安全行动，只为中国（二）—— 勒索攻击等黑产活动分析响应处置篇

威胁分析响应，是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体，展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作，持续推动核心引擎和产品与服务能力迭代改进，有效支撑公共安全治理和国家安全斗争。

2004年，安天以病毒分析组为基础，组建了安天应急处理小组，后更名为安天安全研究与应急处理中心，即安天CERT。按照“第一时间启动，同时应对多线威胁，三体系联动，四作业面协同”的工作原则，构建了工作机制。面向重大安全事件和高级威胁响应处置，形成了整体战备动员机制。安天已经连续八届（十六年）蝉联国家互联网应急中心国家级（甲级）支撑单位。

今天带来，安天应急处置与威胁分析工作轨迹的第二部分——勒索攻击等黑产活动分析响应处置篇。

经济获利一直是网络攻击活动的主要动力来源之一，围绕侵害信息系统、信息资产和用户形成了网络黑灰产的犯罪体系。由此产生了勒索攻击、商业窃密、构造僵尸网络进行DDoS攻击、挖矿等多种威胁形势。

其中勒索攻击是网络犯罪中当前危害最大的一种形势，勒索攻击的早期模式，是通过勒索病毒或内置勒索代码的软件，感染扩散或分发，发作后用户数据被加密或系统瘫痪，交付赎金后完成的。但今天勒索攻击的主要形式已经以RaaS（勒索即服务）+定向攻击为主，攻击者对受害者实施定向入侵、数据窃取、数据加密和破坏系统等活动，之后以用户系统数据无法使用、数据贩卖、数据公开、关联举报等为要挟，要求用户支付大量赎金。

提升用户应对勒索攻击等黑灰产活动的感知和防御能力，一直是安天引擎和政企产品和服务能力的重要频谱，而跟进分析相关重大安全事件、提供公共安全知识、提升用户意识和防护水平则也是安天在应急响应处置中重要的支撑能力频谱，通过开展攻击活动感知、样本捕获分析、漏洞机理和缓解研究、威胁情报生产、发布专杀处置工具、公布分析报告等工作，为客户和公众提供安全赋能。

2015年8月

事件：CTB-Locker敲诈者

贡献：分析报告

CTB-Locker勒索形象

更多内容参见：

"攻击WPS样本"实为敲诈者

2017年5月

事件：魔窟“WannaCry”

贡献：首发完整分析、专杀、免疫工具、内存密钥提取（恢复）工具、溯源支撑

WannaCry病毒形象

更多内容参见：

安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告

安天应对勒索软件“WannaCry”防护手册

安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析

安天蠕虫式勒索软件WannaCry免疫工具FAQ 4

应对勒索软件“WannaCry”，安天发布开机指南

2018年2月

事件：GlobeImposter勒索    

贡献：动态解密原理分析

GlobeImposter勒索病毒形象

更多内容参见：

警惕GlobeImposter勒索软件，安天智甲有效防护

2019年3月

事件：国际黑产组织针对部分东亚国家金融从业者攻击

贡献：事件分析、样本分析、组织关联与画像

TA505组织形象

更多内容参见：   

国际黑产组织针对部分东亚国家金融从业者攻击活动的报告

2019年6月

事件：勒索攻击Sodinokibi运营组织的关联

贡献：组织归因、关联分析

Sodinokibi勒索形象

更多内容参见：

勒索软件Sodinokibi运营组织的关联分析

2019年10月

事件：Phobos勒索变种

贡献：样本归因、家族演进史

Phobos勒索变种形象    

更多内容参见：

Phobos勒索软件变种分析报告

2020年4月

事件：WannaRen勒索攻击

贡献：捕获预警、分析报告、追踪溯源

WannaRen勒索攻击弹窗显示

更多内容参见：

针对WannaRen勒索软件的梳理与分析

2021年5月-7月

事件：美燃油管道商遭勒索攻击关停事件

贡献：防护建议、样本分析、事件梳理和总结    

DarkSide勒索攻击勒索信

更多内容参见：

关于美燃油管道商遭勒索攻击关停事件的初步研判和建议

关于美燃油管道商遭勒索攻击事件样本与跟进分析

针对美燃油管道商遭勒索攻击关停事件总结

2021年7月

事件：“幻鼠”组织窃密攻击

贡献：全球监测、流程分析、样本分析

“幻鼠”组织形象

更多内容参见：

“幻鼠”组织针对我国的窃密攻击活动分析

2021年9月

公共支撑：中国信通院《勒索病毒安全防护手册》

贡献：电信、移动、联通、安天、安恒、奇安信、绿盟等

勒索病毒安全防护手册

2021年11月

工作：勒索攻击和危害专题

贡献：勒索攻击专题

智甲终端防护系统防御勒索病毒原理示意图

更多内容参见：

《从八个方面认识勒索攻击和危害》之一：勒索攻击中的四种分工角色

《从八个方面认识勒索攻击和危害》之二：勒索攻击的两种典型模式

《从八个方面认识勒索攻击和危害》之三：惯用传播方式与侵入途径

《从八个方面认识勒索攻击和危害》之四：“勒索攻击杀伤链”分析

《从八个方面认识勒索攻击和危害》之五：四种主要勒索类型

《从八个方面认识勒索攻击和危害》之六：重要攻击特征

《从八个方面认识勒索攻击和危害》之七：十类典型家族

《从八个方面认识勒索攻击和危害》之八：勒索攻击的发展趋势

2021年12月

事件：Conti勒索

贡献：组织介绍、梳理受害者信息、样本分析

Conti勒索攻击勒索信

更多内容参见：

Conti勒索软件分析报告

2022年2月

事件：Coffee勒索攻击

贡献：样本分析、全球感染情况、解密工具    

Coffee勒索攻击勒索信

更多内容参见：

Coffee勒索软件持续活跃，安天发布解密工具

2023年3月-至今

事件：“游蛇”黑产团伙

贡献：率先捕获、分析报告、专杀工具、普查工具

“游蛇”黑产团伙形象

更多内容参见：

利用云笔记平台投递远控木马的黑产团伙分析

“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析

“游蛇”黑产团伙近期钓鱼攻击活动分析

“游蛇”黑产团伙利用微信传播恶意代码的活动分析

“游蛇”黑产团伙专题分析报告

“游蛇”黑产团伙针对财务人员及电商客服的新一轮攻击活动分析

“游蛇”黑产近期攻击活动分析

“游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析

2023年5月

事件：Akira勒索攻击    

贡献：勒索攻击概览、技术梳理

Akira勒索攻击勒索信

更多内容参见：

疑似使用定向攻击模式的Akira勒索软件分析

2023年11月

事件：LockBit勒索攻击

贡献：样本分析、定向勒索防御思考

LockBit勒索攻击修改桌面背景

更多内容参见：

LockBit勒索软件样本分析及针对定向勒索的防御思考

2023年12月

事件：波音遭遇勒索攻击

贡献：威胁趋势分析、分析复盘、防御思考、样本分析

波音遭遇勒索攻击事件分析复盘

更多内容参见：

波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考

2024年5月

安全服务：安天勒索防治演练

贡献：勒索防护专题、勒索防治演练服务    

安天勒索防治演练服务概述

更多内容参见：

反勒索 新抓手 | 安天勒索防治演练服务

2024年9月

事件：RansomHub勒索攻击

贡献：组织背景、组织归因    

RansomHub组织RaaS计划

更多内容参见：

活跃的RansomHub勒索攻击组织情况分析  

  

 

    

往期回顾