎖醫(yī)院、核電站，任何地方的任何事物?！保▉碓矗＾D(zhuǎn)向數(shù)據(jù)竊取勒索

(DXF)勒索軟件攻擊的加密階段給攻擊者帶來了重大挑戰(zhàn)。這些攻擊本質(zhì)上是“有噪聲的，帶有欺騙性的”，這增加了被檢測和攔截的風(fēng)險(xiǎn)。處理多個(gè)受害者增加了復(fù)雜性，因?yàn)樗枰职l(fā)獨(dú)特的解密密鑰，并為數(shù)據(jù)恢復(fù)提供“客戶支持”。這兩項(xiàng)任務(wù)都需要大量資源并且操作要求很高。勒索軟件團(tuán)體在很大程度上依賴于其可靠恢復(fù)加密數(shù)據(jù)的信譽(yù)來維持受害者的信任并確保獲得贖金。如果解密失敗，就會(huì)破壞這種信任，并降低未來獲得贖金的可能性。此外，對加密的依賴增加了附屬機(jī)構(gòu)對RaaS

平臺的依賴。這種依賴會(huì)減少他們的利潤，同時(shí)增加他們被執(zhí)法機(jī)構(gòu)發(fā)現(xiàn)的風(fēng)險(xiǎn)。由于多次出現(xiàn)支付贖金但未能恢復(fù)數(shù)據(jù)的情況，以及各組織在保持最新備份方面變得更加熟練，受害者為基于加密的攻擊支付贖金的意愿穩(wěn)步下降。美國勒索軟件響應(yīng)公司

Coveware

的數(shù)據(jù)突顯了這一趨勢：通過支付贖金解決的基于加密的案件比例從

2019

年的

75%

下降到

2024

年第三季度的

32%。相比之下，僅數(shù)據(jù)竊取勒索的支付解決率保持在約

35%

的穩(wěn)定水平。這種轉(zhuǎn)變，再加上管理解密工作的運(yùn)營成本增加，導(dǎo)致許多勒索軟件行為者放棄加密，轉(zhuǎn)而支持僅

DXF

操作。10% 65%的勒索軟件受害者是 的醫(yī)療保健相關(guān)受害醫(yī)療保健相關(guān)人員 者位于美國圖

9-

來自

RansomHub

DLS

的

RansomHub

官方政策。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB182025

年網(wǎng)絡(luò)安全狀況OMER

DEMBINSKY數(shù)據(jù)研究集團(tuán)經(jīng)理每年，勒索軟件的環(huán)境都變得越來越復(fù)雜。雖然執(zhí)法部門成功地取締了較大的勒索軟件即服務(wù)

(RaaS)

團(tuán)體，但今年又出現(xiàn)了新的團(tuán)體。此外，從基于加密的勒索到數(shù)據(jù)勒索的轉(zhuǎn)變帶來了新的挑戰(zhàn)。然而，有一件事始終不變，那就是企業(yè)對適應(yīng)這個(gè)趨勢并加強(qiáng)數(shù)據(jù)保護(hù)、監(jiān)測和快速威脅檢測的迫切需要。僅數(shù)據(jù)竊取這一趨勢的早期采用者，如

Karakurt

和

Lapsus$，為其他人開辟了道路。到

2024年，一些像

BianLian這樣成熟的團(tuán)體完全轉(zhuǎn)向了僅

DXF

勒索并放棄了加密。同樣，一個(gè)以前從事雙重勒索的較老的勒索軟件團(tuán)體“Meow”，今年重新出現(xiàn)，只專注于數(shù)據(jù)銷售，以不同的價(jià)格點(diǎn)提供被盜數(shù)據(jù)，并允許受害者“回購”他們的信息以防止公開曝光。新的參與者也已出現(xiàn)，專門作為“數(shù)據(jù)銷售平臺”。例如，Bashe（也稱為

Eraleign）于

2024

年

4月首次出現(xiàn)，純粹作為一個(gè)僅基于數(shù)據(jù)竊取的勒索平臺運(yùn)營。它提供了一個(gè)專門的數(shù)據(jù)泄露站點(diǎn)

(DLS)

和一個(gè)談判平臺，不提供加密服務(wù)或其它工具。這種方法也為虛假的受害者索賠創(chuàng)造了機(jī)會(huì)。由于沒有加密造成的明顯干擾，威脅行為者可以更輕松地重復(fù)利用之前泄露的數(shù)據(jù)，并虛假聲稱對新的攻擊負(fù)責(zé)。這種策略使追蹤勒索軟件活動(dòng)和識別真正的肇事者變得更復(fù)雜，因?yàn)槎鄠€(gè)團(tuán)體都聲稱對同一受害者負(fù)責(zé)。僅數(shù)據(jù)竊取勒索的興起標(biāo)志著網(wǎng)絡(luò)安全重點(diǎn)的關(guān)鍵轉(zhuǎn)變。組織現(xiàn)在必須專注于通過利用先進(jìn)的監(jiān)測和檢測系統(tǒng)，加強(qiáng)數(shù)據(jù)泄露預(yù)防

(DLP)

策略，以便更早地識別和減輕潛在的違規(guī)行為。隨著僅數(shù)據(jù)竊取攻擊的財(cái)務(wù)和運(yùn)營激勵(lì)不斷增加，今年這一趨勢可能會(huì)持續(xù)下去，因?yàn)樵絹碓蕉嗟睦账鬈浖F(tuán)體采用這些策略來簡化操作并逃避檢測。圖

10

-

Bashe

行動(dòng)政策，來自其數(shù)據(jù)泄露站點(diǎn)。應(yīng)對不斷演變的勒索軟件形勢2024

年的勒索軟件形勢反映了一個(gè)動(dòng)態(tài)且日益復(fù)雜的威脅環(huán)境。針對主要團(tuán)體的執(zhí)法成功為新的參與者打開了大門，RansomHub

成為其中最突出的一個(gè)。同時(shí)，針對醫(yī)療保健組織攻擊的道德界限受到侵蝕，突顯了威脅行為者日益殘酷無情。此外，從基于加密的勒索到

DXF

的戰(zhàn)略轉(zhuǎn)變帶來了新的挑戰(zhàn)，要求組織調(diào)整其防御策略，專注于數(shù)據(jù)保護(hù)、監(jiān)測和快速威脅檢測。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB192025

年網(wǎng)絡(luò)安全狀況在我們審視

2024

年的網(wǎng)絡(luò)態(tài)勢時(shí)，信息竊取軟件成為了焦點(diǎn)。這不僅是由于其方法和策略的演變，還因?yàn)楦鼜V泛的犯罪生態(tài)系統(tǒng)已經(jīng)成熟和專業(yè)化，使得這些威脅更具效力。信息竊取軟件之所以獲得了強(qiáng)大的力量，是因?yàn)樗鼈兡軌蚋咝Ч芾怼⒖焖偬幚砗统鍪鄞罅咳罩?。它們是全面入侵企業(yè)網(wǎng)絡(luò)的第一步。信息竊取軟件傳播的一個(gè)關(guān)鍵方面在于，它主要依靠“廣撒網(wǎng)碰運(yùn)氣”的方法，而非直接針對企業(yè)網(wǎng)絡(luò)。盡管采取了這種策略，但其主要目標(biāo)之一是獲取用于訪問

BYOD（自帶設(shè)備）上企業(yè)資源的憑證。Check

Point

旗下的

Cyberint

公司報(bào)告稱，信息竊取軟件感染的設(shè)備中超過

70%

是個(gè)人設(shè)備，而非企業(yè)或托管設(shè)備。定義信息竊取軟件信息竊取軟件，常被稱為“竊取軟件”，是一種被設(shè)計(jì)用來從受感染的系統(tǒng)中秘密提取敏感數(shù)據(jù)的惡意軟件，主要針對瀏覽器數(shù)據(jù)。它們還可以從受感染的機(jī)器中竊取文件并截取屏幕截圖。竊取軟件通過釣魚郵件或惡意下載進(jìn)行傳播。一旦它們侵入計(jì)算機(jī)，就可以獲取廣泛的有價(jià)值信息，這些信息可用于進(jìn)一步的網(wǎng)絡(luò)犯罪或欺詐活動(dòng)，包括用戶名和密碼、財(cái)務(wù)細(xì)節(jié)、系統(tǒng)配置、瀏覽器

Cookie

和加密貨幣錢包。信息竊取軟件在暗網(wǎng)上作為惡意軟件即服務(wù)

(MaaS)

進(jìn)行銷售，購買者會(huì)得到客戶支持、定期更新和詳細(xì)文檔，降低了潛在網(wǎng)絡(luò)犯罪分子的入行門檻。從信息竊取軟件日志到全面入侵：信息竊取軟件在成熟網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中的影響力隨著大型僵尸網(wǎng)絡(luò)和銀行惡意軟件的衰落，信息竊取軟件已成為新的大型威脅，如今通過大規(guī)模活動(dòng)進(jìn)行分發(fā)。在最大的地下犯罪市場上快速搜索會(huì)發(fā)現(xiàn)，目前有超過

1000

萬條信息竊取軟件的日志可供購買。這些日志包含被盜的用戶憑證、認(rèn)證令牌和敏感數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子可以將其用作強(qiáng)大的工具，從個(gè)人那里竊取資金、進(jìn)行身份竊取或入侵全球的計(jì)算機(jī)網(wǎng)絡(luò)。圖

11

-

一個(gè)暗網(wǎng)論壇帖子推廣出售

Lumma信息竊取軟件。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB202025

年網(wǎng)絡(luò)安全狀況信息竊取軟件市場信息竊取軟件市場強(qiáng)勁且競爭激烈，其定價(jià)反映了產(chǎn)品的復(fù)雜程度以及開發(fā)者提供的支持水平。例如，RedLine

Stealer

每月約

150

美元，StealC

約

200

美元，Lumma的價(jià)格約為

250美元。運(yùn)營這些惡意軟件服務(wù)的威脅行為者，通常被稱為“附屬機(jī)構(gòu)”，在

MaaS

模式下購買許可證，并在各自的感染活動(dòng)中使用這些竊取軟件。附屬機(jī)構(gòu)收集的數(shù)據(jù)，即“日志”，由從個(gè)人計(jì)算機(jī)竊取的一批批信息組成。然后，這些日志在Telegram

等平臺或地下犯罪市場上出售或交易，通常每個(gè)約10

美元。被盜的信息助長了進(jìn)一步的非法活動(dòng)，包括金融欺詐、身份竊取和進(jìn)一步的網(wǎng)絡(luò)攻擊，從而使更廣泛的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)得以延續(xù)。會(huì)話令牌和

Cookie

是信息竊取軟件獲取的最理想的數(shù)據(jù)類型之一。這些元素特別有價(jià)值，因?yàn)樗鼈儫o需登錄憑證即可立即訪問用戶帳戶。獲取“新鮮”或最近被盜的日志至關(guān)重要，因?yàn)榛顒?dòng)會(huì)話

Cookie

具有時(shí)間敏感性。如果及時(shí)獲取并出售，它們可以劫持正在進(jìn)行的會(huì)話，并繞過許多安全系統(tǒng)所依賴的多因素身份驗(yàn)證

(MFA)機(jī)制。許多網(wǎng)絡(luò)犯罪分子經(jīng)常分析從信息竊取軟件那里獲得的數(shù)據(jù)，以發(fā)現(xiàn)企業(yè)帳戶的憑證。這些憑證可以在企業(yè)網(wǎng)絡(luò)內(nèi)提供一個(gè)初始立足點(diǎn)，或者授予對關(guān)鍵資源的訪問權(quán)限。目標(biāo)通常包括

VPN

帳戶、Microsoft

365

帳戶、企業(yè)消息系統(tǒng)等的憑證和令牌。為應(yīng)對這一重大安全風(fēng)險(xiǎn)，谷歌于

7

月推出了應(yīng)用綁定加密。然而，到

9

月，幾個(gè)信息竊取軟件已經(jīng)采用了相應(yīng)的技術(shù)來繞過這一保護(hù)并解密敏感的被盜數(shù)據(jù)。對竊取信息快速利用的需求突顯了信息竊取軟件供應(yīng)商相互競爭的另一個(gè)關(guān)鍵領(lǐng)域：被盜數(shù)據(jù)的有效展示和分類。他們開發(fā)了先進(jìn)的操作面板和下載機(jī)制，為附屬機(jī)構(gòu)提供快速、清晰的訪問日志的途徑。一些系統(tǒng)提供將日志自動(dòng)傳輸?shù)?/p>

Telegram頻道的功能，能夠近乎實(shí)時(shí)地利用實(shí)時(shí)會(huì)話令牌。有效的用戶界面不僅便于快速訪問，還能自動(dòng)解析并突出顯示高價(jià)值的憑證，提高了惡意軟件對附屬機(jī)構(gòu)的效率和吸引力。支持這些惡意活動(dòng)的基礎(chǔ)設(shè)施通常是全面的，并由

MaaS

供應(yīng)商自己維護(hù)。這種基礎(chǔ)設(shè)施可以包括面板認(rèn)證機(jī)制、提供額外插件和更新的命令和控制

(C2)

服務(wù)器，以及用于存儲和下載被盜數(shù)據(jù)的安全位置。對廣泛基礎(chǔ)設(shè)施的依賴有時(shí)可能成為惡意軟件的致命弱點(diǎn)，因?yàn)閳?zhí)法機(jī)構(gòu)可以瞄準(zhǔn)并奪取這些資源來破壞

MaaS

運(yùn)營。信息竊取軟件的分發(fā)信息竊取活動(dòng)由從開發(fā)者那里購買許可證并獨(dú)立開展感染活動(dòng)的附屬機(jī)構(gòu)推動(dòng)。為了傳播惡意軟件，他們使用創(chuàng)新的方法，包括釣魚郵件、惡意廣告、分發(fā)假冒或破解軟件、欺騙性廣告圖

12-

從一臺法國電腦竊取的

LummaStealer

日志在市場上出售。圖

13

-

StealC

面板視圖。網(wǎng)絡(luò)安全趨勢0302 2024

年網(wǎng)絡(luò)安全事件01

引言07 2025

年行業(yè)預(yù)測08 CISO

建議04

全球分析05

備受矚目的漏洞06

事件響應(yīng)視角網(wǎng)絡(luò)戰(zhàn)爭

-

2024

版勒索軟件生態(tài)系統(tǒng)信息竊取軟件的崛起云的復(fù)雜性邊緣設(shè)備和

ORB212025

年網(wǎng)絡(luò)安全狀況進(jìn)一步貨幣化。在許多情況下，IAB

在其它論壇上轉(zhuǎn)售對精心挑選的目標(biāo)的訪問權(quán)限，吸引熱衷于利用這些機(jī)會(huì)的勒索軟件附屬機(jī)構(gòu)。然后，這些附屬機(jī)構(gòu)部署勒索軟件（通常從勒索軟件即服務(wù)

(RaaS)

提供商處獲得）來實(shí)施攻擊。成功的勒索軟件攻擊所獲取的贖金為整個(gè)勒索軟件生態(tài)系統(tǒng)提供了動(dòng)力。被盜的個(gè)人數(shù)據(jù)為網(wǎng)絡(luò)犯罪分子提供了其它有利可圖的途徑。個(gè)人身份信息

(PII)、財(cái)務(wù)細(xì)節(jié)和信用卡號碼可用于身份竊取、欺詐和未經(jīng)授權(quán)的交易，從而導(dǎo)致商業(yè)電子郵件泄露

(BEC)。所有這些活動(dòng)都依賴于一個(gè)成熟且運(yùn)作良好的犯罪基礎(chǔ)設(shè)施，該基礎(chǔ)設(shè)施為被盜數(shù)據(jù)的交換、銷售和利用提供了便利。和模仿合法類似加密貨幣服務(wù)、人工智能工具和組件應(yīng)用程序等平臺的偽造網(wǎng)站。附屬機(jī)構(gòu)還可能利用

GitHub

等平臺托管惡意存儲庫，正如在使用欺詐帳戶傳播流行的信息竊取軟件的活動(dòng)中所看到的那樣。其它策略包括針對尋求破解軟件的用戶釣魚模板、虛假驗(yàn)證碼頁面（旨在誘使用戶下載惡意軟件）以及惡意谷歌廣告（將用戶重定向到偽造的下載網(wǎng)站）。與專注于創(chuàng)建和更新惡意軟件的開發(fā)者不同，附