黑客勒索软件报告：2024年第二季度的变化

关键要点

• Ransomware-as-a-Service（RaaS）的环境变化 ：法律执法活动影响了主要黑客组织，导致市场的竞争格局变化。
• 统计数据上涨与受影响组织数量 ：2024年第二季度，共有1,237家组织出现在勒索软件泄露网站，较第一季度增加20%，但2023年上半年与2024年上半年受影响的组织数量仅增加1%。
• 新兴黑客组织的崛起 ：RansomHub和BlackSuit等新组织正在吸引更多参与者，尤其是前ALPHV/BlackCat和LockBit的成员。
• 攻击手法的变化 ：网络攻击者可能将更多关注放在盗取凭证和供应链攻击上。

ReliaQuest的揭示了令人担忧的趋势：尽管勒索软件泄露的网站数量显著增加，但受影响的组织数量与之前相比上涨幅度平缓，这可能表明最近的执法行动对勒索软件攻击的整体增长趋势产生了抑制作用。

老旧与新兴黑客组织的更迭

报告中提到的一大重要因素是法律执法行为对主要勒索软件组织的影响。以及LockBit因，为RansomHub、BlackSuit和BlackBasta等新兴勒索软件组织的招聘和活动提供了机会。

在第二季度中，LockBit试图从二月的亏损中反弹，5月宣称其在泄露网站上有179名受害者，约占该月受影响组织的三分之一，但6月的数量急剧下降，形成相对安静的局面。尽管如此，ReliaQuest指出，由于执法干预导致LockBit在网络犯罪分子中的声誉受损，其声望已经大大退化。

"由于‘虚假’声明，网络黑市的用户表示这可能会削弱参与者的合作者意愿," ReliaQuest的研究人员写道。

与此同时，像RansomHub这样的新参与者正在利用前ALPHV/BlackCat与LockBit参与者的失望，提供新的、有利可图的机会。RansomHub因招募前ALPHV/BlackCat的参与者notchy而开始崭露头角，随即对ChangeHealthcare进行了。

与ALPHV/BlackCat抢走UnitedHealthGroup支付的2200万美元赎金而没有支付notchy的分成不同，RansomHub允许其参与者自行收取赎金，仅需将10%的分成返还给组织。这使得RansomHub成为追求经济利益的网络罪犯，尤其是ALPHV/BlackCat和LockBit的前参与者，鼓励他们针对“重磅”组织进行攻击，增加了2024年第一季度和第二季度RansomHub受害者数量243%的比例。

ReliaQuest预测，RansomHub和BlackSuit在下半年将继续活跃，随之而来的还有更多从LockBit跳槽的参与者。

初始访问凭证被盗、供应链攻击将增加

ReliaQuest的报告还指出，网络攻击者的战术正在发生变化，初始访问向量的潜在转变不容忽视。研究人员发现，信息盗取日志的黑市挂牌数量增加了30%，这意味着在未来的勒索软件和敲诈攻击中，暴露的凭证将成为更为显著的初始访问来源。

以数据云公司Snowflake的约165名客户凭证