勒索软件监测分析日报
🔍 关键洞察
📅 2026年3月6日-2026年3月8日勒索软件事件分析:
本期勒索事件总数约116起,活跃度维持高位,与前期相比保持稳定。Qilin组织凭借其庞大的RaaS附属网络继续领跑(25+起),成为本期最活跃团体。Handala组织针对以色列耶路撒冷供水设施和气象站系统的连续攻击尤为醒目,凸显勒索软件与地缘政治黑客行动主义(hacktivism)融合的趋势日益明显。美国中小企业仍是首要目标,制造、医疗保健、电信和金融服务行业受影响最为集中,关键基础设施遭受攻击的比例显著上升。Handala造成的实际业务中断事件表明,部分攻击已超越传统数据勒索,造成真实世界影响。企业尤其是关键基础设施运营商需高度警惕并加强防御。
📋 勒索软件事件分析
本期总事件约116起。以下表格列出主要确认的已知事件。
| 被勒索企业名称(中英文) | 国家 | 行业 | 勒索组织名 |
|---|---|---|---|
| Sagent Pharmaceuticals(萨金特制药) | 美国 | 制药/医疗保健 | World Leaks |
| Jerusalem Water Supply Facilities(耶路撒冷供水设施) | 以色列 | 关键基础设施/供水 | Handala |
| Kuzco Lighting(库兹科照明) | 美国 | 照明设备制造 | Qilin |
| Orange Madagascar(Orange马达加斯加电信) | 马达加斯加 | 电信 | Qilin |
| Eeyou Communications Network(伊尤通讯网络) | 加拿大 | 电信/光纤网络 | AiLock |
| Hyundai Elevator(现代电梯) | 韩国 | 电梯与自动扶梯制造 | Everest |
| UD Trucks(UD卡车) | 日本 | 商用车辆制造 | Everest |
| Brothers Produce(兄弟农产品) | 美国 | 农产品分销/农业 | Qilin |
| Transsion Holdings(传音控股) | 中国 | 智能手机制造/电信 | AiLock |
| Salford City College(索尔福德城市学院) | 英国 | 教育 | DragonForce |
| City of Huntington(亨廷顿市) | 美国 | 地方政府/市政 | Termite |
| Pathstone(Pathstone财富管理) | 美国 | 财富管理/金融服务 | SLSH |
| Garland Williams & Associates(Garland Williams会计事务所) | 美国 | 会计/专业服务 | PLAY |
| Edgar Agents(埃德加代理) | 美国 | 金融打印/SEC备案 | Qilin |
⚙️ 活跃勒索组织分析
当日活跃组织20个。以下表格列出组织、当日事件数量及常用攻击技术(基于公开情报)。
| 勒索组织名称 | 当日发布勒索事件数量 | 该组织常用攻击技术 |
|---|---|---|
| Qilin | 25+ | RaaS模式,双重勒索;初始访问通过钓鱼邮件、RDP暴力破解、FortiGate/ScreenConnect等漏洞利用,横向移动用PsExec/Cobalt Strike,Rust加密器禁用EDR |
| PLAY / Play News | 12+ | 双重勒索,针对制造与专业服务企业;常用RDP访问、钓鱼及数据泄露 |
| LockBit | 11+ | 快速RaaS自动化部署,强调宣传;RDP+数据窃取+加密 |
| DragonForce | 11+ | 双重勒索,多向量初始访问;BYOVD驱动加载、Conti/LockBit变种技术 |
| Genesis | 8+ | 传统双重勒索,针对中小型医疗/法律/会计机构 |
| AiLock | 5+ | 源码与NDA窃取为主,针对电信/高科技企业 |
| Handala | 2+(高影响) | 基础设施瘫痪+数据泄露,结合黑客行动主义(hacktivism)与地缘政治动机 |
| Everest | 2+ | 双重勒索,针对制造企业 |
🚨 本日大事件
1. 以色列耶路撒冷供水设施遭Handala攻击 关键基础设施
耶路撒冷供水设施是以色列首都核心公用事业基础设施,负责城市居民及医院等关键机构的日常供水。Handala组织宣称入侵并窃取423GB高度敏感数据,同时导致核心系统完全瘫痪。此次攻击不仅涉及数据勒索,更造成实际供水服务中断,可能严重影响公共卫生与城市运转,凸显关键基础设施面临的地缘政治网络威胁。
2. 以色列气象站系统被Handala瘫痪 关键基础设施
3月8日,Handala进一步针对以色列气象站系统发动攻击,成功入侵主服务器并使所有气象站停止运作。该系统为航空、军事行动提供关键天气数据支持,攻击导致信息黑屏,可能干扰航班安全与国防能力。这是Handala对以色列关键基础设施的连续行动,影响远超普通企业勒索。
3. 传音控股遭AiLock攻击 高科技/电信
传音控股(Transsion Holdings)是中国领先的智能手机制造商,专注于非洲等新兴市场,全球出货量巨大。AiLock组织宣称窃取超过6TB数据,包括Git仓库、供应商专有代码和敏感NDA文件。此次攻击可能泄露知识产权并影响全球供应链,对高科技企业造成重大业务与声誉风险。
4. 亨廷顿市遭Termite攻击 地方政府
美国西弗吉尼亚州亨廷顿市(City of Huntington)是Cabell县县府,人口约4.7万,拥有马歇尔大学和美国第二繁忙内陆港。作为地方政府,其市政服务与居民数据被Termite组织公布,攻击可能导致公共服务中断与市民隐私泄露,凸显地方政府网络安全脆弱性。
5. Pathstone财富管理公司遭SLSH攻击 金融服务
Pathstone是美国领先的家族办公室与财富管理机构,管理资产超170亿美元,为高净值客户提供定制投资、税务与遗产规划服务。SLSH组织将其列入受害名单并威胁数据泄露,此次事件可能暴露高端客户敏感财务信息,对金融行业信心造成冲击。