报告核心观点 - Rapid7发布2025年第三季度威胁态势报告 揭示威胁行为体正加速漏洞披露与利用之间的竞赛 巩固勒索软件权力结构 并越来越多地武器化人工智能以规避检测 [1] 漏洞利用趋势 - 新被利用漏洞总数呈下降趋势 从第二季度到第三季度下降21% [2] - 攻击者加倍利用未修补的旧漏洞 包括存在超过十年的CVE 表明历史暴露点仍是有效的攻击媒介 [2] - 微软SharePoint和思科ASA/FTD产品中关键漏洞的大规模利用 凸显了补丁披露与野外攻击之间窗口期的缩短 [3] - 攻击者实时武器化漏洞 组织必须假设漏洞公开之时即是利用开始之日 [4] 勒索软件活动演变 - 活跃勒索软件团伙数量增至88个 高于第二季度的65个和第一季度的76个 表明活动增加及团伙流动性强 [4] - 勒索软件已演变为一种精心策划的战略 团伙像影子公司一样运作 合并基础设施、战术和公关策略 [2] - Qilin、SafePay和WorldLeaks等团伙引领联盟潮 针对商业服务、制造业和医疗保健等行业 并尝试无文件操作、单次勒索数据泄露及提供赎金谈判协助等附属服务 [4] 人工智能与国家级攻击 - 生成式人工智能降低了创建高可信度网络钓鱼活动的门槛 并催生出自适应恶意软件 如可动态生成新命令的LAMEHUG [5] - 来自俄罗斯、中国和伊朗的国家级攻击者精炼其战术 通过瞄准供应链和身份系统 模糊间谍活动与破坏活动之间的界限 [5]

文章核心观点 - CrowdStrike发布2025年欧洲威胁态势报告 揭示欧洲组织占全球勒索软件和勒索受害者比例近22% 仅次于北美[1] - 勒索软件攻击速度显著加快 攻击者团体如SCATTERED SPIDER的勒索软件部署速度提升48% 平均攻击时间缩短至24小时[1] 网络安全威胁态势 - 欧洲地区成为全球勒索软件攻击的第二大目标区域 受害组织数量占全球近22%[1] - 勒索软件操作速度创下新高 平均攻击时间从更长周期急剧减少至24小时[1] 攻击者行为分析 - 特定攻击者团体SCATTERED SPIDER的活动尤为活跃 其勒索软件部署速度在观察期内大幅提升48%[1]

网络攻击事件概述 - 近期针对日本企业的网络攻击浪潮暴露出企业数字防御的关键弱点 引发对销售和供应链进一步中断的担忧 [1] - 朝日集团控股有限公司因勒索软件攻击被迫将分销系统下线 恢复啤酒和饮料的电话订购 依赖Askul Corp的零售商则无法访问其电子商务平台 [1] - Askul事件导致无印良品和西武百货等零售商无法进行在线销售 [4] 攻击趋势与原因分析 - 今年上半年报告的勒索软件攻击案件达116起 与2022年创下的纪录持平 [2] - 攻击激增反映多种因素 包括疫情后远程办公的兴起 加密货币和人工智能的更广泛使用 使攻击者更容易与受害者沟通并索要赎金 [2] - 日本公司越来越多地成为攻击目标 因其拥有大量有利可图的目标 [3] - 典型的勒索软件攻击中 黑客会封锁对重要文件或系统的访问 并要求支付赎金以恢复访问 [3] 日本企业的特定脆弱性 - 日本企业对数字化工作流程的接受较慢以及英语水平有限 曾是无意中的保护屏障 使勒索软件团伙经常忽视该国的目标 [5] - 日本公司的结构加剧了风险 企业倾向于将所有事务交给系统集成商 这削弱了内部网络安全专业知识 IT未融入公司战略 首席信息官往往只是象征性或缺失 [6][7] - 根据Fastly Inc的报告 约46%的日本公司任命了首席信息安全官 低于全球约70%的平均水平 [7] 攻击影响与潜在风险 - 尽管近期事件是暂时的且主要影响购物 但系统较弱的制造商可能面临更严重的中断 威胁其盈利底线 [4] - 2023年名古屋港因勒索软件攻击导致通信系统中断 被迫暂停运营 角川公司去年遭遇数据泄露 超过25万人的信息被泄漏 [6] - 与北美占全球受害者64%的规模相比 日本及亚太地区的网络犯罪规模相对较小 亚太地区占比为12% [8] - 有观点认为 日本尚未经历第一波完整的攻击 损害将继续增长 [9]

网络攻击事件 - 价值4.3万亿美元的市政债券市场主要文件分发平台MuniOS因勒索软件攻击已瘫痪数日[1] - 攻击导致州和地方借款机构无法在该平台发布债券文件[1] 平台功能与市场地位 - MuniOS平台由密歇根州安娜堡市的科技公司ImageMaster LLC运营[1] - 借款方使用该平台展示债券发行文件 是投资者和分析师在债券销售前获取交易信息的重要渠道[2] - 该平台于1999年推出 2017年时市场份额超过70%[7] 市场应对措施 - 尽管交易尚未出现延迟 但部分发行方已转向使用BondLink等替代平台[2] - 德克萨斯州交通委员会一笔18亿美元的债券发行文件被发布在McElwee & Quinn LLC等其他平台[5] - 市政证券规则制定委员会建议发行方可使用其EMMA网站发布初步官方声明等信息[8] 攻击造成的实际影响 - 平台中断给发行方、投资者、银行家和律师带来不便 但交易目前正常进行[4] - 部分市场参与者恢复传统方式 直接发送大容量PDF文件或接听投资者长时间咨询电话[4] - 德克萨斯州交通部为应对投资者询问 提供了文件的实体副本[5] 行业背景与风险趋势 - 市政债券市场是美国各州、城市、交通系统、机场和大学等借款方为基础设施项目融资的场所[3] - 地方政府通常将发行文件公开发布在MuniOS等网站上 以便向机构和零售投资者营销[3] - 市政市场对网络风险的担忧日益增长 评级分析师已将其视为一个隐患[7]

网络安全事件 - 甲骨文公司向E-Business Suite客户发出警告 其客户收到一系列勒索邮件 公司敦促客户升级软件以修补已知漏洞[1][2] - 此次黑客攻击被谷歌描述为高容量 勒索软件团伙Cl0p与此次勒索活动有关 该团伙被认为是俄罗斯相关或以俄语为母语 以勒索软件即服务模式运营[3] - 网络安全公司Halcyon的勒索软件研究中心负责人表示 勒索金额从数百万到数千万美元不等 最高达5000万美元[4] 行业相关网络攻击案例 - 谷歌在8月确认发生数据泄露事件 影响部分客户 归因于名为ShinyHunters的黑客组织 事件发生在谷歌的一个Salesforce数据库系统中[4][5] - 环联在同一月份确认遭遇网络攻击 导致440万美国消费者的个人数据泄露 攻击源自服务于其美国消费者支持业务的第三方应用程序[5] 公司管理层与运营变动 - 甲骨文在9月任命Clay Magouyrk和Mike Sicilia为联合首席执行官 原首席执行官Safra Catz转任董事会执行副主席[6] - 公司同时晋升Mark Hura为全球现场运营总裁 Doug Kehring转任首席财务官 并重申了近期盈利指引[6] 公司内部交易与市场表现 - 根据美国证券交易委员会文件 甲骨文董事Naomi O Seligman近期执行内部人士出售 卖出2222股公司股票 总价值为641,958美元[7] - 根据Benzinga的Edge Rankings 甲骨文在动量指标上位列第92百分位 在增长指标上位列第70百分位 反映出其在两方面表现强劲[7]

勒索软件攻击新趋势 - 威胁行为体在勒索活动中采用新型四重勒索策略，包括使用DDoS攻击破坏业务运营及骚扰第三方以施压受害者，双重勒索仍是最常见方式[1][2] - 四重勒索在双重勒索（加密数据+威胁公开泄露）基础上新增业务中断和第三方施压手段，将网络攻击升级为全面商业危机[2][3] 攻击手法演变 - 生成式AI和大型语言模型降低技术门槛，使非专业人士能编写勒索代码并优化社会工程策略，导致攻击频率和规模上升[6] - 黑客活动分子/勒索混合团体利用勒索软件即服务(RaaS)平台扩大影响，如Dragon RaaS从攻击大企业转向安全薄弱的小型组织[6] - 加密货币挖矿攻击中近半数针对非营利和教育机构，这些行业因资源不足更易受攻击[6] 典型攻击案例 - TrickBot恶意软件家族自2016年起通过加密货币勒索受害者超7.24亿美元，近期被发现与5个客户系统中的4个可疑计划任务关联[6] 企业防御建议 - 需采用零信任架构、微隔离等策略构建弹性防御体系，同时加强事件报告和风险管理机制[3] - 现有网络安全法规虽适用勒索软件，但需关注专门针对赎金支付的限制性法规[3] 公司技术能力 - 公司提供市场领先的安全解决方案和威胁情报，通过全球运营团队实施深度防御保护企业数据与应用[5] - 全栈云计算解决方案基于全球分布式平台，为企业提供高性能且经济高效的云服务[5]

网络安全事件 - 漂白剂制造商Clorox起诉IT服务提供商Cognizant，指控其因员工疏忽导致2023年重大网络攻击，黑客仅通过索要密码即入侵系统 [1] - 黑客组织Scattered Spider专门通过欺骗IT帮助台获取凭证并实施勒索，2023年8月攻击包括Clorox在内的多家大型企业 [1][6] - 诉讼文件显示黑客仅通过电话要求重置密码，Cognizant客服未验证身份即提供凭证，无复杂技术手段介入 [3][4] 攻击细节 - 诉讼附有三段通话记录，显示黑客以"无法连接"为由索要密码，客服直接提供且未核实对方身份或员工编号 [4] - Cognizant员工还存在其他失职行为，包括未停用高危账户及数据恢复不当，加剧了事件影响 [5] 经济损失 - 此次攻击造成Clorox总计3.8亿美元损失，其中5000万美元为补救成本，其余3.3亿美元源于攻击后无法向零售商供货 [4]