1、 2024 勒索软件攻击态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 概述 3 2 勒索攻击态势 4 2.1 全年勒索攻击频次分析 4 2.2 受害行业分析 5 2.3 受害地域分析 6 3 勒索组织分析 7 3.1 年度勒索组织盘点 7 3.2 入侵手段分析 8 3.3 索要赎金分析 10 4 勒索攻击发展趋势 12 4.1 AI 技术加持，勒索攻击态势加剧 12 4.2 目标行业重心转移，制造业跃居第一 12 4.3 勒索组织格局演变，由一家独大向多元化发展 13 4.4 攻击策略转变，中小企业面临更大风险 14 5 新华三勒索防御方案 16 附录一：年度勒索攻击大事件

2、18 附录二：新兴活跃勒索组织一览 20 Ransomhub 20 Fog 21 ElDorado(BlackLock)22 Cicada3301 23 InterLock 24 附录三：安全建议和处置清单 26 安全建议 26 勒索软件应急处置清单 27 新华三聆风实验室 29 主动安全 3 1 概述 在瞬息万变的数字化浪潮中，网络空间的勒索软件攻击日益显现出其严峻性和复杂性，成为全球网络安全领域备受瞩目的课题。作为一种极具破坏力的威胁，勒索软件通过其不断演变的技术手法，对各行各业持续发起新的挑战。新华三聆风实验室通过对全球范围内勒索攻击活动的长期持续观察与深入分析，以勒索软件攻击的总体态势

3、为切入点，深入剖析其技术特点及演进趋势，总结 2024 年勒索攻击的主要特点如下：1、2024 年全球勒索攻击活动呈上升趋势，较 2023 年上升 47%；2、从攻击数量来看，各月攻击数量存在一定的波动，但全年总体呈上升趋势，值得注意的是 Ransomhub 勒索攻击活动几乎霸榜整个下半年；3、从受害行业来看，2024 年 TOP5 受害行业为制造、专业和法律服务、房产建筑、批发零售、信息技术等行业，共占比 58.37%；4、从受害地域来看，北美、欧洲、亚洲位列前三，其中美国以 53%居于全球首位；5、从活跃组织来看，2024 年共监测 96 个活跃勒索组织，其中有 46 个为新兴组织。活跃

4、TOP3 组织分别是Ransomhub、Lockbit、和 PLAY，其中，Ransomhub 为今年新兴组织，其在 2024 年 2 月出现后迅速崛起，成为最活跃的勒索组织之一；6、从入侵手段来看，漏洞利用、钓鱼邮件、弱口令仍是主要入侵手段，共占比 65%。2024 年有 85 个漏洞被勒索组织频繁利用，类型多为远程代码执行和提权漏洞，其中，零日漏洞(0day)造成的影响最为严重；7、从赎金来看，勒索组织由于目标的营收规模不同和行业差异，索要赎金也存在差异。但最高支付赎金记录屡创新高，今年 2 月，DarkAngels 向美国知名药品公司 Cencora 发起勒索攻击，成功索要到赎金 750

5、0 万美元，创造了历年来最高支付赎金记录；主动安全 4 2 勒索攻击态势 2024 年的勒索攻击态势呈现出诸多新变化。一方面，全年攻击数量较 2023 年显著攀升，呈现出明显的上升趋势；另一方面，勒索攻击在频次波动、受害行业偏好以及受害地域分布等方面，均展现出新的动向与规律。本章将从全年勒索攻击频次、受害行业、受害地域三个关键维度详细剖析勒索攻击在 2024 年的具体态势。2.1 全年勒索攻击频次分析 图 2-1 各月攻击数量及月度最活跃组织 根据图 2-1 统计，2024 年的 3 月和 11 月出现了两次勒索攻击事件的大规模爆发，除了这两个月份的集中增长外，全年勒索攻击事件总体上呈现出持续

6、上升的趋势。在各个月份的攻击事件统计中，LockBit 在 5 月份之前三次荣登榜首，显示出其在年初的活跃程度。而从 5 月份开始，Ransomhub 则后来居上，六次登顶榜首，成为下半年勒索攻击的主要推手。主动安全 5 2.2 受害行业分析 图 2-2 2024 勒索攻击受害行业分布 根据最新的 2024 年勒索攻击受害行业分布统计图，勒索软件的目标行业带有明显的倾向性，由于制造业等实体行业对生产停机时间容忍度较低，导致以制造，批发，房产为主的实体行业仍是 2024 年的勒索重灾区。此外，数据价值和敏感度高的行业也是勒索攻击的重点倾向目标，如法律，信息技术，教育等行业。主动安全 6 2.3