360年度勒索軟件流行態(tài)勢報告：AI技術將為勒索攻擊與安全防護帶來質變

摘要： 360勒索軟件流行態(tài)勢報告發(fā)布：勒索攻擊日趨專業(yè)化、規(guī)?；⑾到y(tǒng)化

近日，360數(shù)字安全集團以全年監(jiān)測、分析與處置的勒索軟件事件為基礎，結合國內外相關一線數(shù)據(jù)和新聞報道進行研判、梳理與匯總，重磅發(fā)布《2024年勒索軟件流行態(tài)勢報告》（以下簡稱“報告”），全面展現(xiàn)勒索軟件的傳播與演化趨勢，深入推演未來發(fā)展風向，助力政企機構數(shù)字安全的體系化建設，以高效抵御勒索風險。

 

Web漏洞成勒索軟件“新寵”
多重勒索模式致數(shù)據(jù)泄露風險激增

 
報告指出，2024年雖未出現(xiàn)單一勒索家族在短時間內的大規(guī)模爆發(fā)性攻擊事件，但勒索軟件仍是當前政企機構面臨的頭號安全風險。360基于安全大模型賦能，全年共處理超過2151例勒索攻擊求助，發(fā)現(xiàn)77個新勒索家族，攔截43.1億次網(wǎng)絡暴破攻擊，保護近270萬臺設備免遭入侵，協(xié)助約3996臺設備完成勒索解密。

從勒索軟件家族分布上看，傳統(tǒng)家族技術與傳播手段更迭迅速，新興家族勢頭強勁，持續(xù)帶來嚴重安全風險。其中，TargetCompany (Mallox)家族通過引入新的傳播手段，成功躍升為年度傳播量最廣泛的勒索軟件家族；Makop和Phobos兩大老牌家族憑借其穩(wěn)定的技術與渠道優(yōu)勢，分列年度榜單二三位置，三大勒索家族族的反饋占比近六成。RNTC和Anony等新興家族，則以創(chuàng)新的攻擊手段迅速嶄露頭角，首次出現(xiàn)即進入年度Top10榜單。

從傳播方式上看，遠程桌面入侵仍是導致用戶中招勒索軟件的主要途徑；而利用漏洞對目標網(wǎng)絡實現(xiàn)入侵的占比同比往年增長迅猛，與遠程桌面入侵相差無幾。其中，Web漏洞成為眾多勒索軟件家族的“新寵”，這也導致許多依賴Web服務的企業(yè)OA系統(tǒng)、財務軟件和管理軟件成為政企單位遭受勒索攻擊的主要入口。

近年來，雙重勒索或多重勒索模式風靡，勒索軟件所帶來的數(shù)據(jù)泄露風險也越來越大。2024 年參與雙重/多重勒索活動的主要活躍勒索軟件家族共計94個，家族總量與2023年相比有顯著增加。

此外，360對全年勒索軟件贖金進行跟蹤發(fā)現(xiàn)，勒索軟件攻擊的規(guī)模和贖金要求達到了前所未有的水平，多家勒索軟件家族在成功攻擊后開出了超過千萬美元的贖金。其中，Dark Angels家族向美國知名藥品公司Cencora提出了7500萬美元贖金訴求，并最終勒索成功，這可能是目前全球最大的一筆勒索軟件成交案例。這表明勒索軟件團伙的攻擊目標更具針對性，贖金金額也愈發(fā)驚人。
 

Win10系統(tǒng)受災嚴重
桌面PC成主要受害系統(tǒng)類型

 
360對2024年遭受勒索軟件攻擊的受害者人群進行分析發(fā)現(xiàn)，廣東、山東、江蘇等數(shù)字經濟發(fā)達和人口密集地區(qū)仍是攻擊的主要對象。

互聯(lián)網(wǎng)及軟件、制造業(yè)、批發(fā)零售是國內勒索軟件攻擊的主要目標，而金融行業(yè)所面臨的威脅也有顯著提升，已緊隨其后位于榜單的第四名。

受攻擊系統(tǒng)分布上，位居前三的系統(tǒng)為Windows 10、Windows Server 2008 和 Windows Server 2012。其中，Windows 10系統(tǒng)占比增長明顯，這可能與該系統(tǒng)巨大的裝機量，以及承載著大多中小企業(yè)的管理系統(tǒng)部署關聯(lián)緊密。

從操作系統(tǒng)類型的角度看，受到Web漏洞入侵手段增加和Windows 10占比激增的雙重影響，桌面PC的占比出現(xiàn)大幅提高。因此，針對政企目標的攻擊依舊是勒索軟件演變的發(fā)展趨勢。

受到2024年勒索攻擊的受害者身份及攻擊者入侵手段的雙重影響，辦公文檔和數(shù)據(jù)庫數(shù)據(jù)依然分列受害者最“在乎”的被加密數(shù)據(jù)類型排名前兩位，這一情況與2023年基本相同。

 

AI技術普及帶來巨大變革
創(chuàng)新是抵御勒索風險的關鍵方法

 
基于2024年中勒索軟件的傳播與演化趨勢，報告進一步指出了未來勒索軟件的發(fā)展方向，以及防御策略。
 
一是AI技術的普及將為勒索攻擊與安全防護帶來巨大變革。一方面，黑客和攻擊者已經在借助AI發(fā)起更加高效、復雜、隱蔽的網(wǎng)絡攻擊，勒索病毒自動化能力大幅提升，便是AI應用在網(wǎng)絡攻擊中的一個重要體現(xiàn)。另一方面，借助AI技術可以訓練安全大模型，實現(xiàn)在離線環(huán)境中執(zhí)行高效的安全分析和攻擊識別，不再依賴于實時更新的情報資源；同時，AI技術在安全領域的應用可以使復雜的任務能夠被自動化處理，大幅降低了政企機構安全運維的難度，這目前這一方案已經開始在360安全產品中驗證并使用。
 
二是專業(yè)化、規(guī)模化、系統(tǒng)化的勒索軟件攻擊讓中小企業(yè)面臨的威脅加劇。解決這一問題的關鍵在于加強安全管理，但對于資源有限的中小企業(yè)而言，服務器的安全運維是一個亟待解決的現(xiàn)實問題。為應對這一挑戰(zhàn)，中小企業(yè)可以考慮采用第三方托管服務（SaaS解決方案），提升其安全運維能力。通過與經驗豐富的安全團隊合作，企業(yè)可以更高效地識別、響應并防御安全威脅，從而以較低成本增強安全防護水平。
 
三是在與勒索軟件攻擊的對抗過程中，創(chuàng)新始終是打破平衡，實現(xiàn)突破的關鍵方法。作為數(shù)字安全的領導者，360數(shù)字安全集團多年來一直致力于勒索病毒的防范?；谶^去20年積累的安全大數(shù)據(jù)、實戰(zhàn)對抗經驗，以及全球頂級安全專家團隊等優(yōu)勢能力，360推出基于安全大模型賦能的勒索病毒防護解決方案，能夠針對勒索病毒從攻擊前、攻擊中到攻擊后的每一個主要節(jié)點進行定向查殺，實現(xiàn)多方位、全流程、體系化、智能化的勒索防護。
 

• 讓病毒進不來：在終端、流量側部署360探針產品，通過互聯(lián)網(wǎng)入口檢測阻斷等主動防御功能，能夠在病毒落地時進行查殺攔截；
• 讓病毒散不開：由360安全大模型支撐，對勒索病毒的異常加密行為和橫向滲透攻擊行為，進行智能化分析攔截和檢測阻斷，實現(xiàn)“一點發(fā)現(xiàn)，全網(wǎng)阻斷”；
• 讓病毒難加密：通過終端安全探針結合云端情報賦能，利用安全大模型的溯源分析能力，能夠精準判斷勒索病毒身份，并進行反向查殺；同時內置文檔備份機制，可無感知備份日常辦公文檔和敏感業(yè)務數(shù)據(jù)，對備份區(qū)文件進行全面保護，不允許第三方程序對備份區(qū)進行非授權操作，從而阻斷勒索病毒對備份區(qū)的加密行為；
• 加密后易恢復：該方案內置大量360獨家文檔解密工具及云端解密平臺，云端支持1000+類勒索文件解密、本地支持100+類勒索文件解密，能夠實現(xiàn)加密后的全方位恢復工作。

 
目前，360勒索病毒防護解決方案針對不同客戶體量與需求推出多元產品及服務套餐，已累計為超萬例勒索病毒救援求助提供幫助。其中，基于全網(wǎng)安全大數(shù)據(jù)視野，360為監(jiān)管、政企機構打造的勒索預警訂閱服務，全年共計捕獲勒索攻擊事件線索5863起，涉及受害單位2148家，確認勒索病毒家族59個，攻擊IP來源地涉及境外54個國家或地區(qū)，配合監(jiān)管輸出勒索攻擊事件線索658起，覆蓋全國多個地區(qū)，幫助廣大政企單位構建多層次縱深防御能力，實現(xiàn)多方位、全流程、體系化的勒索防護。