2023年阻挡了100亿次攻击，Qakbot卷土重来，以及 Google API的滥用

前言

欢迎来到我们报告的新版本。随著2023年落幕，让我们简要回顾一下过去一年所塑造的威胁环境。2023年，独特的阻挡攻击总数激增，达到前所未有的100亿次攻击，与去年相比增长了惊人的49。这一难以想像的数字，现在反映了我们数位环境的严酷现实。这些攻击的强度在最后一季度达到高峰，较上一季度上升17，每月平均超过12亿次攻击。

2023年第四季度是一个特别多事的时期，标志著一系列网路威胁的发展。我们的主题故事深入探讨了复杂的PDF威胁环境，揭示了数位文件欺诈的激增。威胁行为者利用PDF文件，织成了一张复杂的攻击网，从约会诈骗和钓鱼攻击到以AgentTesla为例的复杂密码窃取工具。

值得注意的是，这一季度标志著Qakbot的许多人的预测重现，此前该恶意软件曾被FBI拆解。尽管执法机构的努力，Qakbot于12月悄然回归，显示出与Pikabot分配的有趣重叠。此外，性勒索机器人Twizt扩大了其功能，包括对VNC端点的暴力破解。

在这个充满显著发展的季度中，资讯窃取者的领域出现了一个特别的趋势。虽然这些威胁增长稍有上升，但此期间的特点是Lumma、Rhadamanthys等窃取者创新地滥用Google OAuth API来恢复身份验证cookie，这一新方法显著增强了其恶意活动的影响。

尽管整体上硬币挖矿者呈现下降趋势，美国出现的恶意硬币挖矿活动却惊人地增长了250，这一增长主要受到XMRig的广泛散布推动。此外，桌面广告软件依然活动频繁，采用了如迅速切换DNS记录等新技术来推广广告。

我们还注意到勒索病毒攻击略有上升，LockBit和ALPHV/BlackCat等主要团体登上了头条。同时，执法和网路安全机构也做出了对应，释出了BabukTortilla和BlackCat的免费解密工具。

值得注意的是，自NetWire RAT被消灭一周年后，其根除得到了确认。然而，这一威胁很快被知名RAT所取代，同时也出现了如zgRAT、Krasue或SugarGh0st等新的威胁。

网路威胁持续主导，诈骗、钓鱼和恶意广告排名为整体最主要的威胁类型。恶意浏览器推送通知的使用有所增加，成为各种领域诈骗者的偏好工具，从成人内容网站到技术支持诈骗和金融欺诈皆有涉及。特别是虚假投资的深度假视频展现出更高的精密程度，挑战我们区分真实与虚构内容的能力。每个月大约有20名用户中就有一名受到的约会和浪漫欺诈，显示出全球触及范围，从西方国家扩展到阿拉伯国家和亚洲。随著情人节的临近，这些诈骗活动预计会有增长。此外，年末假日也出现了冒充知名品牌的假网店，让无辜受害者进入钓鱼陷阱。

此外，移动设备的威胁格局也持续发展，出现了Chameleon银行木马的回归，以及SpyLoans在PlayStore上的隐秘扩散，这对受害者构成了严重威胁，甚至涉及到实际暴力的敲诈。

最终，当我们进入2024年时，预计将会迎来一个动态多变的年度。我们的团队已经进入了2024年的预测领域，预见到了网路威胁的演变趋势。虽然我们希望我们的预测不会变为现实，数位空间比2023年底更安全，但您的安全仍然是我们的首要任务。感谢您对Avast的信任。祝您阅读愉快！

Jakub Koustek，恶意软件研究总监

方法论

本报告分为两个主要部分：与桌面相关的威胁，描述了我们对针对Windows、Linux和Mac操作系统的攻击情报，特别强调与网页相关的威胁；以及与移动设备相关的威胁，描述了针对Android和iOS操作系统的攻击。

在本报告中，“风险比率”一词用来表示特定威胁的严重程度。该数据是按月份平均计算的：“被攻击用户数 / 在特定国家的活跃用户数”。除非另有说明，否则计算的风险仅适用于每月活跃用户数超过10000的国家。

被阻挡的攻击是指在指定时间内，由受保护用户和被阻挡威胁标识的唯一组合。

专题故事：PDF威胁环境

近来，网路安全形势出现了高级恶意软件攻击的激增，网路罪犯利用多种途径来侵入系统和网路。其中，尤其令人担忧的趋势是通过PDF文件扩展恶意软件威胁，这是一种广泛用于文件分享和协作的格式。

PDF文件长期以来一直是共享文档的首选媒介，因其平台中立性和在不同设备及操作系统间的一致格式。然而，这种无处不在使它们成为网路罪犯用来隐密传递恶意软件的绝佳途径。此外，PDF附件常常在垃圾邮件网关中预设被允许，进一步增加了其脆弱性。更重要的是，PDF文件能在桌面和移动设备上无缝打开，使其成为恶意负载的最终交付方式，进一步增强了其作为恶意加载程序传送方法的吸引力例如在PDF文件中嵌入恶意Word文件。此外，攻击者开始使用虚假URL，通常通过sLinks链接缩短服务来伪装，以避开防病毒扫描并提高成功部署的可能性。

社交工程一贯是网路威胁工作中的一部分，我们可以分析出用来欺骗用户的典型行为。例如：一条自称来自知名公司的消息，例如亚马逊或某个金融机构，清楚地告诉用户：

您的帐户已被封锁。您被给予解封的手段。如果您在24小时内不操作，您的帐户将永远无法访问。

大多数诈骗中，紧迫感是关键，鼓励受害者快速行动，而不去多想情况。有些诈骗更为隐蔽。下面的例子以Netflix名义行骗，描述了您的付款出现问题。这则简单消息利用Netflix的品牌，表明您的付款遇到了问题，并要求您更新详细信息：

钓鱼PDF Netflix

一旦您点击链接，就会带您进入输入财务信息的步骤，这些信息随后将被恶意行为者窃取。

另一个常见的诈骗是老式的奖票诈骗。在这个诈骗中，您被告知获得了某种奖票奖品而您根本没有参加，真是幸运！，并被要求发送一些个人信息以获取这笔钱。当然，如果您联系诈骗者，他们会要求您预先支付一些费用来支付转账费用。

许多类型的攻击都适合使用PDF格式，我们甚至看到过约会诈骗，因为这也没什么不妥！但是基于PDF的攻击也可以包括恶意软件，最终的有效负载会感染您的设备，如下例所示：

恶意PDF 最终有效负载：AgentTesla

在最近的恶意软件攻击中，我们观察到一系列威胁和诈骗，从像奖票和约会诈骗这样简单的案例，到包含欺骗性资讯和钓鱼页面连结的钓鱼PDF，再到交付更复杂威胁的复杂行动，像JavaScript或嵌入对象属性，签发如AgentTesla、DarkGate、GuLoader、IcedID、RemcosRat、Ursnif、Qakbot或各种APT组织的变体。我们已经阻挡了超过1000万次基于PDF的攻击，保护了400多万名全球用户：

过去6个月中阻挡的PDF威胁

基于PDF的网路威胁的蔓延突显了网路罪犯战术的显著变化。这些攻击涵盖了从简单诈骗到复杂的恶意软件交付，证明了攻击者在利用受信任数位媒介方面的适应能力和狡诈。由于PDF文件的普遍性和内在信任，它们已成为各种恶意活动的首要载体。这一趋势不仅反映了网路罪犯的创新方法，也突显了日常数位互动中固有的脆弱性。

提供的示例揭示了一个共同的主题：对人类心理的利用。紧迫感、奖励的承诺和失去的恐惧被利用来操纵受害者。此外，从简单的欺骗转向像AgentTesla、DarkGate等更复杂的恶性载荷，表明这些威胁的严重性正在上升。

我们的分析显示，尽管这些攻击多样化，它们都依赖于社交工程和对受信通道的利用。随著我们成功阻止了大量这类攻击，显然，健全的网路安全措施可以非常有效。然而，这场战斗不是单纯的技术层面。教育和意识扮演著重要角色。用户必须保持警惕，质疑不请自来的沟通的真实性，并意识到钓鱼和诈骗的征兆。

Luis Corrons，安全传教士Branislav Kramr，恶意软件分析师

与桌面相关的威胁

高级持续性威胁APT

高级持续性威胁APT是一种由高技能和决心十足的黑客进行的网络攻击，他们拥有渗透目标网络并保持长期隐形存在的资源与专业知识。

2023年第四季度，被一系列复杂的网络攻击所标志，凸显了全球高级持续性威胁APT团体持久且演变的威胁。这些威胁行为者展现了针对政府和军事机构的能力和意图，采用了一系列技术，从鱼叉鱼钓到复杂的恶意软件。

针对菲律宾政府机构的间谍软件活动

2023年第四季度，菲律宾的政府机构成为一个间谍软件运动的焦点。这一操作利用了一条感染链，结合了各种技术，包括间谍软件、PowerShell和NET窃取工具，以及作为感染载体的鱼叉式钓鱼。这一运动的复杂性相当显著，各个阶段采用不同的方法渗透、监控和提取目标系统中的敏感信息。这展示了高水平的复杂性和资源投资。

MustangPanda的多元地域目标

MustangPanda是一个知名的APT团体，扩展其活动至越南、澳大利亚、菲律宾、缅甸和台湾等数个国家。他们的行动标志著使用知名的Korplug恶意软件，映证了他们对已验证和有效工具的偏好。此外，该团体被观察到利用用Nim编程语言编写的恶意软件。他们的主要技术是频繁使用sideloading，一种利用合法软件进程加载恶意软件的方法。

对巴基斯坦军方的攻击

巴基斯坦的军方成为多个APT团体的目标，包括Donot和Bitter等团体，这凸显了军事机构在网络空间中作为高价值目标的重要性。攻击者利用鱼叉式钓鱼作为感染载体，LNK文件，以及定制后门程式的组合进行攻击。这些攻击强调了对军事网络提升网络安全措施的必要性，因为他们对各种威胁行为者具有吸引力。

黎巴嫩政府机构遭到袭击

黎巴嫩政府同样面临网络威胁，其中一名威胁行为者使用的技术范围与其他攻击类似，包括鱼叉式钓鱼和LNK文件。在这些攻击中的感染链颇为复杂，始于LNK文件，并经过各个阶段，包括VBScript、BAT文件、AutoIT脚本，最终部署定制后门。这一分层的渗透方法反映了一种战略方法，旨在在多个要点上逃避检测，表明了攻击者愿意付出多大的努力以维持在目标网络中的持续性和控制。

Gamaredon在乌克兰的激烈网络攻击

乌克兰已成为Gamaredon团体的长期且积极的网络攻击的目标，其活动标志著一系列入侵技术。他们的攻击包括鱼叉式钓鱼以获得初步访问，然后部署混淆的VBScripts和PowerShell脚本，使检测工作变得复杂化。他们还使用文档窃取工具非法收集敏感数据。有趣的是，该团体利用Telegram发布命令和控制CnCIP，这是一种旨在规避传统通讯监控的策略。此外，他们还通过感染的文档和LNK文件来传播恶意软件。在其活动中，他们还利用DNS服务直接获取IP地址，这一技术旨在降低检测，因为不需要使用域名。这一运动已造成人数众多的受害者，显示Gamaredon对乌克兰网络安全的持续威胁。

Lazarus

在这一季度，我们注意到Lazarus团体活动的增加。根据我们的遥测数据，他们持续利用ISO文件结合LNK文件作为装载器，以将有效载荷传送到系统中。

黑洞加速器app

在十月初，Microsoft观察到Lazarus利用CVE202342793，这是影响多个版本JetBrains的远程代码执行漏洞，来部署有效载荷。经过成功的入侵之后，他们使用PowerShell从合法基础设施下载两个有效载荷。

我们还识别出相同的工具集在我们的客户中被采用，主要是位于欧洲的用户。

在2023年12月，Cisco Talos报告了Lazarus的新活动。在此次活动中，他们使用了一种基于D语言的新型恶意软件，涉及两个远程访问木马RATs，其中一种使用Telegram机器人和频道作为与指挥与控制服务器交流的手段。

这一运动针对全球企业，重点攻击那些公开托管和暴露易受攻击的基础设施的nday漏洞，例如CVE202144228Log4j。首要攻击的行业包括制造业、农业和实体安全公司。

Luigino Camastra，恶意软件研究员Igor Morgenstern，恶意软件研究员

广告软件

如果没有用户的同意而安装的广告软件被认为是不可取的，因为它跟踪浏览行为，重定向网络流量，或收集用于恶意目的如身份盗窃的个人信息。

广告软件的流行上升可以归因于其潜在的货币化，以及潜在的垃圾程序PUP和恶意软件的传播。此外，推广合法软件的广告也使用欺诈性广告软件的做法，这些做法接近于诈骗活动。我们将这些技术定义为恼人的行为，因此保护我们的用户免于此类行为。在整体上，通过广告软件散播恶意软件并不是感染受害者设备的主要方法，然而在2023年第四季度，我们的注意力已经转向检测广告软件，以密切监测这一潜在威胁。

广告软件行为者展现出高度的灵活性，不断调整其技术以逃避防病毒检测。因此，保持动态和不断适应这些行为者所采用的策略变得至关重要。以下图表显示了2023年第三季度和第四季度的广告软件阻挡情况。这些阻挡包括各种我们主动阻挡和有效应对的技术，代表著对抗不断演变的广告软件威胁的持续“猫抓老鼠”游戏。

2023年Q3和Q4的全球广告软件风险比率

2023年第四季度的全球广告软件风险比率与前一季度相似。然而，桌面广告软件的普遍性仍然显著。受影响最严重的地区包括南美洲、非洲、东南亚和东南欧，以下地图显示了这一点：

2023年第四季度全球广告软件风险比率的地图

广告软件份额

广告服务器的DNS记录快速切换是一种更为复杂的广告软件技术，特征是TTL非常短，因此无法精确瞄准特定的广告软件变体。在2023年第四季度，最常见的导向广告服务器的DNS记录为：

agriculturalpraise[]comformationwallet[]complundertentative[]comsupportedbushesimpenetrable[]comnutsmargaret[]comfacilitypestilent[]comsuchbasementdarn[]comusetalentedpunk[]com

因此，有相当大比例，即54的广告软件变体被归类为未知。剩余份额在其他广告软件变体中分配如下：

SocialBar (38)DealPly (2)Neoreklami (1)

Martin Chlumeck，恶意软件研究员

机器人

机器人是主要旨在确保长期访问设备的威胁，旨在利用其资源，无论是进行远程控制、发送垃圾邮件还是发起拒绝服务DoS攻击。

相较于之前的几个季度，这一季度的变化频繁，显示出过山车般的景象。在2023年8月被FBI拆解后，Qakbot的旧基础设施上的灰尘尚未平息，就在12月见到了它的重新出现。与上一季度相比，Qakbot针对我们用户的攻击数量在2023年第四季度增加了两倍。尽管这似乎是一个显著的增长，但仍然比其拆解前的活动小得多。其二进制文件也经过了重组，采用了64位架构并用AES取代XOR进行字符串加密。有趣的是，另一种新类型的Pikabot在分布的TTP方面表现出与Qakbot的重叠执行线程劫持和第二阶段检索，而且它也在网络中获得了更多的关注，受影响的用户数量是上一季度的两倍。

Phorpiex的继承者，称为Twizt，这一季度拓展了其有效载荷。除了垃圾邮件和性勒索的载荷之外，我们还看到了一些先前未见过的载荷，具有对VNC远程桌面协议端点的凭证暴力破解代码，这些端点位于本地网络或随机生成的IP地址中，供潜在的公开访问端点使用。

截至2023年底，机器人的整体风险比率有所上升，部分是由于Qakbot在12月的回归。至于其他值得注意的类型变化，我们看到Amadey感染下降了48，但Emotet和Twizt感染则分别上升了14和27。

2023年第四季度Avast用户基地的全球机器人风险比率

最后提到的是NoName056(16)及其DDosia计划，这一季度发生了激烈的变化。为了阻止恶意软件研究人员的追踪，该团体已对其配置分发协议进行了重新调整，包括客户端身份验证。然而，这一首次实施不够稳定且充斥著各种软件bug，使得这一计划短期内的有效性大幅降低，直到封锁问题得到解决为止。部署后不久，身份验证协议被简化，随之而来的加密机制也受到报告问题的影响，导致该计划参与者的奖励下降。

DDosia在他们的Telegram频道上新受害者公告的移动平均数

至于他们的一般运作，并没有太多变化。在整个季度期间，对各种欧洲和乌克兰银行的攻击尝试持续进行。虽然第一波攻击取得了一些成功，但随后的攻击则很少成功，尽管该团体在其Telegram频道声称如此。目标选择仍然跟随著惯常的操作模式，即新配置通常是由针对俄罗斯侵略乌克兰的各种政客言论刺激而来。不幸的是，DDosia计划参与者人数的趋势仍然保持上升，这一季度的参与者超过16000人。受影响最严重的顶级域名后缀TLD为cz、de和fr，每个域名的攻击率都超过10。

DDosia计划的参与者数量

DDosia计划针对的TLD的比例

Adolf Steda，恶意软件研究员Martin Chlumeck，恶意软件研究员

硬币挖矿者

硬币挖矿程序使用设备的硬体资源来验证加密货币交易并获取加密货币作为报酬。然而，在恶意软件的世界中，硬币挖矿者是在受害者的设备上悄悄劫持其计算资源，以便为攻击者生成加密货币。无论硬币挖矿者是合法的还是恶意的，遵循我们的指导方针十分重要。

与前一季度相比，我们观察到2023年第四季度硬币挖矿者的盛行度再次下降，风险比率下降了14。然而，即使这一数字显著下降，但这并不意味着硬币挖矿者的威胁性减小。不幸的是，我们同样观察到市场份额产生了相当大的变化，网站挖矿者的下降使得XMRig和其他可执行的硬币挖矿者的激增，这些通常被认为是更危险形式的挖矿方式。

从地理上看，我们在2023年第四季度观察到攻击集中在特定国家，降低了与风险比率相关的全球扩散。

2023年第四季度全球硬币挖矿者风险比率地图

首先，我们在美国和土耳其的风险比率分别增加近250和200。同时在匈牙利、波兰、印度和埃及，风险比率分别增长了85、52、50和40。另一方面，法国和比利时的用户对硬币挖矿者的感染风险减少，风险比率分别下降了80和78。

在下面的图表中，我们可以看到美国的硬币挖矿风险比率激增。

2023年第四季度美国用户基地的每日燃币者风险比率

如前所述，这一季度转向了更传统的可执行文件硬币挖矿而不是网络挖掘，这使得XMRig拥有显著的64恶意软件市场份额，其增长幅度高达169。网页挖掘者的恶意软件市场份额下降了68，仅持有19的市场份额，创下了长期的最低点。

总的来说，我们称之为相对于网络挖掘者更危险的威胁，因为XMRig和其他可执行变体通常在整个系统的后台运行，而不仅仅是在被访问的网页上。此外，硬币挖矿者也往往和其他恶意软件一起打包发布，因此在这些情况下，感染范围可能会更大。

在2023年第四季度最常见的硬币挖矿者及其恶意市场份额为：

XMRig (6369)网页挖矿者 (1920)CoinBitMiner (214)SilentCryptoMiner (204)FakeKMSminer (147)NeoScrypt (120)CoinHelper (086)

Jan Rubn，恶意软件研究员

资讯窃取者

资讯窃取者专门窃取受害者设备中任何有价值的资料。通常，它们专注于存储的凭证、加密货币、浏览器会话/ cookie、浏览器密码和私人文件。

2023年第四季度出现了一种新而有趣的窃取能力，资讯窃取者迅速适应了利用Google OAuth端点恢复身份验证cookie。Lumma，这是一个快速增长的恶意软件即服务MaaS窃取者，据说是第一个广泛宣传和采用这一技术的。

Lumma资讯窃取者的变更日志来源：BleepingComputer

许多大型资讯窃取者团体，包括MaaS参与者，已经跳上了这一新威胁的快车。这其中包括但不限于Rhadamanthys、Stealc、Meduza和MetaStealer等团体。

该技术滥用Google OAuth中的“MultiLogin”API端点。这一端点用于在Google服务之间同步帐户。当恶意软件从感染设备上的浏览器文件中解密会话令牌和Gaia ID后，就可以对“MultiLogin”API端点发送请求，恢复身份验证cookie。需要注意的是，当“令牌和ID”配对被窃取而非直接使用时，恶意软件作者可能在后端上用此信息，而非在受害者的系统中直接使用，试图避开AV和EDR的监控。

目前，缓解措施相当有限。根据CloudSEK研究，身份验证cookie即使在仅重置用户密码的情况下也依然存在。事实上，受影响的用户需要首先登出Google帐户，以撤销同步OAuth cookie或从所有活动会话登出/关闭：http//gco/mydevices，更改密码并重新登录。

不幸的是，这些都是相对被动的步骤，因为用户需要知道自己受到影响。这一问题进一步突出在于谷歌目前并不打算重新设计“MultiLogin”端点，或通过主动手段缓解API滥用问题。

基于DNS的威胁

域名系统DNS是一种去中心化命名系统，将用户友好的域名转换为数字IP地址，以便网络设备相互识别。然而，这一系统现在逐渐成为执行攻击的流行手段。通常，威胁行为者滥用DNS的原因有：

恶意软件可以接收命令和指令，实现双向通信威胁行为者可以向受感染设备部署额外的有效载荷资讯窃取者可以从受感染设备窃取敏感数据通信更为模糊，使其更难以正确追踪通信通常是预设启用的，因为该流量运行在常用端口53由于可能缺乏监视和扫描，流量可能会绕过传统的AV和网关

攻击者可以使用多种技术来实现这一点，例如执行DNS隧道、DNS缓存中毒、DNS快速流动或使用流氓/恶意DNS服务器等。

我们已经看到威胁行为者开始适应基于DNS的技术，这些行为者包括臭名昭著的恶意软件变种。这包括资讯窃取者如ViperSoftX或DarkGate也称为Meh，以实现更隐蔽的有效载荷交付，以及多模块后门DirtyMoe(以实现模糊通信)，或Crackonosh(针对其更新例行程序)。

如需了解更多关于基于DNS的威胁及我们如何保护用户的资讯，请阅读我们专门的Deepak文章。

统计数据

在2023年第四季度，相比前一季度，我们观察到资讯窃取者活动增加了6。这一增长主要源于Lumma窃取者和Stealc的兴起，以及各种在线JavaScript刮取工具活动的增加。

2023年第四季度Avast用户基地针对资讯窃取者的每日风险比率

目前，受到资讯窃取者感染的最高风险国家为：

土耳其 (301)，Q隔季增长46巴基斯坦 (232)，Q隔季下降6埃及 (198)，Q隔季增长3

值得庆幸的是，我们观察到美国资讯窃取者活动显著减少，下降了12。

2023年第四季度全球资讯窃取者风险比率的地图

毫不意外，AgentTesla仍然在资讯窃取者中占据主导地位，捕获了全球26的市场份额。然而，与前一季度相比，这一恶意软件的市场份额下降了11。Formbook市场份额也下降了10，目前的份额为10，不幸的是，各种JavaScript刮取工具/exfilware本季度则活跃得多，市场份额达到608。

根据我们的数据，Raccoon窃取者在过去几个月表现不佳，市场份额下降21，目前总市场份额为154。

2023年第四季度最常见的资讯窃取者及其恶意市场份额为：

AgentTesla (26)FormBook (10)Fareit (6)RedLine (4)Lokibot (3)Lumma (3)Stealc (2)OutSteel (2)ViperSoftX (2)Raccoon (2)

Jan Rubn，恶意软件研究员

勒索病毒

勒索病毒是任何类型的敲诈恶意软件。最常见的子类型是加密文档、照片、视频、数据库和其他文件的勒索病毒。这些文件需解密才能使用。因此，攻击者要求支付“赎金”，这就是勒索病毒一词的由来。

骇客、数据泄露、被盗数据。几乎每天都能読到来自多个勒索病毒帮派的新数据泄露活动或数据敲诈活动。LockBit数据泄露网站在15天内显示了65家新攻击公司的案例从2023年10月23日到11月7日。这相当于每天超过4家公司遭到攻击！

LockBit在15天内攻击的公司列表2023年10月23日至11月7日

在撰写本文时，该网站列出了217家公司，这使LockBit成为全球最活跃的勒索病毒帮派。

然而，执法机构并不会休息。在一次联合行动中，荷兰警方和Cisco Talos收回了Babuk勒索病毒的解密工具，该勒索病毒用于Tortilla恶意活动。Avast已将已回收的私人密钥添加到其Babuk解密器中，该解密器目前可供下载。

此外，几个勒索病毒操作在前一季度被破坏，例如BlackCat / ALPHV，该团体是全球第二活跃的帮派。

2023年12月7日，出现了与BlackCat泄漏网站关闭有关的信息。虽然BlackCat的操作人员看似在修复该网站，但一天后有迹象表明FBI与此次中断有关：

有关FBI对BlackCat团体行动的推文

十天后，司法部正式确认勒索病毒帮派操作被破坏，网站已被查封。泄露网站现在显示的是由FBI完成的成功执法行动的信息：

被查封的BlackCat / ALPHV勒索病毒网站

好员工是一个稀缺资源；这也适用于黑暗的一面雇主。因此，在BlackCat开始出现传言之后，LockBit操作员开始招募BlackCat团体的成员。

此次破坏行动并未阻止BlackCat的活动。然而，在2024年，该团体依然在攻击新的组织。

统计数据

以下统计数据显示我们用户中最常见的勒索病毒变体。比例显示了各种勒索病毒变体的市场份额：

STOP (17)WannaCry (16)Enigma (9)TargetCompany (4)Cryptonite (2)LockBit (1)

本季度，Enigma的增幅最大，从1上升至超过9。完整的世界地图及风险比率如下