2024年上半年勒索病毒趋势报告

关键要点

2024年上半年，勒索病毒攻击数量同比略有增加，热门攻击团伙的名单发生变化。有新漏洞被频繁利用作为勒索入侵的切入点。新兴的勒索病毒团伙RansomHub、DragonForce和LukaLocker开始崭露头角。

2024年上半年，勒索病毒攻击的数量有所上升，突破记录的达到了1762起，这相比于2023年、特别是2月的49的激增，显示出勒索病毒活动仍在持续。根据Palo Alto Networks Unit 42的勒索病毒报告，这一增幅提醒了我们对安全漏洞的重视。

最活跃的勒索病毒团伙

报告指出，排名前六的勒索病毒团伙在2024年上半年占据了超过一半的声称入侵案例，其中去年排名靠前的ALPHV/BlackCat和Cl0p相继下滑。新晋的BlackBasta和Medusa分别进入了第五和第六名。这些团伙包括LockBit、Play、8Base和Akira。尽管LockBit受到执法部门的干扰，但其依然保持在排行榜的首位，令人堪忧。

“现如今，大多数勒索病毒团伙经常利用泄露网站来施压受害者，因此研究人员通常会利用这些数据识别漏洞和攻击活动的趋势。然而，防护者和研究人员在使用泄露网站数据时应谨慎，因为这些信息不一定准确。” Palo Alto的报告指出。

老版本旋风加速免费

漏洞被广泛利用

2023年安全漏洞的利用已成为勒索病毒入侵的主要切入点，这一趋势在2024年上半年延续。Palo Alto指出，许多新漏洞在ConnectWise ScreenConnect、JetBrains TeamCity、PHP Common Gateway Interface (CGI) 和微软Windows错误报告服务中被勒索病毒团伙广泛利用。

主要漏洞概况

漏洞名称跟踪号CVSS影响恢复状态ScreenConnect漏洞CVE20241709100认证绕过、远程代码执行已修复TeamCity认证漏洞CVE20242719898认证绕过已修复PHP CGI漏洞CVE2024457798远程代码执行已修复Windows错误报告服务漏洞CVE20242616978权限升级已修复

这几种漏洞被多个勒索团伙如Play和BlackBasta利用，导致了严重的安全事件。比如，ScreenConnect的两个漏洞在2024年2月得到修复后就被急速利用，甚至在PHP CGI出现关键漏洞后不久就被TellYouThePass勒索病毒所利用。

新兴勒索病毒团伙

Unit 42的报告还提到了2024年新兴的勒索病毒团伙，如RansomHub、DragonForce和LukaLocker。RansomHub的团伙在俄罗斯匿名市场RAMP论坛开始招募新成员，其背后可能与之前的Knight/RaaS团伙有联系。DragonForce则在2023年11月首次出现，利用被泄露的LockBit 30源代码进行攻击，并以向受害者泄露通话录音进行勒索，为其所知。

与此同时，ALPHV/BlackCat等团伙活动显著减少，2024年并未在其网站上声称新的入侵事件，可见一些老牌勒索团伙的颓势逐渐显现，而Cl0p的活动也大幅下降。

总的来说，2024年的勒索病毒形势依然严峻，新的和旧的攻击团伙都在不断变化和进化，使得安全防护措施变得尤为重要。有关安全措施的进一步信息，您可以