勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。
2024年9月，全球新增的雙重勒索軟件家族有Nitrogen、Orca、ValenciaLeaks。8月新增的傳統勒索軟件家族RNTC在國內的傳播較為顯著，主要通過遠程桌面登錄手動投毒，同時通過smb共享擴大加密文件范圍。
以下是本月值得關注的部分熱點：
1. 法飛塔確認黑客竊取的440G文件已遭泄露
2. 堪薩斯州水廠遭網絡攻擊后被迫改為人工操作
3. NoName勒索軟件組織在最近的攻擊中部署RansomHub
基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。
感染數據分析
針對本月勒索軟件受害者設備所中病毒家族進行統計：TargetCompany(Mallox)家族占比31.21%居首位，第二的是RNTC占比22.93%的，Makop家族以15.92%位居第三。
     
圖1. 2024年9月勒索軟件家族占比
對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。
圖2. 2024年9月勒索軟件入侵操作系統占比
2024年9月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC與服務器平臺的攻擊比例基本相當。
圖3. 2024年9月勒索軟件入侵操作系統類型占比 
勒索軟件熱點事件
速匯金確認在長達數日的系統中斷背后是網絡攻擊
匯款巨頭速匯金證實自9月20日以來，其所處理的系統故障和客戶投訴后均因該公司遭受了網絡攻擊所導致。雖然許多人此前就懷疑該公司受到了網絡攻擊，但直到當地時間23日早上，速匯金才證實了本次系統中斷是由網絡安全事件所致。
在速匯金客戶無法轉賬或訪問他們的資金后，該公司曾于21日表示他們遇到了“網絡中斷”影響了與系統的連接。
該公司最終于23日證實，網絡安全事件是系統中斷的原因，并向客戶保證，該公司正在與外部專家和執法部門努力解決這一問題。
雖然速匯金沒有透露他們遭受了哪種類型的攻擊，但長時間的中斷和與系統的連接中斷表明存在勒索軟件攻擊。 考慮到速匯金龐大的客戶群，該公司潛在的數據泄露可能會對許多人產生深遠的影響。
堪薩斯州水廠遭網絡攻擊后被迫改為人工操作
負責監管西雅圖港口和機場的美國政府機構——西雅圖港務局于9月13日證實，Rhysida勒索軟件組織是過去三周內對該機構系統發動網絡攻擊的幕后黑手。此前，該機構于8月24日透露遭到網絡攻擊，并被迫隔離了一些關鍵系統以控制影響。由此導致的IT中斷影響了西雅圖塔科馬國際機場的預訂和登機系統，并導致航班延誤。
在最初披露攻擊事件的三周后，港口正式確認8月份的攻擊事件是Rhysida勒索軟件組織的成員策劃的勒索軟件攻擊。該聲明稱：“此次事件是由名為Rhysida的犯罪組織實施的一起勒索軟件攻擊。從那天起，港口系統再也沒有發生未經授權的活動。從西雅圖-塔科馬國際機場出發并使用西雅圖港的海運設施仍然是安全的。”
據港口方面稱，調查發現未經授權的黑客能夠訪問其部分計算機系統，并能夠加密某些數據的訪問權限。該港口決定關閉系統以及勒索軟件團伙在未能及時隔離的系統上加密的行為導致了多重服務和系統的中斷，其中包括行李處理、值機亭、售票、Wi-Fi、乘客信息顯示屏、西雅圖港口網站、flySEA應用以及預留停車位。盡管港口已經在一周內將大多數受影響的系統恢復上線，但它仍在努力恢復其他關鍵服務，如西雅圖港口網站、SEA Visitor Pass、TSA等待時間和flySEA應用訪問。此外，該港口也決定不向勒索軟件犯罪團伙支付解密器費用，盡管攻擊者很可能會在8月中旬至月底之間在其暗網泄露網站上發布竊取的數據。
“西雅圖港沒有向攻擊者支付贖金的意圖，”西雅圖港執行主任Steve Metruck說。“向犯罪組織支付贖金不符合港口的價值觀，也不符合我們作為納稅人資金守護者的承諾。”
NoName勒索軟件組織在最近的攻擊中部署RansomHub