能力中心反病毒部在2024年全年監(jiān)測、分析與處置的勒索軟件事同時融入國際熱點事件與形勢的分析判斷，旨在評Web應(yīng)用漏洞傳播手段的高度依賴。這一趨勢表明，利用Web漏洞作為索軟件家族擴(kuò)散攻擊的主要選擇之一。各勒索家族的核心加密功能開始向效率方面進(jìn)行優(yōu)化。Curve25519、ChaCha20等高效根據(jù)對受害者的問卷調(diào)查分析，發(fā)現(xiàn)辦公文檔和數(shù)據(jù)庫文件是在遭到勒索攻擊后最被“在乎”的文件類型。反應(yīng)出針對個人用戶的勒索攻擊更多是發(fā)生于辦公場景之中。2024年，雙重勒索和多重勒索模式的贖金要求進(jìn)一步攀升，多家勒索軟件家族在成功攻擊后開出了超過千萬美元的贖金。其中，DarkAngels家族向美國知名藥品公司雙重/多重勒索的重點攻擊目標(biāo)鎖定在制造業(yè)、租賃和商務(wù)服務(wù)業(yè)以及批發(fā)零售業(yè)。公2024年，廣東、山東和江蘇三省成為國內(nèi)勒索軟件攻擊最為嚴(yán)重的地區(qū)。受攻擊的系業(yè)所面臨的威脅也有顯著提升，已緊隨其后位于榜單的第四相同——分別是德國和美國。而勒索軟件作者所采用的溝通郵箱則依然以匿名郵箱為在與勒索軟件對抗的安全技術(shù)發(fā)展方面，我們認(rèn)為未來將朝著A索軟件對抗的安全技術(shù)前沿，推動行業(yè)在防護(hù)能力和應(yīng)對策略第一章勒索軟件攻擊形勢 1一、勒索軟件概況 2 3 4 4二、勒索軟件傳播方式 7三、多重勒索與數(shù)據(jù)泄露 8 8 9 四、勒索軟件家族更替 一、受害者所在地域分布 38二、受攻擊系統(tǒng)分布 39三、受害者所屬行業(yè) 40四、受害者支付贖金情況 42五、對受害者影響最大的文件類型 43六、受害者遭受攻擊后的應(yīng)對方式 43七、受害者提交反勒索服務(wù)申請訴求 44 一、黑客使用IP 46二、勒索聯(lián)系郵箱的供應(yīng)商分布 46三、攻擊手段 47 一、AI成為勒索對抗熱點 59 二、專業(yè)化、系統(tǒng)化攻擊頻發(fā) 60三、創(chuàng)新驅(qū)動反勒索技術(shù)發(fā)展——安全技術(shù)新突破 61 一、針對企業(yè)用戶的安全建議 62 二、針對個人用戶的安全建議 64 三、不建議支付贖金 65四、勒索事件應(yīng)急處置清單 65 一、多家中國公司遭SANGGIERO勒索 67二、江森自控稱勒索攻擊導(dǎo)致的數(shù)據(jù)被盜造成其2700萬美元損失 68三、特朗普案件的機密信息遭勒索軟件竊取 69四、瑞士表示PLAY勒索軟件泄露了65000份政府文件 70五、芯片制造商安世在遭勒索軟件公布數(shù)據(jù)后確認(rèn)泄露事件 71六、波音公司證實有勒索軟件試圖向其勒索2億美元 72七、多名勒索軟件相關(guān)黑客在美國被起訴 73八、UNITEDHEALTH稱有一億條數(shù)據(jù)在勒索事件中被盜 76九、施耐德電器確認(rèn)黑客竊取數(shù)據(jù)后開發(fā)平臺遭到破壞 77十、俄羅斯逮捕多名勒索組織成員并判刑 78 一、遠(yuǎn)控與勒索急救功能 二、勒索預(yù)警服務(wù) 三、弱口令防護(hù)能力 四、數(shù)據(jù)庫保護(hù)能力 五、WEB服務(wù)漏洞攻擊防護(hù) 六、橫向滲透防護(hù)能力 七、提權(quán)攻擊防護(hù) 90八、掛馬網(wǎng)站防護(hù)能力 91九、釣魚郵件附件防護(hù) 91 1第一章勒索軟件攻擊形勢的傳播手段，成功躍升為傳播量最廣泛的勒索軟件家族之一。此外，新的勒索家族如RNTC國內(nèi)勒索軟件形勢依然嚴(yán)峻，隨著Web漏洞通過對2024年勒索軟件樣本的深入分析及攻加密方式，轉(zhuǎn)而專注于數(shù)據(jù)竊取，將數(shù)據(jù)泄露作為勒索的主要安全威脅。與此同時，AI在安全領(lǐng)域的應(yīng)用也取得了顯著進(jìn)展，各大安全公司紛紛推出結(jié)網(wǎng)絡(luò)威脅的對抗中占據(jù)主動。因此，AI無疑已成為當(dāng)前勒索軟件攻2與近幾年情況類似，2024年整體勒索反饋量同樣呈現(xiàn)相對平穩(wěn)的趨勢。與以往略有不3并在自身傳播方式中新增了Web漏洞利用途徑。結(jié)合其原有的廣泛傳播網(wǎng)絡(luò)和龐大的關(guān)。盡管如此，Phobos仍以第三位的反饋量占比保持強勁的攻擊勢頭，且在傳播和加員休息期間實施集中的突襲，極大地提高了入侵成功率。盡管隨著Web漏洞的修復(fù)，4等相對基礎(chǔ)的傳播手段進(jìn)行擴(kuò)散的Makop和Phobos勒索軟件家族，盡管其感染量持續(xù)較高，對比的是，2024年新出現(xiàn)的勒索軟件家族，或是采用了創(chuàng)新傳播手段的家族，它們的感染l其中，TargetCompany(Mallox)勒索軟件家族雖然同該家族自2024年4月起加入了利用Web漏洞入侵受害者網(wǎng)絡(luò)的新手段進(jìn)行傳播，所以RNTC兩個勒索軟件家族作為今年的“新秀”，更是一經(jīng)問世便展示出了強大的破壞能力，在年末對各大企業(yè)目標(biāo)展開了一波頗為強勁的我們對2024年仍在活躍傳播且具有代表性5phobosMoneyMessage-6DoNexC---通過對2024年勒索軟件樣本的技術(shù)分析，我在非對稱加密階段，Curve25519算法逐漸嶄露頭角。主流勒索軟件家族采用多級加密7位居第二，但與傳統(tǒng)通過遠(yuǎn)程桌面入侵量的占比已相差無幾，說是并列第一也并不為過。2024年通過漏洞利用發(fā)起的勒索攻擊量有著非常大幅的增加。而在各類應(yīng)用的漏洞利年出現(xiàn)以來就一直是勒索軟件界的活躍分子，年新增了利用Web漏洞來入侵目標(biāo)網(wǎng)絡(luò)的手段。這類勒索軟件家族本就有著較為完善8典規(guī)?！庇兄欢ǖ囊螅源祟惞舻目傮w占比并不像遠(yuǎn)程桌面入侵一樣夸張。近年來，通過雙重勒索或多重勒索模式獲利的9從遭到數(shù)據(jù)泄露機構(gòu)所在地分布情況來看，但總體波動很小。這可以看作是美國機構(gòu)在2下圖為根據(jù)全球地區(qū)分布數(shù)據(jù)所繪制的更加從數(shù)據(jù)泄露的相關(guān)統(tǒng)計來看，總體有一定的波動，但并未出現(xiàn)較大規(guī)模的爆TargetCompany(Mallox)采用了新的入侵手段有關(guān)。而年底的一波峰值數(shù)據(jù)，則主要是受到對2024年勒索軟件贖金進(jìn)行跟蹤發(fā)現(xiàn)，勒萬到數(shù)千萬不等，凸顯了勒索軟件攻擊的嚴(yán)重性和對受害者的財HuntersInternationalDarkAngelsBlackSuitAcadianAmbulance(US)今年，雙重勒索軟件攻擊首次出現(xiàn)了即使支付贖金數(shù)據(jù)依然被泄露的案例。屬組織透露，贖金高達(dá)2200萬美元。原配，但BlackCat卻突然關(guān)閉，私自侵始泄露部分被盜數(shù)據(jù)，并要求額外支付費用以防止數(shù)據(jù)進(jìn)一步泄露。這一事件最終導(dǎo)致ChangeHealthcare的數(shù)據(jù)被成交。大金額勒索事件的最終結(jié)果通常是私下和解或被受害者直接無竊取到的全部數(shù)據(jù)，通過對這部分?jǐn)?shù)據(jù)分析發(fā)現(xiàn)，2024年的勒索軟件攻擊事件波及了數(shù)百它可能導(dǎo)致身份盜竊、金融欺詐、商業(yè)機密U.S.govtagencyCMSPrudentialFinancialFidelityNationalFinancFrontierCommunicationsCityofColumbus3AMMoneyMessageAnnaJaquesCommunityClinicofMauiJewishHomeLifecare在數(shù)據(jù)被泄露的情況下，攻擊者會利用盜取的數(shù)據(jù)直接聯(lián)系客戶，警告其個人信息可能已被泄露。例如，攻擊者可能通過電子郵件、電話等方式通知客戶，要求其盡快采取措施保護(hù)個人信息，或要求客戶支付一定費用以防止進(jìn)一步的信息泄漏。通過這種方式，攻擊者不僅增加了受害者的心理壓力，還攻擊者通過與媒體的合作，擴(kuò)大數(shù)據(jù)泄露事件的曝光度。在一些情況下，勒索團(tuán)伙甚至建立了自己的媒體關(guān)系，主動向記者透露攻擊細(xì)節(jié)，確保事件得到廣泛報道，放大輿論效應(yīng)。通過這些手段，攻擊者不僅在經(jīng)濟(jì)上獲得勒索收益，還在社會層面加大了對企業(yè)的壓力。攻擊者可能將這些新聞報道鏈接關(guān)機制，在發(fā)生泄露事件時能夠及時、有效地管理輿情，減少聲譽損勒索團(tuán)伙會通過建立專門的黑市網(wǎng)站或平臺，公開拍賣竊取的數(shù)據(jù)。這些數(shù)據(jù)通常包括企業(yè)的敏感信息、客戶資料、內(nèi)部文件等。一些團(tuán)伙甚至?xí)O(shè)置競拍機制，將竊取的數(shù)據(jù)以高價售賣給其他犯罪分子、競爭對手或第三方公司。通過這種方式，勒索團(tuán)伙不僅增加了經(jīng)濟(jì)收益，還加劇了受害企業(yè)的壓據(jù)。這些團(tuán)伙通過拍賣的方式獲得了極高的利益，同時也讓受害企業(yè)面臨了業(yè)如果未能及時報告，可能會面臨嚴(yán)厲的罰款和法律后許多企業(yè)在遭遇勒索軟件攻擊或數(shù)據(jù)泄露時，可能會選擇隱瞞事件，試圖通過支付贖金解決問題，而不向公眾或監(jiān)管機構(gòu)報告。這種做法雖然可能暫時緩解企業(yè)的壓力，但一旦被揭露，企業(yè)將面臨更為嚴(yán)峻的法律制裁。例如，康涅狄格州的檢察長聯(lián)合要求的，顯示出各州對數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全的高度家醫(yī)院不得不啟動“血液短缺”應(yīng)急程序。這一事件突顯了數(shù)據(jù)泄露對公共健康服務(wù)的嚴(yán)重影響。在醫(yī)療行業(yè)，數(shù)據(jù)泄露可能不僅導(dǎo)致經(jīng)濟(jì)損失，還可最終申請破產(chǎn)保護(hù)。該事件反映了勒索軟件對企業(yè)運營連續(xù)性的影響，尤其失達(dá)到數(shù)千萬美元。此外，勒索軟件攻擊可能導(dǎo)致企業(yè)網(wǎng)站癱瘓，進(jìn)一步影-RebornRansomware,Anony,PSAUX,RdpLocker針對以上新增勒索軟件家族，我們對其中幾個典型家族進(jìn)行具體的區(qū)，因為在全球范圍內(nèi)，包括加拿大、羅馬尼亞、韓國、英國等地改編而成的勒索軟件。與主流勒索軟件相似，LvtLocker在代碼中內(nèi)ChaCha20對稱加密算法對文件進(jìn)行加密，這種加密方式因其效率而被主流勒索軟件廣泛采例如：CVE-2020-28188、CVE-2022-24989和翼軟件中的SQL注入漏洞作為其主要傳播手段。這種漏洞允許攻擊者在沒有適當(dāng)身份驗證第一個版本在成功加密受害者的文件之后，會在文件名后添加“.locked”的后綴。盡第二個版本在加密文件后，會在文件名后添加“.Wormhole”的后綴。與第一個版本不可能會使受害者在談判過程中處于不利地位重大威脅。這種惡意軟件通過暴力破解技術(shù)，專門針對遠(yuǎn)程桌面協(xié)議（RDP）的登錄憑據(jù)進(jìn)區(qū)，并使用WindowsBitLocker加密公司系統(tǒng)ShrinkLocker勒索軟件僅在滿足特定條件時才會繼續(xù)攻擊，例如當(dāng)前域與目標(biāo)匹配，操作系統(tǒng)版本比Vista新。否則，ShrinkLo件，它會利用BitLocker加密文件，并通過TryCloudflare攻的是，由于PSAUX勒索軟件加密算法中存在錯助用戶更新和解決與消除攻擊后果相關(guān)的問題。然而，在報告漏洞時，互聯(lián)網(wǎng)上有超過22,000個未打補丁的服務(wù)器。攻擊發(fā)生后，大多數(shù)服務(wù)器變得不可用，可能已被破壞并感命令來下發(fā)惡意軟件;如果Redis這條路“走不通”，蠕MorLockRedRansomwareAPT73ArcusMediaNitrogenFunksecNotLockBit運作。該組織據(jù)信在RAMP暗網(wǎng)論壇購買了Knight（曾用名Cyclops）勒索軟件的源碼，并方面與BlackCat/ALPHV存在顯著相似性，且兩者的命令與控制基礎(chǔ)設(shè)施（C2其Telegram頻道公開招募滲透測試人員和開發(fā)人員，竊密工具等。其定價僅為250美元，并承諾后續(xù)發(fā)布的功能不會再向附屬成員索要任何費竊密工具等。其定價僅為250美元，并承諾后續(xù)發(fā)布的功能不會再向附屬成員索要任何費件，還是BlackCat(ALPHV)、Hive、LockBit等勒索軟件的附屬公司，ActiveDirectory）憑據(jù)，從而操盡管有安全研究員將Embargo勒索軟件與BlackCat聯(lián)系在一起，但EmbargoCicada3301謎題系列的組織者已明確否認(rèn)與勒索軟件有任何聯(lián)系，在規(guī)定時間內(nèi)支付贖金，他們會在該站點公開竊取的數(shù)對Cicada3301的加密程序分析顯示，它與已解散的BlackCat/ALPHV勒索軟件HellDown采用雙重勒索策略，不僅竊取數(shù)據(jù)，還威脅受害者若不支付贖金則公開數(shù)據(jù)。該其復(fù)雜性屬于中等水平，但HellDown主要針對非營利組織以及多個行的中小企業(yè)。DragonRansom勒索軟件是2024年10月推出的新型勒索軟件組織。該組織此前以針對以色列以及西方支持以色列的政黨進(jìn)行攻擊時使用的加密程序是StormCry。但去已申明頻道外，并未開啟其他頻道。Dispossessor針對以上其它類型勒索家族，我們對其中幾個典型家族進(jìn)行具體的Dispossessor勒索團(tuán)伙與RADAR勒索團(tuán)和黑客論壇（如BreachForums和XSS）上出售這些數(shù)據(jù)。因此，研究人員普遍認(rèn)為，Dispossessor并非一個新興的勒索軟件團(tuán)伙，而是一群犯罪分子，他們試圖利用其他團(tuán)伙法機構(gòu)還拆除了該組織使用的9個域名，其中8個在美國，1個在德國。這標(biāo)志著功能描述進(jìn)行釣魚郵件傳播。釣魚郵件中暗示用戶可以通過打開附件中的軟件查詢開房記trash.dat文件，向里面瘋狂寫入大量垃圾數(shù)據(jù)，直到最終將整個磁盤的空間占滿(C盤除HelloGookie勒索軟件，作為HelloKitty勒索軟件品牌Gookee/kapuchino在黑客論壇上公開了HelloKitty構(gòu)建器和源代碼，這點上發(fā)布了之前攻擊CDProjekt和思科時竊取的數(shù)據(jù)。這些泄攻擊的數(shù)據(jù)，還包含了舊版HelloKitty勒索LukaLocker在執(zhí)行攻擊時，會利用TruHellman（ECDH）密鑰協(xié)商算法隨機生成Chacha8密鑰和隨機數(shù)件，它結(jié)合了ChaCha20和RSA算法對受害者的文件進(jìn)行加密，受害者想要解密文件僅需支當(dāng)GoZone運行完畢后，會將桌面背景修改為下圖，提內(nèi)部因?qū)θA盛頓警察數(shù)據(jù)處理發(fā)生內(nèi)部矛盾，其創(chuàng)始者將其源代碼公開發(fā)布；第二章勒索軟件受害者分析波動始終均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主下圖為根據(jù)全國地區(qū)分布數(shù)據(jù)所繪制的更加對2024年受攻擊的操作系統(tǒng)數(shù)據(jù)進(jìn)行統(tǒng)計，位居前三的系統(tǒng)為Windows10、Windows同，本輪桌面系統(tǒng)的占比回歸更多是受到了Web漏洞入侵手段增加和中小型企業(yè)采用此外，受到越來越多的勒索家族采用雙重/多重勒索攻擊影響，金融行業(yè)所掌握的數(shù)據(jù)基于2024年的問卷數(shù)據(jù)統(tǒng)計分析，辦公文檔和數(shù)據(jù)庫數(shù)據(jù)依然分列受害者最“在乎”與2023年的占比分布也幾乎完全一樣：利用安解勒索軟件更多知識”這一選項的占比同樣有著進(jìn)一步的提第三章勒索軟件攻擊者分析2024年的勒索軟件攻擊數(shù)據(jù)分析揭示，弱口令攻擊仍然是最普遍的網(wǎng)絡(luò)攻擊形式，但2024年，勒索軟件主流的聯(lián)系方式依然自建聊天室、第三方通信工具和郵箱三種。其信。這種做法導(dǎo)致我們能夠監(jiān)測到的活躍郵件地通過對2024年收集到的黑客郵箱進(jìn)行數(shù)據(jù)分析,我們發(fā)現(xiàn)最受勒索軟件作者歡迎的是病毒傳播的重要原因。盡管當(dāng)前已有多種技術(shù)手段用于解決口令脆弱性問題，但“弱口令”在勒索軟件攻擊事件中，常見的弱口令問題通常出現(xiàn)在以下幾類環(huán)境不要低估攻擊者對設(shè)備信息的挖掘能力，黑客在攻擊過程中通常首先會尋找力破解攻擊的風(fēng)險。另外，對于一些老舊系統(tǒng)，缺乏足夠的安全防護(hù)，容易難度，是一種簡單而有效的防護(hù)措施，能夠有效減少由于口令泄露帶來的風(fēng)用多個系統(tǒng)時，維護(hù)多個認(rèn)證系統(tǒng)和口令信息會帶來很大的管理負(fù)擔(dān)。尤其是讓員工記住多個復(fù)雜的密碼并定期更新，這在實際操作中非常困難。使用此外，密碼管理工具能夠幫助員工生成強密碼，減少設(shè)置“弱口令”的可能分為“0day漏洞”（廠商尚未修復(fù)）和“nday漏洞”（廠商攻擊的第一步通常是使用掃描工具對潛在目標(biāo)進(jìn)行偵查，目的是發(fā)現(xiàn)開放的服務(wù)和潛在漏管理員不要心存僥幸，認(rèn)為自己部署的服務(wù)不受黑客），必自己編寫攻擊代碼，只需替換攻擊載荷（payload）即可完成攻擊。對于廠商修復(fù)但尚未一些常見、通用的漏洞，為無法打補丁或沒有補丁的環(huán)境提供員應(yīng)建立健全的補丁管理機制，確保所有設(shè)備和系統(tǒng)我們總結(jié)了在2024年的勒索攻擊活動中經(jīng)常被使用到的漏洞。其中主要的漏洞基于WindowsPrintSpooler服務(wù)AtlassianConfluenceVMwareIdentityManagerFortiADC,FortinetFortiZimbramemcache命令注入UnRARActiveDirectory域ActiveDirectory域FortinetFortiClientWindowsBackground AdobeFlashPlayerAdobeColdFusionAdobeColdFusionMicrosoftMalwareProtectionEngine擊工具包（如ExploitKits），針對未打補丁的設(shè)（值得一提的是：Everything除了被用來搜集文件外，還被黑客用Everything可被部署為文件服務(wù)器，攻擊者利用這一特性，在被攻擊設(shè)備中暗中植入MEGAsync,CrackMapExec,Mimikatz,PsExec,AnyDesk,GMProcessExplorer,FileZilla,ScreenConnectCobaltStrike,Exfitrator-22,KPortScProcessHacker,NetworkPasfscan,AnyDesk,powercat,lcx,DefinderControl,Mimikatz,NeProcessHacker,PChunter,CobaltStrike,Nasp,NetworkShareCobaltStrike,AnyDesk,,file.io,LoLBins,WinRAR,DEWMODE,FlawedGrace,SDBot,Truebot,ProcDump,NetScan,SoftPerfProcessHacker,NetScan,PChunter,PChunter,ProcessHacker,ProcessExplorer,NeNetworkShare,Everything,Mimikatz,mouselock,Exploit,AdvancedPortNLBrute,denfendercontrl,ydayk,GotoAZORult,Vidar,RigEK,PChunter,MiMagniberMagnitudeExploitKit,YDArk,phobosDataBase,DefinderControl,accountrestore,denfendercontrl,netppyark,NetworkShare,Everything,FRP,frluciroot,NetScan,Nasp,PChunter,YDArk,PuTTY,dfcontrol,GMER,HRSWord,NLBrute,ydayk,WebBrowserPassView,PrSmokeLoader,CobaltStrike,BloodHounNetworkShare,AdvancedPortScanner,Lcertutil,bitsadmin,PoweAnyDesk,PChunter,Everything,KPortScan,Nasp,NetworkShare,HRSWord,GMER,NetScanMedusaLockerPChunter,denfendercontrl,Mimikatz,ProcessHackeNetScan,PsExec,put.io,PPAExec,SuperOps,SplashTopSoftPerfectNetworkScanner,Plink,ManBlackSuitSliver,Chisel,Cloudflare,AnyDesk,AteraAgenPsExec,MEGAsync,WinRAR,LoLBins,AnyDesk,NetScan,7zip,的防護(hù)措施可以顯著降低勒索軟件加密共享文件夾帶來的夾通常是這些勒索軟件的默認(rèn)行為，且加密操作在沒有用戶干預(yù)的情況下自動管理員或特定用戶組能夠?qū)γ舾形募M(jìn)行修改。避免將過高的訪問權(quán)限授予不必及時撤銷不再需要的權(quán)限，防止權(quán)限過度擴(kuò)展而增加安全風(fēng)速助手（QuickAssist）功能，通過社會工程學(xué)手段發(fā)動勒索攻BlackBast勒索軟件團(tuán)伙在選定攻擊目標(biāo)后，向目標(biāo)用戶的電子郵件發(fā)送“自帶易受攻擊的驅(qū)動程序”（BYOVD，BringYourOwnVulnerableDriver）是近年繞過安全防護(hù)，直接在內(nèi)核層面關(guān)閉或干擾安全軟件，從而為勒索軟件的部署提供便品）都會立即失效，這使得勒索軟件得以順利部署并執(zhí)和SysMon.sys，這些驅(qū)動程序通過繞過安全軟件的保護(hù)，使得勒索軟件能夠在目標(biāo)系統(tǒng)中第四章勒索軟件發(fā)展與趨勢分析在2024年，勒索軟件威脅毫無意外的再次展趨勢，并從我們?yōu)閼?yīng)對勒索軟件威脅所做的努力中，探討未來的勒索應(yīng)對展現(xiàn)出了前所未有的優(yōu)勢，推動了各行各業(yè)的數(shù)字化轉(zhuǎn)型。在安全領(lǐng)域，AI的應(yīng)用也開始攻擊數(shù)據(jù)的清洗篩選等場景。未來，AI將進(jìn)一步增強勒索軟件的智能化特點，使其具備自我學(xué)習(xí)與適應(yīng)能力。AI不僅可以通過模擬用戶行為繞過傳統(tǒng)的安全防護(hù)，還能根據(jù)受害者的系統(tǒng)架構(gòu)和漏洞進(jìn)行精準(zhǔn)定制化攻擊，未來的攻擊都將是“定制化勒索病毒的自動化能力大幅提升是AI應(yīng)用在網(wǎng)絡(luò)攻擊中的一個據(jù)加密等一系列過程。AI驅(qū)動的勒索病毒將能夠自我學(xué)習(xí)和適應(yīng)目標(biāo)環(huán)境，不斷優(yōu)化攻擊路徑和手段。通過分析目標(biāo)系統(tǒng)的弱點，AI可以自動選擇最優(yōu)的攻擊方法，顯著提高勒索持續(xù)的攻擊。這種自動化和持續(xù)性將大大增加企業(yè)防御的難AI在安全產(chǎn)品中的應(yīng)用，特別是增強離線安全能力，正成為解決當(dāng)前網(wǎng)絡(luò)安全難題的更新周期較長，無法實現(xiàn)實時響應(yīng)和動態(tài)防護(hù)。借助A前網(wǎng)絡(luò)攻擊的戰(zhàn)術(shù)和技術(shù)，進(jìn)而識別潛在威脅。這些訓(xùn)練好的AI行高效的安全分析和攻擊識別，不依賴于實時更新的情報資源。通過這種方式，AI能夠較不僅限于上述幾點，AI在提升安全產(chǎn)品的預(yù)測能力、降低運營強度等方面也已經(jīng)顯現(xiàn)AI技術(shù)在安全領(lǐng)域的應(yīng)用也在大幅降低企業(yè)使用高端安全產(chǎn)品的門檻。許多傳統(tǒng)的安安全團(tuán)隊要求較高。然而，AI技術(shù)的加入使得這些復(fù)雜的任務(wù)能夠被自動化處理，降低了AI驅(qū)動的安全產(chǎn)品能夠提供更加智能化的威脅檢測、自動化的事件響應(yīng)和實時的漏洞在資源有限的情況下，也能享有與大企業(yè)相同的安全防護(hù)能AI正在成為網(wǎng)絡(luò)安全領(lǐng)域的轉(zhuǎn)折點。其廣泛應(yīng)用不僅提升了安全產(chǎn)品的效能，也引發(fā)全防護(hù)更加智能和動態(tài)，彌補了傳統(tǒng)防護(hù)手段無法快速應(yīng)對演化攻擊的不足。然而，AI的志著網(wǎng)絡(luò)安全發(fā)展的一次重要轉(zhuǎn)折，未來的安全防護(hù)將更加依賴A加劇。以TargetCompany(Mallox)和Tell2024年，我們在企業(yè)安全產(chǎn)品中，強化了弱口令暴破防護(hù)的能力，提供了包括登錄時用環(huán)境。增加支持了更豐富的協(xié)議，保護(hù)更多的2024年，我們改進(jìn)了一系列反勒索方案，新增了一套一種輕量化，不依賴白名單機制錄程序?qū)ξ募牟僮鳉v史，判別可能存在的勒索攻第五章安全建議防火墻等安全軟件切斷外部對遠(yuǎn)程桌面的訪問。并關(guān)閉服務(wù)器的Web服務(wù)端及數(shù)據(jù)庫業(yè)務(wù)、數(shù)據(jù)、服務(wù)分離。不同職能部門與區(qū)域之丟失、損壞、無法訪問等情況造成的業(yè)務(wù)停擺，甚至被迫向攻要求員工不共享企業(yè)內(nèi)網(wǎng)，辦公設(shè)備不安裝來路不明的避免具有多重勒索功能的病毒進(jìn)一步獲取更多的重要信息作為勒索籌碼。3.盡量使用安全瀏覽器，減少被掛馬攻擊、釣魚網(wǎng)4.重要文檔、數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時找），對照下面清單，完成事件的初步處理，之后再由專業(yè)團(tuán)隊詳細(xì)排查事故原檢查有哪些設(shè)備被攻擊，常見被攻擊特征有：文件后綴為被改，文件夾留下勒索信息，桌面背o辦公機（檢查是否僅是共享文件夾被加密）根據(jù)現(xiàn)場情況，對已經(jīng)發(fā)現(xiàn)的被攻擊設(shè)備或者存在風(fēng)險的設(shè)備與網(wǎng)段進(jìn)行臨時管控，常見管控o設(shè)置IP訪問黑白名單：禁止國外IP訪o控制重要設(shè)備的訪問權(quán)限，或?qū)χ匾O(shè)備做臨時下線處理。o拔出網(wǎng)線/禁用網(wǎng)卡/禁用無線網(wǎng)卡/移除移動網(wǎng)卡o臨時停用非必要賬號，修改所有普通用戶賬號密碼在完成上述應(yīng)急處置后，盡快確認(rèn)以下事項，并聯(lián)系安全團(tuán)隊進(jìn)行進(jìn)一步排查。（注意：被加o收集可疑樣本、被加密文件（少量）、勒索提示信息（一份）o檢查存儲有敏感信息設(shè)備是否被異常訪問o檢查設(shè)備中賬戶情況，包括第三方軟件賬戶，最近新增賬戶o檢查數(shù)據(jù)庫賬戶，VPN賬戶，NAo完成后續(xù)安全加固工作，安裝補丁，修補存在的其它問題。附錄1.2024年勒索軟件大事件Sanggiero方面表示并沒有就被盜明，甚至有報道稱該公司試圖在Discord和Reddit上屏蔽相關(guān)用戶的投訴。Pandabuy的一位發(fā)言人則表示他們此前已向黑客支付了一筆未披露的贖金以阻止數(shù)據(jù)縣官員否認(rèn)已支付了贖金，也沒有回答為什么泄密事件會就此作罷以及LockBit是否真的摧毀了其勒索活動中使用的暗網(wǎng)網(wǎng)站，執(zhí)法瑞士國家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了一份報告，分析了Xplain遭受勒索軟件攻擊后的數(shù)據(jù)泄露情況，披露該事件影響了數(shù)千份敏感的聯(lián)邦政府文件。Xplain是一家瑞士技術(shù)和軟件解決方案提供商，為各種政府部門、行政單位，甚至該國的軍事力量提供圍。目前勒索軟件團(tuán)伙已泄露了涉嫌被盜數(shù)據(jù)的樣本。Nexperia方面表示已向荷蘭警方和表示并未向LockBit支付任何贖金。而在起訴書中提到的未具名公司是科羅謝夫及其同伙航空航天巨頭波音公司正在調(diào)查一場影響其零部件和分銷業(yè)務(wù)的網(wǎng)絡(luò)攻擊，此前雖然波音公司方面尚未證實LockBit的說法，但該團(tuán)伙在暗網(wǎng)搭建的不會公布詳細(xì)列表或樣例，但在截止日期之后，我們便不會再有所保留?！贬槍π聺晌髦莸貐^(qū)關(guān)于惡意廣告投放的起訴書，另一份是針對弗吉尼亞州東區(qū)關(guān)于Ransom他們使用惡意廣告來誘騙受害者點擊看似合法的互聯(lián)網(wǎng)廣告?！眳f(xié)調(diào)組織的聯(lián)合執(zhí)法形同中于西班牙被捕。根據(jù)起訴書中的內(nèi)容，Silnikau創(chuàng)建和管理了問經(jīng)紀(jì)人”（IAB）進(jìn)行合作，這些經(jīng)紀(jì)人提供對受感染企業(yè)網(wǎng)絡(luò)的訪問權(quán)限，管理與受害者的通信并處理贖金支付。此外，Silnikau還通過加密貨幣轉(zhuǎn)移贖金以掩蓋資金流向并使意軟件，可將用戶鎖定在操作系統(tǒng)之外——釣魚網(wǎng)站旨在要求目標(biāo)員工輸入他們用于訪問金融