據 Trellix 稱，諸如俄羅斯持續入侵烏克蘭以及以色列與哈馬斯之間的沖突等多起地區性沖突，已導致網絡攻擊和黑客活動激增。

AI驅動的勒索軟件助長了網絡犯罪手段

該研究審視了一個日益復雜的勒索軟件生態系統，其中犯罪團伙采用嵌入AI的先進工具來傳播勒索軟件。

Trellix 的遙測數據顯示，與中國相關的威脅行為體團伙仍然是國家支持的高級持續性威脅 (APT) 活動的主要來源，僅 Mustang Panda 就產生了超過 12% 的已檢測 APT 活動。

Trellix 高級研究中心威脅情報負責人 John Fokker 表示：“過去六個月，從AI驅動的勒索軟件到AI輔助的漏洞分析，再到不斷演變的犯罪策略和地緣政治事件，這些進展重塑了網絡格局。對于網絡安全團隊而言，制定恢復力計劃從未像現在這樣重要。”“網絡犯罪分子對生成式AI的使用增加也帶來了新的挑戰。行業必須繼續監測網絡犯罪分子對AI的變革性使用，以加強防御，”Fokker 補充道。

隨著全球執法機構實施多起逮捕、起訴 LockBit 領導人以及采取行動拆除基礎設施，Trellix 觀察到勒索軟件團伙趨于多樣化，使用AI驅動的工具來發出勒索要求的情況有所增加，而且重點使用專為規避終端檢測和響應 (EDR) 解決方案而構建的工具。

最活躍的五大團伙實施的攻擊占總攻擊數的比例不到 40%，這表明主要行為體的活動集中度有所降低，這凸顯出企業和政府需要保持適應性，不斷更新策略以應對勒索軟件團伙不斷演變的手段。

RansomHub 是勒索軟件團伙中最活躍的，占 Trellix 檢測數的 13%。RansomHub 的崛起以及其他較小團伙的活動進一步說明了勒索軟件的流動性特點。LockBit 仍然活躍，是檢測數第二多的團伙(11%)，其次是 Play(7%)、Akira(4%)和 Medusa(4%)。

勒索軟件攻擊持續瞄準醫療保健和關鍵行業

Trellix 在暗網上發現了一個 EDR 規避工具的繁榮市場。這些工具旨在避開大多數企業用于識別和應對已知威脅的工具的檢測。RansomHub 采用了一種名為 EDRKillShifter 的工具，在執行攻擊之前禁用 EDR 功能。

網絡犯罪地下世界已成為惡意行為者出售新的基于AI的工具以實施犯罪的樞紐。Trellix 觀察到這些工具在黑市上有售，包括 Radar Ransomware-as-a-Service 程序，該程序隱瞞了AI的使用方式，但試圖招募論壇用戶加入其聯盟網絡。

醫療保健、教育和關鍵基礎設施仍然是主要目標，勒索軟件在全球持續蔓延，重點針對美國和其他發達經濟體。美國接收了 Trellix 所有勒索軟件檢測數的 41%，是下一個最受攻擊國家(英國)的九倍。

Trellix 高級研究中心研究了行業網絡威脅數據，分析指出，與朝鮮有關聯的 Kimsuky 團伙發起的攻擊有所增加，其活動量是其他 APT 團伙的兩倍。對行業網絡安全事件報告的研究還顯示，關鍵行業受到了有針對性的攻擊，其中政府首當其沖(13%)，其次是金融行業(7%)和制造業(5%)。