Play勒索团伙窃取海量财务数据，亚信安全发布《勒索家族和勒索事件监控报告》(2024年第8期)

本周态势快速感知

本周全球共监测到勒索事件107起，与上周相比数量持平。勒索事件趋势见图1.1。

图1.1 勒索事件趋势图

本周全球勒索事件受害者所属行业和历史对比趋势图如图1.2所示。从图中可知，除互联网和金融行业外，其他行业的勒索事件数均有所降低。

图1.2 勒索受害者行业分布趋势图

2023年下半年至今，中国区域的勒索事件受害者所属行业分布如图1.3所示，Top5为制造业，互联网，服务业，营销咨询，汽车行业。

图1.3 2023年下半年至今中国区域勒索受害者行业分布图

本周勒索事件受害者所属国家Top10如图1.4所示。美国依旧为受勒索攻击最严重的国家，占比57%。

图1.4 Top10受影响国家

本周监控到活跃的勒索家族共有23个，Top10勒索家族如图1.5所示。本周Top3和历史Top3勒索家族的累积变化趋势如图1.6所示。从图中可知，本周play是影响最严重的勒索家族；lockbit3.0和medusa恶意家族紧随其后，从整体上看lockbit3.0依旧是影响最严重的勒索家族，需要注意防范。

图1.5 Top10活跃勒索家族

图1.6 流行勒索家族的累积变化趋势图

2023年下半年至今，中国区域的勒索家族活跃情况分布如图1.7所示，Top3为lockbit3.0，ragroup，noescape。

图1.7 2023年下半年至今攻击中国区域的勒索家族分布图

本周监测到勒索事件107起。其中对公共安全造成重大影响的Top10事件如表2.1所示。随后本文在勒索事件详细跟踪分析部分对表中的一些重点事件进行了描述。

表2.1 Top10勒索事件详情

1. 本周无线电通信解决方案供应商sunwave遭受了来自lockbit3.0恶意家族的攻击，勒索软件团伙通知该公司如果在3月18日之前没有收到赎金将从服务器下载档案。

2. 本周Hedlunds的机密数据被play组织加密，具体加密的数据大小没有公布。

3. 本周play勒索组织窃取紧凑模具（Compact Mould）公司大量文件，包括：个人机密数据，客户文件，预算，工资，税务，财务信息等。

本周主要介绍老牌勒索家族Lockbit 3.0，以及这周活动频繁的恶意家族Play和Medusa，需要注意防范。

Play又称PlayCrypt，于2022年6月被发现。该组织以巴西为主要目标，同时对印度、匈牙利、西班牙和荷兰等国展开网络攻击。其攻击手法包括恶意软件传播、网络渗透和数据泄露，采用先进的加密技术勒索受害者。这一威胁突显了网络犯罪已进入更复杂阶段，需要跨国合作、先进网络安全技术和组织内部安全意识的提升来有效应对。

Medusa 于 2022 年底作为勒索软件即服务 (RaaS) 平台出现，并于 2023 年“声名大噪”，当时该活动主要针对的是Windows系统环境。

Medusa 勒索软件组织主要通过利用易受攻击的服务（例如面向公众的资产或具有已知未修复漏洞的应用程序）和劫持合法帐户来传播其勒索软件，通常他们会利用初始访问代理进行渗透。Medusa 勒索软件还通过使用合法软件来实现恶意目的，并将恶意流量与合法流量混合在一起，从而使标记此类活动变得更加困难。

针对全球勒索事件频发的威胁态势，亚信安全推出勒索治理方案，针对近期活跃勒索事件已具备检测能力，请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下：

表4.1 本周勒索事件特征库更新列表