據(jù) Trellix 稱，諸如俄羅斯持續(xù)入侵烏克蘭以及以色列與哈馬斯之間的沖突等多起地區(qū)性沖突，已導(dǎo)致網(wǎng)絡(luò)攻擊和黑客活動(dòng)激增。

AI驅(qū)動(dòng)的勒索軟件助長了網(wǎng)絡(luò)犯罪手段

該研究審視了一個(gè)日益復(fù)雜的勒索軟件生態(tài)系統(tǒng)，其中犯罪團(tuán)伙采用嵌入AI的先進(jìn)工具來傳播勒索軟件。

Trellix 的遙測數(shù)據(jù)顯示，與中國相關(guān)的威脅行為體團(tuán)伙仍然是國家支持的高級(jí)持續(xù)性威脅 (APT) 活動(dòng)的主要來源，僅 Mustang Panda 就產(chǎn)生了超過 12% 的已檢測 APT 活動(dòng)。

Trellix 高級(jí)研究中心威脅情報(bào)負(fù)責(zé)人 John Fokker 表示：“過去六個(gè)月，從AI驅(qū)動(dòng)的勒索軟件到AI輔助的漏洞分析，再到不斷演變的犯罪策略和地緣政治事件，這些進(jìn)展重塑了網(wǎng)絡(luò)格局。對于網(wǎng)絡(luò)安全團(tuán)隊(duì)而言，制定恢復(fù)力計(jì)劃從未像現(xiàn)在這樣重要。”“網(wǎng)絡(luò)犯罪分子對生成式AI的使用增加也帶來了新的挑戰(zhàn)。行業(yè)必須繼續(xù)監(jiān)測網(wǎng)絡(luò)犯罪分子對AI的變革性使用，以加強(qiáng)防御，”Fokker 補(bǔ)充道。

隨著全球執(zhí)法機(jī)構(gòu)實(shí)施多起逮捕、起訴 LockBit 領(lǐng)導(dǎo)人以及采取行動(dòng)拆除基礎(chǔ)設(shè)施，Trellix 觀察到勒索軟件團(tuán)伙趨于多樣化，使用AI驅(qū)動(dòng)的工具來發(fā)出勒索要求的情況有所增加，而且重點(diǎn)使用專為規(guī)避終端檢測和響應(yīng) (EDR) 解決方案而構(gòu)建的工具。

最活躍的五大團(tuán)伙實(shí)施的攻擊占總攻擊數(shù)的比例不到 40%，這表明主要行為體的活動(dòng)集中度有所降低，這凸顯出企業(yè)和政府需要保持適應(yīng)性，不斷更新策略以應(yīng)對勒索軟件團(tuán)伙不斷演變的手段。

RansomHub 是勒索軟件團(tuán)伙中最活躍的，占 Trellix 檢測數(shù)的 13%。RansomHub 的崛起以及其他較小團(tuán)伙的活動(dòng)進(jìn)一步說明了勒索軟件的流動(dòng)性特點(diǎn)。LockBit 仍然活躍，是檢測數(shù)第二多的團(tuán)伙(11%)，其次是 Play(7%)、Akira(4%)和 Medusa(4%)。

勒索軟件攻擊持續(xù)瞄準(zhǔn)醫(yī)療保健和關(guān)鍵行業(yè)

Trellix 在暗網(wǎng)上發(fā)現(xiàn)了一個(gè) EDR 規(guī)避工具的繁榮市場。這些工具旨在避開大多數(shù)企業(yè)用于識(shí)別和應(yīng)對已知威脅的工具的檢測。RansomHub 采用了一種名為 EDRKillShifter 的工具，在執(zhí)行攻擊之前禁用 EDR 功能。

網(wǎng)絡(luò)犯罪地下世界已成為惡意行為者出售新的基于AI的工具以實(shí)施犯罪的樞紐。Trellix 觀察到這些工具在黑市上有售，包括 Radar Ransomware-as-a-Service 程序，該程序隱瞞了AI的使用方式，但試圖招募論壇用戶加入其聯(lián)盟網(wǎng)絡(luò)。

醫(yī)療保健、教育和關(guān)鍵基礎(chǔ)設(shè)施仍然是主要目標(biāo)，勒索軟件在全球持續(xù)蔓延，重點(diǎn)針對美國和其他發(fā)達(dá)經(jīng)濟(jì)體。美國接收了 Trellix 所有勒索軟件檢測數(shù)的 41%，是下一個(gè)最受攻擊國家(英國)的九倍。

Trellix 高級(jí)研究中心研究了行業(yè)網(wǎng)絡(luò)威脅數(shù)據(jù)，分析指出，與朝鮮有關(guān)聯(lián)的 Kimsuky 團(tuán)伙發(fā)起的攻擊有所增加，其活動(dòng)量是其他 APT 團(tuán)伙的兩倍。對行業(yè)網(wǎng)絡(luò)安全事件報(bào)告的研究還顯示，關(guān)鍵行業(yè)受到了有針對性的攻擊，其中政府首當(dāng)其沖(13%)，其次是金融行業(yè)(7%)和制造業(yè)(5%)。