最新態(tài)勢(shì)快速感知

1. 最新一周全球共監(jiān)測(cè)到勒索事件90起，與上周相比數(shù)量有所增加。

2. lockbit3.0仍然是影響最嚴(yán)重的勒索家族；alphv和cactus惡意家族也是兩個(gè)活動(dòng)頻繁的惡意家族，需要注意防范。

3. Change Healthcare - Optum - UnitedHealth遭受了來(lái)自alphv惡意家族的攻擊，勒索軟件團(tuán)伙共獲得成千上萬(wàn)的醫(yī)療服務(wù)提供商、保險(xiǎn)提供商、藥店等的關(guān)鍵和敏感數(shù)據(jù)。

01 勒索態(tài)勢(shì)

1.1 勒索事件數(shù)量

最新一周全球共監(jiān)測(cè)到勒索事件90起，與上周相比數(shù)量有所增加。勒索事件趨勢(shì)見(jiàn)圖1.1。

圖1.1 勒索事件趨勢(shì)圖

1.2 勒索事件受害者所屬行業(yè)

最新一周全球勒索事件受害者所屬行業(yè)和歷史對(duì)比趨勢(shì)圖如圖1.2所示。從圖中可知，衣食住行與歷史數(shù)據(jù)相比略有增加，醫(yī)療行業(yè)的受害者增長(zhǎng)幅度最大，達(dá)到了100%，制造業(yè)和其他行業(yè)的受害者與歷史相比整張幅度較小，服務(wù)業(yè)、建筑行業(yè)及營(yíng)銷咨詢行業(yè)的受害者數(shù)量呈不同比例的降低。

圖1.2 勒索受害者行業(yè)分布趨勢(shì)圖

2023年下半年至今，中國(guó)區(qū)域的勒索事件受害者所屬行業(yè)分布如圖1.3所示，Top5為制造業(yè)，互聯(lián)網(wǎng)，服務(wù)業(yè)，營(yíng)銷咨詢，汽車行業(yè)，與上周一致。

圖1.3 2023年下半年至今中國(guó)區(qū)域勒索受害者行業(yè)分布圖

1.3 勒索事件受害者所屬國(guó)家

最新一周勒索事件受害者所屬國(guó)家Top10如圖1.4所示。美國(guó)依舊為受勒索攻擊最嚴(yán)重的國(guó)家，占比60%。

圖1.4 Top10受影響國(guó)家

1.4 勒索家族

最新一周監(jiān)控到活躍的勒索家族共有26個(gè)，Top10勒索家族如圖1.5所示。本周Top3和歷史Top3勒索家族的累積變化趨勢(shì)如圖1.6所示。從圖中可知，lockbit3.0仍然是影響最嚴(yán)重的勒索家族；alphv和cactus惡意家族也是兩個(gè)活動(dòng)頻繁的惡意家族，需要注意防范。

圖1.5 Top10活躍勒索家族

圖1.6?流行勒索家族的累積變化趨勢(shì)圖

2023年下半年至今，中國(guó)區(qū)域的勒索家族活躍情況分布如圖1.7所示，Top3為lockbit3.0，ragroup，noescape。

圖1.7?2023年下半年至今攻擊中國(guó)區(qū)域的勒索家族分布圖

02 勒索事件跟蹤

最新一周監(jiān)測(cè)到勒索事件90起。其中對(duì)公共安全造成重大影響的Top10事件如表2.1所示。隨后本文在勒索事件詳細(xì)跟蹤分析部分對(duì)表中的一些重點(diǎn)事件進(jìn)行了描述。

表2.1 Top10勒索事件詳情

勒索事件詳細(xì)跟蹤分析

1. 本周Change Healthcare - Optum - UnitedHealth遭受了來(lái)自alphv惡意家族的攻擊，勒索軟件團(tuán)伙共獲得成千上萬(wàn)的醫(yī)療服務(wù)提供商、保險(xiǎn)提供商、藥店等的關(guān)鍵和敏感數(shù)據(jù)。

2. 本周韋伯大學(xué)的機(jī)密數(shù)據(jù)被ransomhouse組織加密。

3. 本周alphv勒索組織竊取Worthen Industries公司大量文件，包括：合同、個(gè)人資料證明、護(hù)照信息等大量保密信息，合計(jì)434G。

03 重點(diǎn)勒索組織介紹

本次報(bào)告主要介紹老牌勒索家族Lockbit 3.0，以及這周活動(dòng)頻繁的惡意家族Hunters和Play，需要注意防范。

LockBit 3.0

Lockbit 3.0，又稱“LockBit Black”，是一種勒索服務(wù)（RaaS）模型，繼承了lockbit家族的傳統(tǒng)。該模型具備高度自動(dòng)化和組織化，使用先進(jìn)的加密算法，迅速加密受害者數(shù)據(jù)并要求贖金。

Alphv

Alphv是首個(gè)在公開(kāi)互聯(lián)網(wǎng)上建立公開(kāi)數(shù)據(jù)泄漏網(wǎng)站的勒索組織。其手法包括仿冒受害者的網(wǎng)站，并通過(guò)在網(wǎng)絡(luò)上發(fā)布被盜的敏感數(shù)據(jù)對(duì)受害者施加壓力。

Alphv的獨(dú)特之處在于其公開(kāi)數(shù)據(jù)泄漏網(wǎng)站，這一策略通過(guò)引發(fā)公眾關(guān)注和輿論壓力來(lái)加大勒索效果，使得受害者面臨更廣泛的聲譽(yù)風(fēng)險(xiǎn)和經(jīng)濟(jì)壓力。

Cactus

Cactus是新的勒索軟件變種，自2023年3月以來(lái)針對(duì)大型商業(yè)實(shí)體。“CACTUS”來(lái)自勒索信中提供的文件名cAcTuS.readme.txt，以及勒索信本身中聲明的名稱。加密的文件末尾附加了.cts1，文件擴(kuò)展名末尾的數(shù)字在不同事件和受害者中有所變化。

04 亞信安全勒索檢測(cè)能力升級(jí)

針對(duì)全球勒索事件頻發(fā)的威脅態(tài)勢(shì)，亞信安全推出勒索治理方案，針對(duì)近期活躍勒索事件已具備檢測(cè)能力，請(qǐng)?zhí)嵝芽蛻艏皶r(shí)升級(jí)產(chǎn)品及特征庫(kù)。最新產(chǎn)品版本和特征庫(kù)列表如下：

表4.1 最新勒索事件特征庫(kù)更新列表

注：監(jiān)測(cè)數(shù)據(jù)僅來(lái)源于互聯(lián)網(wǎng)已公開(kāi)信息，統(tǒng)計(jì)不包含亞信安全已攔截事件。