资料列表:https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ
会员进群和文件下载指南
2024年,全球数字经济的迅猛发展与日益普及的在线服务共同推动了网络安全的复杂化。AI的广泛应用,虽然为企业带来了便利,却也为网络攻击者提供了新的攻击面。黑客们利用先进的技术手段和不断演化的策略,形成了更加智能化和隐蔽的攻击模式。勒索软件不再是简单的攻击工具,越来越多的攻击开始瞄准政府机构和关键基础设施,造成的安全隐患和经济损失日益严重,影响着社会的正常运转。
与此同时,2024年的勒索攻击展现出多样化和持续性的特征。攻击者不仅依赖于技术手段,还巧妙地运用社交工程策略,深入挖掘人性弱点,进行精准打击。这种新型的攻击方式使得企业和组织面临前所未有的挑战,传统的防御措施显得捉襟见肘。勒索软件的目标也逐渐从单纯的经济利益转向更为复杂的政治和社会动机,给全球网络安全带来了深刻的影响。
2024年,Ransomhub超过Lockbit3.0成为全球范围内最具威胁的勒索组织,接下来请查阅2024年度十大勒索家族的详细介绍。
Ransomhub
攻击事件
美国互联网公司islandphoto卖方和买方的发票,销售货物的详细情况,提供的服务,支付的金额,姓名,姓氏,电子邮件,电子邮件,电话,电话,地址,城市,州,国家,客户护照,社会安全号码,驾驶执照以及与监管机构的申请和通信数据被Ransomhub组织勒索。
阿根廷医疗公司osmedica被Ransomhub组织勒索,被窃取的数据包括捐助计划、发票信息、患者私人数据、医生个人信息、病例等信息。
勒索介绍
Ransomhub由iZOOlogic研究团队在暗网中发现,该组织迅速确立了自己作为网络犯罪中潜在强大对手的地位。
Ransomhub称他们是一个出于经济动机的黑客组织,由来自不同国家的各种成员组成。但是他们宣布不针对古巴、朝鲜、中国、罗马尼亚和独联体发起攻击,这意味着他们的成员可能来自这些国家。
【Ransomhub勒索信】
Lockbit3.0
攻击事件
Equinox是一家在纽约首都地区的人力服务机构,Lockbit3.0盗取其49GB的数据,包括:财务文件,银行文件,病人的个人数据,财务协议。
位于托斯卡纳锡耶纳的锡耶纳大学514GB的文件被Lockbit3.0盗取,包括:董事会批准的2022-2026年项目融资和招标文件,特别建设工程文件,Winecraft 2024保密文件,招标设计合同预算,承包商投资计划,承包商任命和1.7万欧元预算分配。
美联储疑遭勒索软件组织LockBit3.0攻击,窃取了33TB的金融信息,其中包含“美国金融业的秘密”,赎金支付截止时间为UTC时间6月25日晚8点半。
勒索介绍
Lockbit勒索软件现为全球最猖獗的勒索软件,其荣登2022年全球勒索软件榜首,2023年,众多企事业单位遭遇Lockbit勒索软件攻击。Lockbit勒索之所以持续活跃,与其不断地改进勒索技术和分发勒索策略有关。Lockbit 3.0已经成为“加密、窃密、DDOS”三重勒索的典型代表。其主要通过如下方式获取受害者的初始访问权限:
攻击者采用社会工程学手段,向目标受害者发送钓鱼邮件。
借助大规模的漏洞扫描行为来定位潜在目标,利用流行的应用程序漏洞提升权限后获取初始访问机会。
通过RDP暴力破解或者密码爆破的方式获得初始访问权限。
【Lockbit3.0生成器执行流程】(来源:亚信安全威胁情报中心)
【Lockbit3.0勒索信】(来源:亚信安全威胁情报中心)
Play
攻击事件
Shinnick&Ryan和Smartweb公司的个人机密资料、客户文件、预算、工资单、会计、合同、税务、身份证、财务信息等机密数据,被Play勒索组织窃取。
美国咨询公司商业解决方案的个人机密数据、客户文件、预算、工资、会计、合同、税收、id、财务信息等数据被Play组织勒索。
Play勒索组织将美国互联网公司KinetX列为受害者,窃取了该公司的客户文件、预算、工资单、合同、税务以及身份证和财务信息等,并给予五天时间缴纳赎金。
勒索介绍
Play勒索软件最早于2022年出现,其命名来自加密后添加的".play"后缀名。该勒索病毒的攻击者利用合法VPN账户进行初始访问,可能是之前暴露过,或通过非法手段取得的。除此之外,该勒索的攻击者利用了如下多种漏洞尝试获取初始访问权限:
CVE-2018-13379 FortiOS SSL VPN web portal的目录穿越漏洞
CVE-2020-12812, FortiOS SSL VPN身份验证漏洞
CVE-2022-41082,MS Exchange Server Remote Code Execution
CVE-2022-41080,MS Exchange Serve 权限提升漏洞
CVE-2022-41040,MS Exchange Serve 权限提升漏洞
该勒索加密文件后添加后缀.play,并释放勒索信ReadMe.txt。
【Play勒索信】
Akira
攻击事件
Akira在破坏了新罕布什尔州公共广播电台、TriLiteral、无故障品牌等公司的网络后要求他们支付赎金。
拉丁美洲最大的钻探公司Explomin,被Akira勒索家族攻击,黑客窃取了包括员工个人身份证、财务数据(银行交易、发票、客户协议、合同)在内的30GB数据。
加拿大网络电信行业的公司内陆视听(Inland Audio Visual)成为了Akira勒索软件的受害者。该组织称已获取了此公司10GB的数据,包括员工个人文件、保密协议、合同、协议、机密文件和财务信息。
勒索介绍
Akira是跨平台勒索的代表,它不仅攻击Windows系统,其还通过添加Linux加密器,针对 VMware ESXi 虚拟机进行攻击。其于2023年3月出现,主要针对企业进行攻击。据安全媒体报道,其攻击目标包括教育、金融、房地产、制造业和咨询业。
该勒索的初始入侵可能利用了Cisco VPN(失陷账户),或者是远程控制软件滥用,其中包括RustDesk/Anydesk远程桌面。RustDesk是首次发现被利用,其可以在Windows,macOS和Linux上的跨平台操作,涵盖了Akira的全部目标范围。被勒索加密后的文件后缀为. Akira。
【Akira勒索信】
Hunters
攻击事件
美国公司帕内尔防御的客户信息、执法和保密信息等总计2G数据截图被Hunters勒索组织勒索。
知名化学制造商Nikki - Universal有限公司761.8GB的数据被Hunters勒索组织窃取。
勒索介绍
在2023年1月,Hunters International勒索组织取缔了Hive组织,后者曾是一个多产的勒索软件即服务(RaaS)组织。作为执法行动的一部分,Hive组织的活动被终止。他们的勒索软件包含了一份排除列表,指定了不应当加密的文件扩展名、文件名和目录。此外,该勒索软件还执行命令来干扰数据恢复工作,并终止可能会干扰加密过程的进程。
【Hunters勒索信】
Blackbasta
攻击事件
Btci、沃斯科等公司被Blackbasta组织勒索。
宠物公司Institutpetfood被Blackbasta组织勒索,距离该组织曝光数据的时间只剩17天。
德国制造业公司rembe被Blackbasta组织勒索,距离该组织曝光数据的时间只剩7天。
勒索介绍
在2022年初,RaaS威胁组织BlackBasta首次发现双重勒索软件攻击急剧增加。这些行为者表现得非常老练,他们经常运用一套独特的策略、技术和程序(TTP)来巩固立足点、横向传播、泄露数据以及成功实施勒索软件。该组织有时会在多个事件中采用相似的TTP。
【Blackbasta勒索信】
Qilin
攻击事件
Qilin组织将HiesmayrHaustechnik公司的部分资产信息、客户文档、保险说明书等文档截图挂在网站上,并留下付款地址。
延锋汽车遭“麒麟”勒索软件攻击,致北美工厂生产中断,该组织发布了多个文件,以证明他们涉嫌访问了延锋系统和文件,包括财务文件、保密协议、报价文件、技术数据表和内部报告。
美国加利福尼亚州圣地亚哥的非营利组织Promises2Kids遭到Qilin黑客组织的勒索软件攻击。Qilin组织以其对医疗机构和大型企业的攻击而闻名,他们威胁要公开该组织的机密信息,除非支付赎金。
勒索介绍
Agenda勒索也被称为Qilin勒索,该家族的早期版本使用Go语言编写的,增加了安全分析的难度。其早期版本是针对每位受害者定制的,使用受害者的机密信息(例如泄露的帐户和唯一的公司 ID)作为附加文件扩展名。随后,Agenda勒索家族推出了基于Rust语言开发的版本,Rust 是一种跨平台语言,可以更轻松地针对Windows和Linux等不同操作系统定制恶意软件。除了在编译语言上发生变化,该版本勒索还使用非全文加密提升破坏速度,间歇性加密实现检测规避。
【Agenda/Qilin勒索信】
INCRansom
攻击事件
INCRansom将里奇兰市政厅、中西部圣约之家、区域产科顾问和第一民族卫生局等机构的的机密文件窃取。
勒索介绍
INCRansom组织,是一个2023年8月开始活跃的新兴勒索组织,该组织在全球范围内开展勒索攻击活动,通常会选择拥有大量财务资源和敏感数据的目标,这方便它们能够向受害者索取更高额的赎金,该组织通常会使用窃取的登录凭证进入到受害者企业内部网络,使用正常软件和工具进行信息收集和数据扫描,然后在受害者主机上安装MegaSync软件进行数据窃取,最后使用WMIC和PSEXEC部署勒索软件进行勒索。
INCRansom组织目前主要面向Windows、Linux和VMware虚拟化平台的主机系统和平台进行攻击,该组织使用的勒索软件采用了部分加密和多线程结合方法进行加密操作,加密速度明显快于其他全文加密的勒索软件,被加密的文件会被重新命名为.inc为后缀的文件。INCRansom也会在其暗网的官网上实时更新其受害者的信息,该组织目前已经攻击了超过68家企业或机构,受害者涉及医疗、工程建筑、学校、金融和工业制造等多个领域;此外,暗网主页中还为受害者提供了单独的联系界面和登录界面,方便受害者与该组织进行谈判。
【INCRansom勒索信】
Bianlian
攻击事件
Bianlian组织勒索Caframo Limited.公司,他们窃取了该公司的会计数据、员工的资料、保密协议、供应商名单、服务器数据等,总计1.5TB。
美国最大的石油运输公司之一,岛屿运输公司,现已成为BianLian勒索软件的受害者。该组织称已获取了300GB的公司数据,包括业务数据、会计数据、项目数据、网络用户文件夹中的数据、文件服务器数据和个人数据。
Fish Nelson & Holden大量的医疗和实验室检查客户的档案、会计,预算,财务数据、合同数据和保密协议,事故、来自高层管理PC的文件、运营和业务文件等资料被Bilanlian勒索组织窃取,总计1TB。
勒索介绍
Bianlian 是一家勒索软件开发商、部署者和数据勒索网络犯罪集团,自 2022年6月以来已针对美国多个关键基础设施领域的组织。除了专业服务和房地产开发外,他们还瞄准了澳大利亚的关键基础设施部门。该组织通过远程桌面协议(RDP)凭据访问受害者系统,使用开源工具和命令行脚本进行发现和凭据收集,并通过文件传输协议(FTP)、Rclone或Mega泄露受害者数据。BianLian通过威胁如果不付款就发布数据来勒索钱财。该集团最初采用双重勒索模式,在泄露数据后对受害者的系统进行加密。
【Bianlian勒索信】
Killsec
攻击事件
泰国食品制造公司transfoodbeverage的数据被Killsec勒索组织加密,数据包括但不限于用户的名字、出生日期、地址、宗教信仰和电子邮箱地址等敏感信息。
印度公司shipkar员工的个人详细信息,如全名、地址和电话号码,以及Aadhaar号码和电子邮件地址,还有银行详细信息、UPIid和应付金额在内的财务信息,以及包裹重量、尺寸和成本等装运数据被Killsec组织勒索。
勒索介绍
KillSec是自2021年以来活跃的黑客组织,与Anonymous运动一致,以网站篡改、数据盗窃和赎金要求而闻名。该组织声称入侵德里和喀拉拉邦的交通警察网站,利用个人信息修改未支付罚款。最近,KillSec在其Telegram频道推出了KillSec RaaS(勒索软件即服务)平台,旨在提高新手网络犯罪分子的能力。该平台特点包括高效的加密锁、友好的用户界面、集成聊天功能以及简化的勒索软件创建工具。KillSec的动机为意识形态和财务机会主义的结合,其RaaS的推出可能降低网络犯罪门槛,导致全球勒索软件事件的增加。
【KillSec要求】
| 来源:亚信安全
