top of page

勒索軟體:2024第三季威脅水平仍然居高不下

新成立的RansomHub團隊超越LockBit,成為最活躍的勒索軟體組織。


2024年第三季,勒索軟體攻擊次數仍接近高峰,同時,剛成立不久的RansomHub團隊已超越資深的LockBit組織,成為目前最主要的勒索軟體威脅。

根據勒索軟體洩漏網站上的數據分析,勒索軟體攻擊者聲稱在2024年第三季度共發動了1,255次攻擊,略低於第二季度的1,325次,但總體攻擊次數仍呈現上升趨勢。

圖 1. 2023 年至 2024 年營運資料外洩網站的攻擊者聲稱實施勒索軟體攻擊。
圖 1. 2023 年至 2024 年營運資料外洩網站的攻擊者聲稱實施勒索軟體攻擊。

LockBit攻擊次數下降

第三季度最大的變化是LockBit的勢力減弱,這個原本在勒索軟體生態系統中占主導地位的組織,第二季度的攻擊次數是其主要競爭對手Qilin的三倍多。然而,LockBit在第三季度聲稱的攻擊次數為188次,明顯少於第二季度的353次。2024年2月,LockBit成為國際執法行動的目標,這可能對其活動水準產生影響。雖然它在第二季度似乎完全恢復,但這次行動可能導致其合作夥伴對組織失去信任,特別是當局表示他們已獲得可能識別合作夥伴的相關信息。

圖 2. 2024 年第 3 季按聲稱的攻擊進行的最多產的勒索軟體操作。
圖 2. 2024 年第 3 季按聲稱的攻擊進行的最多產的勒索軟體操作。

RansomHub迅速崛起

LockBit的衰退為RansomHub帶來了最大好處。這個僅在2024年2月開始活躍的組織,現在已成為勒索軟體攻擊數量最多的團隊。RansomHub在第三季度聲稱發動了191次攻擊,遠高於第二季度的75次。這個團隊的迅速崛起可能歸因於其成功招募了有經驗的合作夥伴,並提供比競爭對手更具吸引力的條件,從而吸引了許多勒索軟體即服務(RaaS)模式的合作夥伴。


另一個增加攻擊活動的團隊是Qilin(又稱Agenda),他們在第三季度聲稱發動了140次攻擊,較第二季度的97次有顯著增加。

圖 3. 聲稱的 LockBit 和 RansomHub 攻擊,2024 年第一季至第三季。
圖 3. 聲稱的 LockBit 和 RansomHub 攻擊,2024 年第一季至第三季。

LockBit與RansomHub的攻擊對比

在Symantec調查的勒索軟體活動與公開聲稱的攻擊活動之間,再次顯現了明顯的差異。儘管LockBit在公開聲稱的攻擊數量中仍占據重要地位,但在Symantec調查的第三季度攻擊中,LockBit只占7%。相較之下,雖然RansomHub在公開聲稱的攻擊中占15%,但它負責的攻擊占Symantec調查的攻擊總數的三分之一,這支持了該團隊正在從競爭對手那裡招募有經驗的合作夥伴的報告。

圖 4. 公開聲稱的攻擊的比例與賽門鐵克調查的勒索軟體攻擊的比例,2024 年第 3 季。
圖 4. 公開聲稱的攻擊的比例與賽門鐵克調查的勒索軟體攻擊的比例,2024 年第 3 季。

勒索軟體攻擊的複雜性

當今的勒索軟體攻擊通常是多階段的複雜入侵,攻擊者會部署多種工具,並進行大量的手動操作。

圖 5. 2024 年 1 月至 9 月勒索軟體攻擊中最常見的工具。
圖 5. 2024 年 1 月至 9 月勒索軟體攻擊中最常見的工具。

分析顯示,勒索軟體攻擊者目前偏好使用以下四類工具:

  1. 利用系統內建工具:如PsExec和WMI這些Windows環境中的工具,攻擊者可利用它們在網路中進行橫向移動並執行遠端命令。而PowerShell則是一個強大的腳本工具,可以用來執行命令、下載惡意載荷、進行橫向移動和進行偵察。

  2. 削弱防禦能力:越來越多的攻擊者使用「自帶漏洞驅動程式」(BYOD)技術,攻擊者部署一個已簽署的漏洞驅動程式,並利用它來關閉安全軟體。由於驅動程式擁有內核存取權限,它們可以用來終止進程。

  3. 遠端桌面/管理工具:儘管這些軟體合法用於遠端管理或技術支援,攻擊者也經常使用它們來開啟後門存取。例如RDP、AnyDesk、Splashtop和ScreenConnect經常被勒索軟體攻擊者部署。

  4. 數據滲透工具:大多數勒索軟體團隊在加密數據之前,會先竊取數據,並以洩露數據的威脅作為額外的施壓手段。Rclone是最常見的數據滲透工具,許多遠端管理軟體也具備數據滲透的功能。


強韌的勒索軟體生態系統

RansomHub和Qilin等團體的崛起,意味著勒索軟體生態系統變得更為強韌,未來即便某個主導團隊被打擊或下線,也可能不會對整個生態系統造成重大干擾。


保護/緩解措施

欲了解最新的保護更新,請參閱Symantec的保護公告

Comments


bottom of page