近期(12.15-12.21)态势快速感知

1. 近期全球共发生了247起攻击和勒索事件，勒索事件数量急剧增长。

2. 近期需要重点关注的除了仍然流行的勒索家族lockbit3以外，还有本周top1勒索组织toufan。toufan是一个新兴勒索组织，本周共发起了108起勒索攻击，攻击目标国家为美国，以色列和加拿大，占比近90%。该组织声称其是因为复仇和抵抗，以声援巴勒斯坦事业。

01 勒索态势

近期全球共发生了247起攻击和勒索事件，勒索事件数量急剧增长

1. 攻击和勒索事件趋势图如图1.1所示，勒索事件呈现增长趋势。

2. 本周全球勒索事件受害者所属行业和历史对比趋势图如图1.2所示。从图中可知，制造业、物流行业和零售业等有了大幅增长。通过分析发现，攻击制造业、物流业和零售业的勒索家族绝大部分都为toufan，勒索攻击数量占比82%。而在其余行业，toufan勒索家族占比仅为20%，所以推测toufan勒索家族偏好于攻击这三个行业。

3. 本周勒索受害者所属国家Top10如图1.3所示。美国依旧为受勒索攻击最严重的国家。占比47%。

4. 本周监控到活跃的勒索家族共有31个，Top10勒索家族如图1.4所示。本周Top3和历史Top3勒索家族的累积变化趋势如图1.5所示。从图中可知，lockbit3仍然是影响最严重的勒索家族，而本周新增应着重关注的勒索家族为toufan家族。

图1.1 勒索事件趋势图

图1.2 勒索受害者行业分布趋势图

图1.3 Top10受影响国家

图1.4 Top10活跃勒索家族

图1.5 流行勒索家族的累积变化趋势图

02 勒索事件跟踪

近期监测到的247起勒索事件中，对公共安全造成重大影响的Top10事件如表2.1所示。随后本文在勒索事件详细跟踪分析部分对表中的一些重点事件进行了详细描述。

表2.1 Top10勒索事件详情

勒索事件详细跟踪分析

1. 近期勒索组织8base将Socadis公司添加到其Tor泄露网站的受害者名单中。该勒索组织共获得了包括发票、收据、雇佣合同、大量机密信息和保密协议等大量数据，并设置最后交付赎金的时间为12月27日。

2. 近期勒索组织knight将澳大利亚Crace医疗公司添加到其Tor泄露网站的受害者名单中。该勒索组织共获得了超过30GB的文件，数据上传时间为12月16日。

3. 近期勒索组织dragonforce将养乐多澳大利亚公司添加到其Tor泄露网站的受害者名单中，宣布其获取了该公司的数据库、合同和护照等。

03 重点勒索组织介绍

本次主要介绍新兴勒索家族toufan和lockbit3这两个家族。

LockBit 3.0

LockBit 3.0，又称“LockBit Black”，是一种勒索服务（RaaS）模型，继承了LockBit家族的传统。该模型具备高度自动化和组织化，使用先进的加密算法，迅速加密受害者数据并要求赎金。

TouFan

TouFan（AI-Toufan），由“棉沙尘暴”（Cotton Sandstorm）主导，专注于针对巴林新闻和政府网站的攻击，旨在在政治上较少代表的什叶派多数群体中制造动荡。通过鼓励抗议活动并突显贫困和通货膨胀，该组织试图激发巴林的什叶派多数人群之间的不满情绪。在其首次篡改一家亲政府新闻网站的事件中，棉沙尘暴替换了合法内容，取而代之的是批评政权并促进抗议的文章。此外，该组织还借助阿拉伯语的虚假社交媒体账户，或称为“傀儡账户”，来放大Al-Toufan的篡改行为。这一系列行动旨在加剧巴林政治局势的紧张，并在社会上制造更多的不安。

04 亚信安全勒索检测能力升级

针对全球勒索事件频发的威胁态势，亚信安全推出勒索治理方案，针对近期活跃勒索事件已具备检测能力，请提醒客户及时升级产品及特征库。最新产品版本和特征库列表如下：

表4.1 本周勒索事件特征库更新列表

（监测数据仅来源于互联网已公开信息，统计不包含亚信安全已拦截事件）