本周态势快速感知
  1. 本周(12.22-12.28)全球共发生了84起攻击和勒索事件。勒索事件数量相较上周急速下降,回归正常趋势。
  2. 本周需要重点关注的除了仍然流行的勒索家族lockbit3以外,还有最近攻击趋势有所增长的cactus勒索家族。cactus是新的勒索软件变种,自2023年3月以来其攻击目标主要为大型商业实体。
  3. 本周美国威富公司遭受来自alphv恶意家族的勒索,该勒索事件不仅对该公司的业务运营产生了重大影响,同时可能会影响该公司的供应商、经销商、合作伙伴及客户。

01 勒索态势

本周全球共发生了84起攻击和勒索事件,勒索事件数量相较上周急速下降,回归正常。

  1. 勒索事件趋势见图1.1。截至目前,中国地区2023年共发生勒索事件超过90起。

  2. 本周全球勒索事件受害者所属行业和历史对比趋势图如图1.2所示。从图中可知,各行各业的勒索事件都减少了。

  3. 2023年中国区域的勒索事件受害者所属行业分布如图1.3所示,Top5为制造业、互联网、服务业、金融和建筑行业。

  4. 本周勒索事件受害者所属国家Top10如图1.4所示。美国依旧为受勒索攻击最严重的国家。占比42%。

  5. 本周监控到活跃的勒索家族共有19个,Top10勒索家族如图1.5所示。本周Top3和历史Top3勒索家族的累积变化趋势如图1.6所示。从图中可知,lockbit3仍然是影响最严重的勒索家族;toufan家族的攻击趋势有所缓和;cactus恶意家族的攻击趋势最近有所增长,需要注意防范。

  6. 2023年中国区域的勒索家族活跃情况分布如图1.7所示,Top3为lockibit3、regroup和noescape。

图1.1 勒索事件趋势图

图1.2 勒索受害者行业分布趋势图

图1.3 2023年中国区域勒索受害者行业分布图

图1.4 Top10受影响国家

图1.5 Top10活跃勒索家族

图1.6 流行勒索家族的累积变化趋势图

图1.7 2023年攻击中国区域的勒索家族分布图

02 勒索事件跟踪

本周监测到勒索事件84起。本周对公共安全造成重大影响的Top10事件如表2.1所示。随后本文在勒索事件详细跟踪分析部分对表中的一些重点事件进行了详细描述。

表2.1 Top10勒索事件详情

勒索事件详细跟踪分析

  1. Vans和The North Face的母公司—全球服装和鞋类巨头VF Corp.(威富公司)遭受了来自alphv恶意家族的勒索。VF Corp总部位于科罗拉多州,拥有3.5万名员工,旗下拥有Supreme、Vans、Timberland和The North Face等13个全球知名户外运动品牌,年营业收入达116亿美元。VF Corp的网络安全部门检测到未授权访问后关闭了部分系统,并聘请了外部专家来帮助遏制攻击。然而,攻击者仍然成功加密了公司的一些计算机并窃取了公司及个人数据。该事件不仅对该公司的业务运营产生了重大影响,同时可能会影响该公司的员工、供应商、经销商、合作伙伴及客户。

  2. 本周勒索组织akira将国际电子机械公司添加到其Tor泄露网站的受害者名单中。该勒索组织共获得了超过16GB的文件,泄露数据中的人力资源文件包含许多个人信息、IP和项目文件等。

  3. 本周勒索组织alphv将美国超智能与通信公司添加到其Tor泄露网站的受害者名单中。该公司主要提供网络安全、多域通信、无线电解决方案以及军事用途的语音识别解决方案。该勒索组织共获得了超过30GB的敏感数据。窃取的数据包括审计数据、金融数据和其他相关文件。

03 重点勒索组织介绍

本周主要介绍老牌勒索家族lockbit3和最近攻击趋势有所增长的cactus这两个家族。

LockBit 3.0

LockBit 3.0,又称“LockBit Black”,是一种勒索服务(RaaS)模型,继承了LockBit家族的传统。该模型具备高度自动化和组织化,使用先进的加密算法,迅速加密受害者数据并要求赎金

Cactus

Cactus是新的勒索软件变种,自2023年3月以来针对大型商业实体。“CACTUS”来自勒索信中提供的文件名cAcTuS.readme.txt,以及勒索信本身中声明的名称。加密的文件末尾附加了.cts1,文件扩展名末尾的数字在不同事件和受害者中有所变化。

04 亚信安全勒索检测能力升级

针对全球勒索事件频发的威胁态势,亚信安全推出勒索治理方案,针对近期活跃勒索事件已具备检测能力,请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下:

表4.1 本周勒索事件特征库更新列表

注:监测数据仅来源于互联网已公开信息,统计不包含亚信安全已拦截事件。