2024年年初，Dark Angels勒索组织干了一票大的，勒索了某世界财富50强公司，获得了令人为之震惊的超高收益——7500万美元（约 5 亿 4000 万人民币），高于目前所有已知的赎金金额。

加密情报公司 Chainalysis 进一步证实了这一破纪录的支付方式，并在 X 平台上发布了推文。仅凭这一单的产生的收益，Dark Angels勒索组织在2024年的净利润足以秒杀全球绝大部分网安上市公司，黑产的疯狂程度再一次被刷新。

一、2024年黑产事件持续攀升

Dark Angels勒索组织的历史性操作仿佛像是拉开了2024年，以数据贩卖、勒索攻击为主的黑产事件的序幕。随着大量新兴技术（AI、漏洞、社工等）被攻击方熟练且复合使用，预计2024年黑产将超越2023年，甚至是2021年的高点。

据国内网安公司威胁猎人发布的《2024年上半年数据泄露风险态势报告》显示，2024年上半年监测有效的数据泄露事件较2023年下半年增长59.58%；监测到涉及真实数据泄露事件的黑产团伙较2023年下半年增长近一倍。

而从行业分布来看，2024年上半年数据泄露事件涉及85个行业，数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。从区域、年龄、性别等维度来看，2024年上半年数据泄露人群最多的区域分别是：浙江、四川、广东；35-54岁占比最高达62%；女性占比最高达64%。

搞钱是黑产兴起最核心的原因。随着全球网络安全法规的持续完善，黑客因个人炫技而进行入侵的时代已经一去不复返，除政治需求外，当下黑客/黑产团队入侵企业的核心目的就是搞钱。

据国外知名咨询机构Verizon《2024年数据泄露调查报告》的数据显示，经济利益驱动下，高ROI的攻击手段备受青睐，攻击者愈发倾向使用能高投资回报率的攻击技术手段。其中最为严重的就是勒索攻击，占据高ROI攻击事件的近三分之二（59%至66%之间波动）。根据联邦调查局互联网犯罪投诉中心（IC3）勒索软件投诉数据显示，由勒索软件和其他勒索行为导致的损失成本中位数为4.6万美元，95%的案件金额不超过1141467美元。

黑产们最具典型性的攻击方法主要有两方面：一是窃取企业核心机密数据并对外出售获取利润，即数据贩卖；二是通过对系统、数据进行加密来勒索企业赎金，也就是我们常说的勒索攻击。

接下来，我们将重点分析2024年上述两种典型的黑产形式。

二、疯狂又专注的勒索软件攻击

2024年是勒索攻击异常泛滥的一年，呈现出越来越频繁的趋势。随着黑客组织不断更新和改进攻击策略和技术，衍生出 RaaS 勒索软件即服务，自动化、智能化、多重勒索等复合勒索攻击形态，使得勒索攻击的门槛不断降低，攻击频率持续上升，并逐渐成长为最具威胁的网络攻击之一。

1. 2024勒索攻击频率和赎金金额持续增长

据安全公司Orange Cyberdefense在7月发布的网络勒索报告Cy-Xplorer 2024，过去12个月，被勒索攻击的企业数据急剧增加，同比增长高达77%。分析师还表示，由于勒索生态系统处于动态变化中，实际被勒索的受害者数量将会更多。天际友盟《2024年上半年全球勒索软件报告》的数据也显示，监测到2024年上半年勒索软件攻击事件高达2300余起，远超其它网络攻击类型。

与此同时，勒索赎金方面，2024年也创下了新的记录。据Chainalysis公司发布的数据，上半年，勒索软件受害者向攻击者支付了超过 4.59 亿美元，较去年的4.491 亿美元增加了 1000 万美元。

赎金中位数也在不断上升。从头部勒索组织（2024年收到数据超过100万美元）来看，除了最高值（7500美元）外，赎金中位数金额也从2023 年的 198939 美元增加到 2024 年 6 月中旬的 150 万美元。而根据Sophos公司发布的一份报告数据显示，2024 年美国49 个州和地方政府实体支付的赎金中位数为 220 万美元，再次刷新记录。

上述这些数字透露出勒索攻击越来越疯狂的态势，其目标受众涵盖了大型企业到政府、医院、金融机构等基础设施。2024年第三季度的态势也印证了这一点，在全球发生了多起重大勒索软件攻击事件中，受影响最大的正是上述领域。这些行业往往无法承受长时间的业务停摆、核心数据泄露等带来的严重后果，其支付赎金的意愿更高，因为更易成为勒索组织眼中的香饽饽。

基于此，全球政府在2024年加大了对勒索组织的打击力度，其中最典型、最活跃的Lockbit3被重点打击。2024年2月，美国、英国、法国等11个国家联合发起了代号为“克罗诺斯”的执法行动，号称取得了显著成果，包括识别并移除了超过1.4万个恶意账户，逮捕了两名Lockbit附属机构成员，查获了34台包含源代码、被攻击受害者详情、勒索赎金、被盗数据、聊天记录等内部信息的服务器等。

但实际情况却并非如此，Lockbit3勒索组织段时间内再次复苏，启用了全新的数据泄露网站，并直接发布了106个受害企业的数据，再次成为活跃的头部勒索组织。与之对应的是，新兴勒索组织不断涌现，2024年RansomHub、Hunters International、Qilin等勒索组织短时间内迅速崛起，对全球多个行业造成了严重影响。

其中，RansomHub自2024年2月以来，至少对210个目标实施了加密和数据泄露攻击；Hunters International的目标范围集中在医疗和教育领域，涉及美国、欧洲、加拿大和日本等国家；Qilin则更青睐勒索软件即服务（RaaS）模式，针对不同行业的组织进行定制化攻击。

2. 大猎杀和机会主义

在勒索攻击策略方面，2024年也出现了较为明显的变化。FreeBuf通过分析行业数据发现，当前勒索组织普遍采取“大猎杀”与“机会主义”两种策略进行攻击。

“大猎杀”策略最受头部勒索组织青睐。例如文章开头提及的Dark Angels勒索组织采取典型的“大猎杀”策略，即仅针对少数高价值公司发起攻击，以获取巨额赎金，类似于我国以往的古董行业，三年不开张，开张吃三年。这类勒索组织只针对少数高价值公司，例如世界财富500企业，深入研究企业可能存在的漏洞与攻击面，一般需要长时间潜伏和打通攻击路径，最后一击致命。为确保被勒索的企业就范，他们在攻击中既会窃取数据，又会加密系统的设备，增加赎金谈判筹码。

而“机会主义”策略则更偏向于中小企业，事实上这也是更多的腰低部勒索组织的选择。据安全公司Orange Cyberdefense发布的Cy-Xplorer 2024报告数据显示，员工少于1000人的中小型企业遭受勒索攻击的可能性是大型企业的4.2倍。

对此，分析师认为，“机会主义”勒索策略盛行的核心原因是，当下企业安全体系防护效果越来越好，大型集团企业的攻击难度过高，所以这些攻击者会将注意力聚焦在那些他们够得着的目标上。由于小企业安全建设并不完善，攻击难度更低，因此成为了“机会主义”的主要受害者。

机会主义的特点是不需要攻击者进行大量前期研究或投入大量资源，可以利用公开的漏洞、弱密码或社会工程学技巧来发起攻击。尽管回报可能低于“大猎杀”策略，但是由于目标数量众多，勒索团伙也能获得不错的回报，且被溯源的可能性更低。

3. AI成为勒索攻击的大杀器

机会主义的盛行并不意味着勒索组织的攻击能力下降，相反自2023年以来，勒索组织一直在尝试借助AI大模型的能力提升勒索攻击能力，降低勒索攻击的门槛与成本。

2024年，勒索组织利用AI的能力有了明显地提升，AI勒索攻击成为一种使用极为广泛且危害巨大的方法。英国国家网络安全中心（NCSC）2024年 1 月发布的一份报告警告称，由于AI的进步以及网络犯罪分子对相关技术的利用，预计未来两年勒索病毒攻击的数量将会增加。

首先，AI大模型可以大大降低勒索攻击的门槛，甚至没有任何基础的攻击者也可以通过AI制造出勒索病毒。

2024 年 5 月，据《日本时事通信社》报道，一名25岁的日本无业男子因利用互联网上公开的生成式AI获取非法程序信息并制作勒索型计算机病毒。这也是日本首个利用生成式人工智能制作计算机病毒的案例。

最关键的是，林琉辉没有任何的IT基础，而是向多个生成式人工智能发出指令，让其提供非法程序信息并制作病毒。他制作的计算机病毒是一种勒索型病毒，包含加密攻击目标数据和索求加密货币的程序。在被警方逮捕后承认，“一直想通过制作勒索病毒来轻松赚钱”。

其次，AI可以提高勒索组织的效率，其中包括制作“诱饵”和开发复杂恶意软件的效率。AI大模型能够快速地生成看似合理且难以区分的欺诈性文本、电子邮件和网站。据OpenAI近日发布的通告，越来越多的黑客和APT组织利用包括ChatGPT在内的AI大模型发起全球性的大规模网络攻击。这些活动既包括部署恶意软件、生成社交媒体账户传记、创建虚假账户、生成照片、文章等。

与此同时我们发现，以WormGPT和FraudGPT为代表恶意AI大模型正受到攻击者的欢迎。据ThreatLabz研究团队发布的报告显示，这些恶意AI大模型使用门槛低，功能十分齐全，可以用于创建，测试一下或优化任何种类的恶意代码，包括恶意软件和勒索软件等。

最后，AI还可以自动化寻找漏洞并制定出相应的攻击方法，这对防护能力较弱、暴露的攻击面较多的企业来说将会形成降维打击。根据OpenAI的报告，伊朗黑客组织Cyber Av3ngers利用大模型ChatGPT策划一系列针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。

在此次行动中，CyberAv3ngers借助AI寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。包括利用AI协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。

三、越来越严重的数据贩卖

正如上文所说，勒索攻击往往也附带数据泄露与贩卖行为，因此这里不再讨论勒索攻击情况下的数据贩卖黑产，仅从常规网络入侵窃取数据并贩卖的情况进行分析。

近年来，随着科学技术的快速发展与数字化转型进入深水区，数据的价值正在持续上升，自然也就成为黑产严重的摇钱树。2024年，全球数据贩卖黑产呈现出不断增加的趋势，数据泄露事件数量显著增长，不仅对企业业务造成严重影响，并且还会因此被监管机构进行现金处罚。

例如2024年10月，全球酒店巨头万豪酒店因2014年至2020年间导致三次重大泄露的问题，被联邦贸易委员会（FTC）罚款5200万美元（约3.6亿人民币），并被勒令“必须采取措施更好地保护客户的个人信息，让客户对他们的数据有更多的控制权，实施一个全面的信息安全计划，包括多因素认证、加密和其他保障措施等。”

据身份盗窃资源中心（Identity Theft Resource Center, ITRC）2024年7月发布的《2024年上半年数据泄露分析》显示，2024年上半年，共发生了1571起数据泄露事件，较2023年同期的1382起增长了约14%，较2022年同期的817起增长了约92%。受影响的用户数量约为10.79亿，几乎是2023年（1.83亿）的6倍， 2022年（6.2万）的17倍。这一趋势表明，数据泄露事件的数量和影响范围都在快速扩大。

一个有意思的现象是，2024年数据泄露事件TOP 10的背后都存在攻击者的身影，换言之即是有黑产主动攻击，并且其中大部分数据都被黑产们通过暗网或者Telegram进行贩卖。具体事件和影响人数如下：

• Ticketmaster Entertainment泄露事件影响了约5.6亿人；
• Advance Auto Parts事件波及约3.8亿人；
• Dell Technologies事件则涉及了4900万人；
• loanDepot泄露事件影响了约1692万人
• Kaiser Foundation Health Plan事件涉及1340万人；
• 美国环境保护署（EPA）事件波及846万人；
• Infosys McCamish Systems LLC事件影响607万人；
• Omni Hotels and Resorts事件影响350万人；
• Financial Business and Consumer Solutions事件波及343万人；
• A&A Services dba Sav-Rx事件影响281万人；

ITRC报告进一步指出，在上半年发生的1571起数据泄露事件中，有1226起事件是网络攻击导致，较2023年（1035起）增长了18%，较2022（730起）年增长了68%，连续三年成为导致数据泄露事件的主要原因。

网络攻击类型中，造成数据泄露事件的主要网络攻击向量包含未指定、网络钓鱼/短信钓鱼/商业邮件入侵、勒索软件、恶意软件等。其中，未指定的攻击向量839起，占比高达68%，较2023年增长63%，较2022年增长了1.7倍，这表明黑产的攻击技术正在不断复杂化，许多攻击手段难以被准确分类或识别。

行业方面，金融服务业和医疗行业是2024年网络攻击的重灾区，大量数据被黑产们在暗网上售卖。IBM发布的《2024年数据泄露成本报告》也佐证了这一点，医疗行业和金融行业泄露成本分别为977万美元和608万美元，远高于其他行业。

国内情况也是如此。正如文章开头所提及的，2024年上半年监测到3.4万个黑产团伙中，经分析验证涉及真实数据泄露事件的黑产团伙共计1973个，较2023年下半年增新增984个，增长近一倍。黑产团伙的猖獗程度可见一斑，也是造成数据泄露的核心因素。

需要注意的是，威胁猎人在针对黑产数据交易市场研究发现，2024年上半年利用Facetime诈骗活动增多，2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起，较2023年下半年增加8倍之多。

除了企业防护不足，存在弱口令/人员安全意识薄弱等客观因素外，从攻击者的视角出发，黑产团伙最常用的入侵方式是“漏洞利用”。

据Verizon发布的《2024年数据泄露调查报告》显示，漏洞是数据数据泄露的主要突破口，与2023年相比，漏洞利用增加近180%。这一激增的原因与众所周知且影响深远的MOVEit和其他零日漏洞息息相关。

需要强调的是，黑产团伙利用漏洞的速度远比我们想象中要快的多，更是远远超过企业修复漏洞速度。

报告数据分析同时揭示了许多企业组织的一个重要弱点——不法分子利用漏洞的速度比组织修补漏洞的速度更快。数据显示，新漏洞经公开披露后，平均攻击发起时间已不足5天
攻击者针对最新公开披露的漏洞利用速度呈加快趋势。而根据Verizon统计的数据，企业平均需要大约55天才能修复其中一半的漏洞，修复速度过于缓慢。

事实上，攻击者不光在新漏洞利用上速度飞快，同样也喜欢利用老漏洞，安全公司FortiGuard Labs数据显示，攻击者正持续利用已公开披露超15年的漏洞，核心原因是部分企业长时间不对漏洞进行修复。

Fortinet发布的报告印证了该观点，数据显示，41%的受访组织基于漏洞签名成功检测出潜藏1个月以内的漏洞，而几乎所有受访组织（98%）均挖掘出潜藏至少5年之久的N日漏洞。这也是黑产团伙对旧漏洞爱不释手的原因。

四、结语

随着企业朝着数字化/智能化的方向演进，近年来勒索攻击和数据贩卖等黑产活动呈现出专业化、团队化、智能化的发展趋势，各种新型且极具杀伤力的攻击方法层出不穷，例如供应链攻击/多重勒索模式/AI驱动等，对于各种漏洞的利用愈来愈纯熟，攻击路径呈现出多元化趋势，给全球网络安全带来了前所未有的挑战。

另外一个更糟糕的事实是，经过多年的探索与运营，暗网的运作也越来越趋于稳定，并成为黑产的“关键基础设施”。即便全球政府加大了对暗网的打击力度，但效果并没有想象中的好。

据《2023 年暗网价格指数》披露的数据，2022 年和 2023 年初，执法部门查封了许多大型暗网市场，但这并没有减少暗网上非法商品和服务的供应，新的网站和论坛几乎在一夜之间就建立起来，并很快填补了当局关闭网站所留下的空白，暗网价格指数几乎没有受到影响。

暗网趋于稳定，则黑产团伙们就具有稳定的销赃和资源补充渠道，必定会进一步刺激更多的黑产持续向企业发起网络攻击，以获取更多的经济利益。

基于此，企业安全防护或许也应该转变思路，从黑产/攻击者的视角出发，不再追求安全设备的堆砌，以实际安全效果为导向，真正提升企业应对威胁的能力。