勒索病毒攻击的再临：数据分析与警示

关键要点

经研究发现，被勒索病毒攻击的组织在接下来的三个月内，几乎有六倍的可能性再次遭受攻击。攻击者利用受害者在第一次攻击后恢复中的分心进行二次攻击。勒索病毒团伙 LockBit 目前在市场上占据主导地位，导致大部分已知受害者。攻击者正在转变策略，从加密受害者系统转向勒索被盗数据，这使得勒索手段变得更加复杂。

不幸的是，虽然人们常说闪电不会击中同一个地方两次，但现实却是，勒索病毒团伙的袭击几乎是频繁的。

根据云计算和安全公司 Akamai 的新研究，遭受勒索病毒攻击的组织在接下来的三个月内，有近六成的可能性再次被攻击。Akamai 的最新 《互联网状态报告》 中，研究人员分析了 90 个勒索病毒团伙在 2021 年 10 月至 2023 年 5 月这 20 个月内，发布在泄露网站上的受害者信息。

clash官网

他们发现，经历过首次勒索病毒攻击的组织由于高昂的成本、损害和混乱，成为了后续攻击的主要目标，无论是来自同一攻击者还是其他团伙。

“当受害公司专注于修复第一次攻击时，其他勒索病毒团伙会利用这个机会进行扫描，寻找潜在目标，并监视竞争对手的活动，从而再次针对同一公司。”研究人员表示。

报告提到了一家匿名公司，最初遭到 Clop 勒索病毒团伙 的攻击，随后又遭到两个其他勒索病毒团伙 RansomHouse 和 Abyss 的袭击，后者利用了初次的安全漏洞。上个月，Clop 和 ALPHV/BlackCat 声称分别针对化妆品公司 Estee Lauder 发起了 独立攻击。

研究人员指出，受害组织在初次高风险的三个月窗口后仍然脆弱，提到了一个房地产企业，曾于 2021 年和今年两次遭到高频率的勒索病毒团伙 LockBit 的攻击。

“如果受害组织尚未弥补其边界中的漏洞，或者修复攻击者首次侵入网络时利用的漏洞，这些漏洞仍然会被再次利用。”报告中表示。“而且，如果受害者选择遵从赎金要求，可能会被同一团伙及其他团伙视为潜在目标。”

Akamai 给勒索病毒受害者的建议是：“意识到你没有时间恢复第二波攻击可能会在你缓解第一次事件时发生。一定要有团队随时监测下一个攻击。”

LockBit 主导不断演变的勒索病毒空间

报告指出，在 Conti 去年解体后，LockBit 目前已成为主导的勒索病毒团伙，占据 Akamai 在这 20 个月间分析的所有已知受害者的 391091 个。

LockBit 的受害者数量是其最近竞争对手 ALPHV/BlackCat 和 Clop 的四倍多。

在一次 博客文章 中，Akamai 的首席信息安全顾问 Steve Winterfeld 讨论了报告内容，强调勒索病毒的生态正在变化，攻击者在勒索手段和利用漏洞方面变得更加激进。其净效