新的勒索软件机制现在针对网络较弱的关键系统

2025-11-26 19:23:46分类：物联网阅读(9999)

勒索软件参与者已因利用VPN漏洞进入关键工业系统并维持持久性而日益受到关注 。新的现针系统

2024年 ，勒索络较随着执法部门对LockBit等勒索巨头的软件弱大力打击，勒索软件领域发生了震荡，机制焦点转向了关键业务运营，对网今年发生的关键重大攻击事件包括针对哈里伯顿(Halliburton)、伦敦交通局(TfL)和阿肯色州水厂等目标 。新的现针系统

Dragos公司2024年第三季度的勒索络较研究报告指出 ，新出现的软件弱RansomHub
、Play和Fog等团伙利用VPN漏洞和窃取的机制凭证，亿华云通过各种“生活在本地”(LOTL)技术，对网在关键系统中站稳脚跟，关键活动激增 。新的现针系统

Dragos在报告中表示 ：“从传统金融勒索转向运营破坏
，勒索络较特别是软件弱黑客活动分子所为，加剧了勒索软件的风险，这种动机的融合进一步模糊了网络犯罪和网络战争之间的界限 ，需要对工业控制系统(ICS)和运营技术(OT)环境加强防御 。”

报告补充称，该时期的地缘政治紧张局势加剧了这一复杂局面 ，云计算黑客活动分子利用攻击针对工业运营 。

VPN漏洞成为新手入侵的首选

报告指出
，针对工业组织的新勒索软件团伙数量激增，他们混合使用各种技术来利用远程和虚拟网络应用程序的弱点 。Fog 、Helldown 、Elderado 、Play和RansomHub等新出现的团伙是滥用VPN漏洞的主要团伙。

Fog利用了臭名昭著的SonicWall漏洞攻击未打补丁的源码库系统，而Elderado和Play则专注于存在漏洞的VMware ESXi环境。与此同时，Helldown利用Zyxel VPN漏洞侵入企业网络并锁定敏感数据 。

报告指出，VPN漏洞原本只是偶尔用于初始访问，现已成为主流勒索软件攻击中不可或缺的一部分 。

Dragos表示 ：“(2021-2023年)VPN漏洞利用主要与机会性攻击相关，攻击者专注于Pulse Secure和Fortinet等设备中未打补丁的漏洞。现在勒索软件运营者通过将这些漏洞利用与基于凭证的攻击相结合，以绕过多因素身份验证(MFA)保护，模板下载从而提升了他们的战术水平。”

该时期观察到的其他主要勒索软件新参与者包括KillSec和APT73(推测为LockBit的分支) 。

新态势扰乱关键行业

Dragos强调 ，勒索软件攻击不断给工业组织造成重大干扰，导致运营中断
、财务损失和数据泄露。

对工业控制系统(ICS)领域事件的分析显示 ，以施耐德电气(Schneider Electric)为首的“制造业”遭受了最严重的打击，394起事件占所有勒索软件攻击的71% 。源码下载受影响最严重的制造子领域包括建筑业(30%)、食品和饮料业(11%)以及电子业(7%) 。

ICS设备 、交通运输和通信行业受影响较小 ，分别观察到10%(56起)、7%(38起)和5%(17起)事件。

RansomHub、Play和DragonForce成为新主角

据Dragos称，RansomHub在第三季度以90起事件领跑 ，占所有勒索软件攻击的16%，得益于其强大的勒索软件即服务(RaaS)模式，并吸引了如Velvet Tempest等LockBit附属机构，这些机构使用先进的香港云服务器恶意广告和VPN漏洞利用技术。自2024年5月以来 ，该团伙已与168起事件有关 ，主要集中在北美和欧洲，且以工业目标为重点 。

针对哈里伯顿的一次显著攻击扰乱了包括发票处理在内的关键业务。LockBit3.0造成了78起事件 ，占2024年第三季度总数的14% ，然而
，Dragos发现，自2月以来宣布的新受害者中有三分之二可能是虚假的，这是在“Cronos行动”干扰后为了夸大活动而采取的行动
。Play造成了52起事件(9%)，主要针对关键基础设施 ，而DragonForce有35起事件(6%)，Qilin有23起(4%)。