勒索检测能力升级，亚信安全发布《勒索家族和勒索事件监控报告》

评论员简评

1. 近期(12.08-12.14)共发生勒索事件119起，相较之前呈现持平趋势。

2. 与上周相比，本周仍然流行的勒索家族为lockbit3和8base。在涉及的勒索家族中，活跃程度Top5的勒索家族分别是：lockbit3、siegedsec、dragonforce、8base和rhysida。

3. 本周中国区域涉及的勒索受害者包括某物联科技公司、某医药公司，相应的勒索家族为dragonforce、lockbit3。

4. 据亚信安全威胁情报中心统计，截止目前，中国地区2023年共发生勒索事件83起，其中互联网行业，制造业和金融行业受影响最严重，累计32家，占比近40%。

01 勒索态势

本周全球共有23个活跃的勒索家族，发生了119起攻击和勒索事件。

1. 攻击和勒索事件趋势图如图1.1所示，勒索事件连续7周处于频发增长趋势。

2. 全球共有33个国家的企业受到影响，其中美国位列第一，占总数量的46.2%。中国共有3家企业遭受勒索攻击，Top10受影响国家见图1.2。

3. 共有18个行业受到影响，最严重的行业是制造业、互联网、医疗以及政府。详见图1.3。

图1.1 勒索事件趋势图

图1.2 Top10受影响国家

图1.3 受攻击行业分布图

02 勒索事件跟踪

本周监测到的119起勒索事件中，发生在中国的有3起。通过分析发现，中国区域制造业仍然是勒索事件重灾区。对公共安全造成重大影响的Top10事件如表2.1所示。

表2.1 Top10勒索事件详情

勒索事件详细跟踪分析

1. 本周勒索软件组织lockbit3将英国道森集团添加到其Tor泄露网站的受害者名单中。该勒索组织共获得了超过400GB数据，其中包括财务信息和员工信息等。本次对道森集团的勒索攻击可能会产生广泛的影响。作为一家与各种业务相关的B2B公司，其数据的泄露对关联公司也构成了巨大风险。

2. 本周勒索软件组织knight将美国俄亥俄州Defiance县添加到其Tor泄露网站的受害者名单中。该勒索组织共获得了超过390GB的文件，其中包括员工文件，执法视频，邮件和合同等各种机密文件。

3. 本周勒索软件组织lockbit3将德纳能源添加到其Tor泄露网站的受害者名单中，并设置最后的交付赎金的时间为12月6日。

03 勒索家族活跃情况

本周监控到活跃的勒索家族共有23个，每次攻击和勒索事件都给企业造成了重大的直接和间接损失，直接损失从几十万美元到数千万美元不等，而间接损失很难估计。与上周相比，本周仍然流行的勒索家族为lockbit3和8base。活跃程度TOP5的勒索家族分别是：lockbit3、siegedsec、dragonforce、8base和rhysida，这五个勒索家族的详细情况见表3.1。

表3.1 Top5活跃勒索家族

影响中国的勒索组织介绍

Rhysida是一款新型的勒索软件，自2023年5月起开始活跃，由美国卫生与公共服务部的网络安全协调中心发布警报。该软件标识为Ransom.PS1.RHYSIDA.SM，主要通过加密系统文件来实施勒索，并要求受害者支付赎金。

LockBit 3.0，又称“LockBit Black”，是一种勒索服务（RaaS）模型，继承了LockBit家族的传统。该模型具备高度自动化和组织化，使用先进的加密算法，迅速加密受害者数据并要求赎金。

俄乌战争前，出现了一个名为SiegedSec的新威胁组织。该组织的口号是“围攻”受害者的安全，由黑客行动主义者“YourAnonWolf”领导，共有7名成员。SiegedSec并未对受害者的行业或地点有特定偏好，已成功攻击了医疗、IT、保险、法律和金融等全球多个行业的公司。成立以来，该组织已从至少30家公司获取了机密数据、泄露的电子邮件或被盗数据库的访问权限。尽管在各论坛上泄露了被盗数据，但SiegedSec并未使用勒索软件或试图出售信息。由于许多受害公司为小企业，很少有公司公开宣布受到SiegedSec引起的网络安全事件。

04 亚信安全勒索检测能力升级

针对全球勒索事件频发的威胁态势，亚信安全推出勒索治理方案，针对近期活跃勒索事件已具备检测能力，请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下：

表4.1 本周勒索事件特征库更新列表