核心数据惨遭Blackbasta窃取，亚信安全发布《勒索家族和勒索事件监控报告》(2024年第11期)

本周态势快速感知

本周全球共监测到勒索事件149起，本周勒索事件猛增，比上周增长了50%。
本周Raworld是影响最严重的勒索家族，Blackbasta和Lockbit3.0恶意家族紧随其后，从整体上看Lockbit3.0依旧是影响最严重的勒索家族，需要注意防范。
本周SchwarzGrantz公司遭受了来自Blackbasta恶意家族的攻击，勒索软件团伙总共窃取了该公司300GB的数据，包括财务文件、业务合同、人力资源文件、法律文件及其他文件，并在2024年3月26日于公网发布了该公司部分样本文件。

01 勒索态势

1.1 勒索事件数量

本周全球共监测到勒索事件149起，本周勒索事件猛增，比上周增长了50%。勒索事件趋势见图1.1。

图1.1 勒索事件趋势图

1.2 勒索事件受害者所属行业

本周全球勒索事件受害者所属行业和历史对比趋势图如图1.2所示。从图中可知，除医疗行业外各个行业的勒索事件都呈现不同幅度的增长。

图1.2 勒索受害者行业分布趋势图

2023年下半年至今，中国区域的勒索事件受害者所属行业分布如图1.3所示，Top5为制造业，互联网，服务业，营销咨询及其他。

图1.3 2023年下半年至今中国区域勒索受害者行业分布图

1.3 勒索事件受害者所属国家

本周勒索事件受害者所属国家Top10如图1.4所示。美国依旧为受勒索攻击最严重的国家，占比47%。

图1.4 Top10受影响国家

1.4 勒索家族

本周监控到活跃的勒索家族共有23个，Top10勒索家族如图1.5所示。本周Top3和历史Top3勒索家族的累积变化趋势如图1.6所示。从图中可知，本周Raworld是影响最严重的勒索家族；Blackbasta和Lockbit3.0恶意家族紧随其后，从整体上看Lockbit3.0依旧是影响最严重的勒索家族，需要注意防范。

图1.5 Top10活跃勒索家族

图1.6 流行勒索家族的累积变化趋势图

2023年下半年至今，中国区域的勒索家族活跃情况分布如图1.7所示。

图1.7 2023年下半年至今攻击中国区域的勒索家族分布图

02 勒索事件跟踪

本周监测到勒索事件149起。其中对公共安全造成重大影响的Top10事件如表2.1所示。随后本文在勒索事件详细跟踪分析部分对表中的一些重点事件进行了描述。

表2.1 Top10勒索事件详情

勒索事件详细跟踪分析

本周SchwarzGrantz公司遭受了来自Raworld恶意家族的攻击，勒索软件团伙总共窃取了该公司300GB的数据，包括财务文件、业务合同、人力资源文件、法律文件及其他文件，并在2024年3月26日于公网发布了该公司部分样本文件。
本周制药公司Crinetics的1.5tb机密数据被Blackbasta组织窃取，数据包含会计资料、用户个人文件夹等。
本周船只制造公司Contenderboats公司的财务文件、个人身份信息、工程文件及图纸、公司函件、用户个人文件夹等数据被Cactus官网打包并挂在暗网。

03 重点勒索组织介绍

本周主要介绍老牌勒索家族Lockbit3.0，以及这周活动频繁的恶意家族Blackbasta和Raworld，需要注意防范。

Lockbit3.0

LockBit 3.0，又称“LockBit Black”，是一种勒索服务（RaaS）模型，继承了LockBit家族的传统。该模型具备高度自动化和组织化，使用先进的加密算法，迅速加密受害者数据并要求赎金。

Raworld

Raworld组织早在 2023 年 4 月就开始进行恶意活动，并在其存在期间成功攻击了位于美国、德国、印度和中国台湾的许多组织，主要是医疗保健和金融领域的组织。

研究人员透露，最新一波Raworld攻击针对的是拉丁美洲的多家医疗机构。这些攻击分几个阶段进行，以增加成功行动的总体机会。该恶意软件可以以特殊的安全模式重新启动系统，从而避免被防病毒软件检测到。它还会在执行攻击后消除其存在的痕迹，使研究人员更难分析。

Blackbasta

在2022年初，RaaS威胁组织BlackBasta首次发现双重勒索软件攻击急剧增加。这些行为者表现得非常老练，他们经常运用一套独特的策略、技术和程序（TTP）来巩固立足点、横向传播、泄露数据以及成功实施勒索软件。该组织有时会在多个事件中采用相似的TTP。

04 亚信安全勒索检测能力升级

针对全球勒索事件频发的威胁态势，亚信安全推出勒索治理方案，针对近期活跃勒索事件已具备检测能力，请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下：

表4.1 本周勒索事件特征库更新列表