雷电从不重复攻击同一个区域，但勒索软件攻击会。阿卡迈公司的新研究中表明，曾经遭受过勒索软件攻击的组织，未来3个月再次遭受攻击的几率高达六倍。

在其最新的互联网状态研究报告中，阿卡迈研究人员研究了约90个勒索组织20个月间（2021年10月到2023年5月）在披露网站上发布的信息。

研究人员发现，这些身处勒索攻击造成的成本、破坏和混乱影响的组织，仍是未来勒索攻击的首要目标，攻击可能来自同一攻击组织或不同的组织。

研究人员表示，当勒索受害组织忙于应对初次勒索攻击时，其他扫描攻击目标和监控同行攻击行动的勒索组织，可能利用这一窗口机会，对该组织进行再次攻击。”

报告中引用了某个匿名组织的攻击事件，在遭受到Clop勒索组织的首次攻击后，随后又受到另外两个勒索组织RansomHouse和Abyss的攻击，后者利用了首次侵入的混乱。2023年7月，勒索组织Clop和ALPHV/BlackCat分别声称在不同的攻击中侵入了化妆品公司雅诗兰黛。

研究员表示，在3个月高风险窗口期之后，遭受勒索的公司仍然处于脆弱状态。研究人员提到一家房地产公司的实际案例，这家公司受到攻击组织LockBit的两次勒索攻击，一次在2021年，而另一次则在今年。

研究员表示，“如果遭受勒索的公司没有及时消除网络边界的空白或者修复攻击者在第一次入侵网络时利用的漏洞，这些漏洞就有可能被再次利用。即使遭勒索的公司选择支付赎金，他们仍会成为同一勒索组织的下一次攻击目标。”

阿卡迈公司对勒索软件受害者的建议是：要意识到自己可能没有时间进行恢复，第二波攻击可以在你仍处于首次攻击恢复进程中来袭。一定要安排团队，防备潜在的二次攻击。

研究中表明，在Conti的消亡后，勒索组织LockBit迅速成为主要的勒索组织。阿卡迈所分析的20个月期间的勒索受害者中，LockBit攻击占39%。

LockBit的勒索企业数量比最接近的勒索组织ALPHV/BlackCat和Clop高出四倍多。

在关于这篇报告的博客中，阿卡迈的首席信息安全顾问Steve Winterfeld表示，随着攻击者更加激进的敲诈手段和漏洞利用，勒索软件环境正在发生改变。最终带来更加成功的勒索效果。

他说：“勒索组织愿意为获得经济利益而付出机会成本，无论是雇佣其他黑客去寻找软件中的漏洞，或是通过访问初始代理获得对攻击目标的访问权限。”

同时，攻击者也在转变策略，从加密受害者的系统转向把窃取的数据作为人质。这种趋势的一个例子是在Moveit的黑客事件中，勒索组织Clop威胁受勒索公司将泄漏所窃取的数据，对数以百计的公司进行敲诈，而不是加密被入侵公司的系统。

“犯罪者甚至告诉遭受勒索企业的客户，其数据已经被盗取，并鼓励客户要求被攻击企业向勒索组织支付赎金。这一手段给遭受勒索企业支付赎金增加了压力。

来源：安全内参