文章核心观点 - 2024年Secureworks《威胁状况报告》揭示勒索软件生态系统碎片化，活跃勒索软件组织增多，同时AiTM和AI威胁增长，报告还总结了中国、俄罗斯、伊朗、朝鲜和哈马斯等国家和组织的网络威胁活动 [1][3][9] 勒索软件生态系统变化 - 活跃勒索软件组织同比增长30%，过去12个月有31个新组织进入该生态系统 [1] - 此前由少数组织主导的格局，如今有更多新兴参与者，运营缺乏重复性和结构，驻留时间和方法多变 [2] - 执法行动对勒索软件运营格局造成重大破坏，使用“点名羞辱”泄露网站的活跃勒索软件组织数量同比增长30%，但受害者数量未同步上升 [3] - 扫描利用和被盗凭证仍是勒索软件攻击的两大初始访问途径，中间人攻击增加，AI在网络犯罪中的使用和变体增多 [3] 勒索软件业务模式转变 - 执法行动打破旧联盟，重塑网络犯罪业务，威胁行为者改进运营方式，导致组织数量增加和大量附属机构迁移 [4] AiTM和AI威胁 - 威胁行为者越来越多地使用中间人攻击窃取凭证和会话cookie，降低了部分多因素认证的有效性，此类攻击可通过地下市场和Telegram上的钓鱼工具包实现自动化 [5] - 自2023年2月中旬以来，地下论坛上关于使用OpenAI ChatGPT进行恶意活动的讨论增多，主要涉及钓鱼攻击和基本脚本创建 [6] - 威胁行为者利用AI实施“讣告海盗”欺诈，通过监控谷歌趋势、使用生成式AI创建悼念文章并操纵搜索结果，引导用户访问推送广告软件或潜在有害程序的网站 [8] 国家支持的威胁活动 - 报告分析了中国、俄罗斯、伊朗、朝鲜和哈马斯等国家和组织的网络威胁活动，主要驱动因素是地缘政治 [9] - 中国网络活动主要目的是为政治、经济和军事利益窃取信息，部分国家机构曾警告中国间谍活动规模，美国曾起诉BRONZE VINEWOOD威胁组织成员，英国称中国曾对其选举委员会发动恶意攻击 [10] - 伊朗网络活动受政治需求驱动，国际上主要针对以色列、地区对手和美国，常使用虚假黑客活动人员身份进行攻击，主要赞助方为伊斯兰革命卫队和情报与安全部 [11] - 朝鲜威胁行为者通过加密货币盗窃和欺诈性就业计划获取收入，主要针对美国、韩国和日本的IT部门和供应链弱点，同时加强与俄罗斯和伊朗的合作 [12] - 哈马斯相关的三个威胁组织在以色列 - 哈马斯战争爆发后网络活动增加，但部分活动可能由伪装成巴勒斯坦人的黑客组织实施，背后可能与伊朗或俄罗斯有关 [13] - 俄罗斯国家支持的网络活动受俄乌战争驱动，主要针对乌克兰境内的关键基础设施，如IRON VIKING对乌克兰国防部队战场控制系统的网络间谍攻击 [14] 报告相关信息 - 《威胁状况报告2024》是Secureworks第8版报告，基于该公司CTU对威胁行为者工具和行为的一手观察及实际事件，提供全球网络安全威胁格局的分析 [15] - 可通过链接https://www.secureworks.com/resources/rp-state-of-the-threat-2024阅读报告全文 [16] 公司介绍 - Secureworks是全球网络安全领导者，其Taegis平台基于20多年的实际检测数据、安全运营专业知识和威胁情报研究构建，被全球数千家组织用于检测高级威胁、简化调查和自动化响应 [16]