据 Trellix 称,诸如俄罗斯持续入侵乌克兰以及以色列与哈马斯之间的冲突等多起地区性冲突,已导致网络攻击和黑客活动激增。
AI驱动的勒索软件助长了网络犯罪手段
该研究审视了一个日益复杂的勒索软件生态系统,其中犯罪团伙采用嵌入AI的先进工具来传播勒索软件。
Trellix 的遥测数据显示,与中国相关的威胁行为体团伙仍然是国家支持的高级持续性威胁 (APT) 活动的主要来源,仅 Mustang Panda 就产生了超过 12% 的已检测 APT 活动。
Trellix 高级研究中心威胁情报负责人 John Fokker 表示:“过去六个月,从AI驱动的勒索软件到AI辅助的漏洞分析,再到不断演变的犯罪策略和地缘政治事件,这些进展重塑了网络格局。对于网络安全团队而言,制定恢复力计划从未像现在这样重要。”“网络犯罪分子对生成式AI的使用增加也带来了新的挑战。行业必须继续监测网络犯罪分子对AI的变革性使用,以加强防御,”Fokker 补充道。
随着全球执法机构实施多起逮捕、起诉 LockBit 领导人以及采取行动拆除基础设施,Trellix 观察到勒索软件团伙趋于多样化,使用AI驱动的工具来发出勒索要求的情况有所增加,而且重点使用专为规避终端检测和响应 (EDR) 解决方案而构建的工具。
最活跃的五大团伙实施的攻击占总攻击数的比例不到 40%,这表明主要行为体的活动集中度有所降低,这凸显出企业和政府需要保持适应性,不断更新策略以应对勒索软件团伙不断演变的手段。
RansomHub 是勒索软件团伙中最活跃的,占 Trellix 检测数的 13%。RansomHub 的崛起以及其他较小团伙的活动进一步说明了勒索软件的流动性特点。LockBit 仍然活跃,是检测数第二多的团伙(11%),其次是 Play(7%)、Akira(4%)和 Medusa(4%)。
勒索软件攻击持续瞄准医疗保健和关键行业
Trellix 在暗网上发现了一个 EDR 规避工具的繁荣市场。这些工具旨在避开大多数企业用于识别和应对已知威胁的工具的检测。RansomHub 采用了一种名为 EDRKillShifter 的工具,在执行攻击之前禁用 EDR 功能。
网络犯罪地下世界已成为恶意行为者出售新的基于AI的工具以实施犯罪的枢纽。Trellix 观察到这些工具在黑市上有售,包括 Radar Ransomware-as-a-Service 程序,该程序隐瞒了AI的使用方式,但试图招募论坛用户加入其联盟网络。
医疗保健、教育和关键基础设施仍然是主要目标,勒索软件在全球持续蔓延,重点针对美国和其他发达经济体。美国接收了 Trellix 所有勒索软件检测数的 41%,是下一个最受攻击国家(英国)的九倍。
Trellix 高级研究中心研究了行业网络威胁数据,分析指出,与朝鲜有关联的 Kimsuky 团伙发起的攻击有所增加,其活动量是其他 APT 团伙的两倍。对行业网络安全事件报告的研究还显示,关键行业受到了有针对性的攻击,其中政府首当其冲(13%),其次是金融行业(7%)和制造业(5%)。