2024年上半年勒索病毒趋势报告

关键要点

• 2024年上半年，勒索病毒攻击数量同比略有增加，热门攻击团伙的名单发生变化。
• 有新漏洞被频繁利用作为勒索入侵的切入点。
• 新兴的勒索病毒团伙RansomHub、DragonForce和LukaLocker开始崭露头角。

2024年上半年，勒索病毒攻击的数量有所上升，突破记录的达到了1,762起，这相比于2023年、特别是2月的49%的激增，显示出勒索病毒活动仍在持续。根据PaloAlto Networks Unit 42的勒索病毒报告，这一增幅提醒了我们对安全漏洞的重视。

最活跃的勒索病毒团伙

报告指出，排名前六的勒索病毒团伙在2024年上半年占据了超过一半的声称入侵案例，其中去年排名靠前的ALPHV/BlackCat和Cl0p相继下滑。新晋的BlackBasta和Medusa分别进入了第五和第六名。这些团伙包括LockBit、Play、8Base和Akira。尽管LockBit受到执法部门的干扰，但其依然保持在排行榜的首位，令人堪忧。

“现如今，大多数勒索病毒团伙经常利用泄露网站来施压受害者，因此研究人员通常会利用这些数据识别漏洞和攻击活动的趋势。然而，防护者和研究人员在使用泄露网站数据时应谨慎，因为这些信息不一定准确。”

• Palo Alto的报告指出。

漏洞被广泛利用

2023年安全漏洞的利用已成为勒索病毒入侵的主要切入点，这一趋势在2024年上半年延续。Palo Alto指出，许多新漏洞在ConnectWiseScreenConnect、JetBrains TeamCity、PHP Common Gateway Interface (CGI) 和微软Windows错误报告服务中被勒索病毒团伙广泛利用。

主要漏洞概况

这几种漏洞被多个勒索团伙如Play和BlackBasta利用，导致了严重的安全事件。比如，ScreenConnect的两个漏洞在2024年2月得到修复后就被急速利用，甚至在PHPCGI出现关键漏洞后不久就被TellYouThePass勒索病毒所利用。

新兴勒索病毒团伙

Unit42的报告还提到了2024年新兴的勒索病毒团伙，如RansomHub、DragonForce和LukaLocker。RansomHub的团伙在俄罗斯匿名市场（RAMP）论坛开始招募新成员，其背后可能与之前的Knight/RaaS团伙有联系。DragonForce则在2023年11月首次出现，利用被泄露的LockBit3.0源代码进行攻击，并以向受害者泄露通话录音进行勒索，为其所知。

与此同时，ALPHV/BlackCat等团伙活动显著减少，2024年并未在其网站上声称新的入侵事件，可见一些老牌勒索团伙的颓势逐渐显现，而Cl0p的活动也大幅下降。

总的来说，2024年的勒索病毒形势依然严峻，新的和旧的攻击团伙都在不断变化和进化，使得安全防护措施变得尤为重要。有关安全措施的进一步信息，您可以