本周勒索态势快速感知
1. 本周全球共监测到勒索事件133起,与上周相比勒索事件有所增长。
2. 本周Blacksuit是影响最严重的勒索家族,Ransomhub和Blackbasta恶意家族紧随其后,从整体上看Lockbit3.0依旧是影响最严重的勒索家族,需要注意防范。
3.本周北美领先的创新定制橡胶模塑产品开发商和制造商Moldtech, Inc.的机密数据被Play组织窃取,包括客户文件,预算,工资,会计,合同,税收,id,财务信息等敏感数据,窃取数据量大小未知。
01勒索态势
1.1 勒索事件数量
本周全球共监测到勒索事件133起,与上周相比勒索事件有所增长。勒索事件趋势见图1.1。
图1.1 勒索事件趋势图
1.2 勒索事件受害者所属行业
本周全球勒索事件受害者所属行业和历史对比趋势图如图1.2所示。从图中可知,制造业和建筑行业受害者数量有所增长。
图1.2 勒索受害者行业分布趋势图
2023年下半年至今,中国区域的勒索事件受害者所属行业分布如图1.3所示,Top5为制造业,互联网,服务业,营销咨询及其他。
图1.3 2023年下半年至今中国区域勒索受害者行业分布图
1.3 勒索事件受害者所属国家
本周勒索事件受害者所属国家Top10如图1.4所示。美国依旧为受勒索攻击最严重的国家,占比64%。
图1.4 Top10受影响国家
1.4 勒索家族
本周监控到活跃的勒索家族共有23个,Top10勒索家族如图1.5所示。本周Top3和历史Top3勒索家族的累积变化趋势如图1.6所示。从图中可知,本周Darkvault是影响最严重的勒索家族,Hunters和Play恶意家族紧随其后,从整体上看Lockbit3.0依旧是影响最严重的勒索家族,近期Lockbit3.0攻击趋势有所减缓,任需注意防范。
图1.5 Top10活跃勒索家族
图1.6 流行勒索家族的累积变化趋势图
2023年下半年至今,中国区域的勒索家族活跃情况分布如图1.7所示。
图1.7 2023年下半年至今攻击中国区域的勒索家族分布图
02勒索事件跟踪
本周监测到勒索事件133起。本周对公共安全造成重大影响的Top10事件如表2.1所示。随后本文在勒索事件详细跟踪分析部分对表中的一些重点事件进行了详细描述。
表2.1 Top10勒索事件详情
| 国家 | 受损组织 | 受损组织行业 | 勒索家族 |
| 美国 | bigtoe | 文体娱乐 | Darkvault |
| 美国 | Feldstein&Stewart | 服务业 | Play |
| 美国 | Bojangles’ International | 衣食住行 | Hunters |
| 美国 | 营销理念 | 零售业 | Hunters |
| 美国 | 玛瑙结构 | 建筑行业 | Play |
| 美国 | MoldTech | 服务业 | Play |
| 印度 | agribazaar.com | 农业 | Darkvault |
| 印度 | adachikan.com | 零售业 | Darkvault |
| 加拿大 | Optima制造 | 制造业 | Hunters |
| 英国 | wexer.com | 文体娱乐 | Darkvault |
2.1 勒索事件详细跟踪分析
1. 本周北美领先的创新定制橡胶模塑产品开发商和制造商Moldtech, Inc.的机密数据被Play组织窃取,包括客户文件,预算,工资,会计,合同,税收,id,财务信息等敏感数据,窃取数据量大小未知。
2. 本周Darkvault将wexer.com、adachikan.com、agribazaar.com、bigtoe等组织的机密数据公布到其数据泄露站点,可供公开下载。
3. 本周Bojangles’ International公司4000名员工的敏感信息被Hunters发布到网站上,要求缴纳赎金。
03重点勒索组织介绍
本周主要介绍这周活动频繁的恶意家族Darkvault、Hunters和Play,需要注意防范。
Darkvault
DarkVault自称是一个独特的在线社区和勒索软件操作,涉及多种非法活动,如炸弹威胁、偷拍、人肉搜索、网站诽谤、恶意软件创建、诈骗、垃圾邮件及多种欺诈行为。有报道称DarkVault可能属于LockBit或与之相关,因其数据泄露站点(DLS)模仿了LockBit 3.0的风格,但仅此并不能确认二者为同一组织。实际上,DarkVault仅数据泄露站点风格与LockBit 3.0一致。DarkVault的操作包括两个主要页面:一个发布所谓的勒索软件攻击或数据泄露受害者信息,另一个发布他们的非法活动。
Hunters
在2023年1月,Hunters International勒索组织取缔了Hive组织,后者曾是一个多产的勒索软件即服务(RaaS)组织。作为执法行动的一部分,Hive组织的活动被终止。他们的勒索软件包含了一份排除列表,指定了不应当加密的文件扩展名、文件名和目录。此外,该勒索软件还执行命令来干扰数据恢复工作,并终止可能会干扰加密过程的进程。
Play
Play又称PlayCrypt,于2022年6月被发现。该组织以巴西为主要目标,同时对印度、匈牙利、西班牙和荷兰等国展开网络攻击。其攻击手法包括恶意软件传播、网络渗透和数据泄露,采用先进的加密技术勒索受害者。这一威胁突显了网络犯罪已进入更复杂阶段,需要跨国合作、先进网络安全技术和组织内部安全意识的提升来有效应对。
04亚信安全勒索检测能力升级
针对全球勒索事件频发的威胁态势,亚信安全推出勒索治理方案,针对近期活跃勒索事件已具备检测能力,请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下:
表4.1 本周勒索事件特征库更新列表
| 产品 | 特征库名称 | 更新日期 |
|---|---|---|
| 信桅高度威胁监测系统 TDA v7.0.3 | 失陷检测特征库 网络攻击检测库 文件防病毒特征库 | 2024/04/19 |
| 天穹共享免疫SaaS系统 ImmunityOne | 失陷检测库特征库 行为规则特征库 文件防病毒特征库 | 2024/04/19 |
| 信舷防毒墙系统 AISEDGE v7.0.0.2.2640 | 失陷检测特征库 网络攻击检测库 文件防病毒特征库 | 2024/04/19 |
| 信舱云主机深度安全防护系统 DeepSecurity v20.0.x | 文件防病毒特征库 | 2024/04/19 |
| 新一代终端安全 TrustOne V9.0SP1 | 文件防病毒特征库 行为规则特征库 失陷检测库特征库 | 2024/04/19 |
注:监测数据仅来源于互联网已公开信息,统计不包含亚信安全已拦截事件。
扫一扫
509
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
