2023年全球勒索軟件態(tài)勢研究報(bào)告

亞奧理事會(huì)官方合作伙伴2 62023全球勒索軟件攻擊態(tài)勢 82023中國勒索軟件攻擊態(tài)勢 12勒索團(tuán)伙介紹 18全年勒索軟件攻擊占比 18季度攻擊排行 191.第一季度 202.第二季度 213.第三季度 224.第四季度 23勒索團(tuán)伙介紹 241.活躍團(tuán)伙 242.新團(tuán)伙 49勒索軟件主要傳播途徑 62重大勒索軟件攻擊事件 66黑客利用向日葵遠(yuǎn)程控制軟件的漏洞部署勒索軟件 66皇家郵政（RoyalMail）遭LockBit勒索軟件攻擊 67美國法警局遭到勒索軟件攻擊 67德國軍工巨頭遭勒索攻擊，汽車業(yè)務(wù)敏感數(shù)據(jù)或泄露 68Royal勒索軟件組織攻擊達(dá)拉斯市 69LockBit攻擊印度尼西亞伊斯蘭銀行 69;LockBit團(tuán)伙攻擊臺(tái)積電，索要7000萬美元贖金 70Tellyouthepass發(fā)起多輪攻擊，國內(nèi)逾2000臺(tái)設(shè)備中招 70英國物流公司因Akira勒索攻擊而破產(chǎn) 71米高梅國際酒店集團(tuán)遭遇BlackCat/Alphv勒索攻擊導(dǎo)致?lián)p失近1億美元 72DarkAngels定向勒索攻擊跨國公司江森自控，索要5100萬美元 73斯洛文尼亞最大的電力供應(yīng)商HSE遭受Rhysida勒索軟件攻擊 73國際執(zhí)法行動(dòng) 75Hive組織的基礎(chǔ)設(shè)施被關(guān)閉 75黑客被指控參與部署三種勒索軟件變體 76LockBit3.0附屬機(jī)構(gòu)被捕 77RagnarLocker被歐洲刑警組織搗毀 77Trigona遭遇烏克蘭黑客攻擊被迫關(guān)閉 78BlackCat服務(wù)器遭執(zhí)法部門影響離線 79勒索威脅新洞察 80勒索團(tuán)伙的演進(jìn)——實(shí)施BYOVD技術(shù) 80LivingofftheLand(LOTL)攻擊技術(shù)在勒索攻擊中流行 81勒索組織利用SEO投毒獲取初始訪問 832024年勒索攻擊趨勢預(yù)測 85贖金支付總金額大幅上升 85勒索組織直接威脅受害個(gè)體 86二度受害：單一目標(biāo)成為兩個(gè)團(tuán)伙的攻擊對象 87勒索團(tuán)伙的漏洞利用能力增強(qiáng) 89亞奧理事會(huì)官方合作伙伴4AI技術(shù)在勒索攻擊中的潛在威脅 90針對云服務(wù)的勒索攻擊將增加 92間歇式加密和無加密勒索模式持續(xù)發(fā)展 93出現(xiàn)更多的勒索源代碼再利用 94防御措施 97總結(jié) 98亞奧理事會(huì)官方合作伙伴5文中的任何部分未經(jīng)杭州安恒信息技術(shù)股份有限公司許67相關(guān)基礎(chǔ)設(shè)施，但勒索威脅的不斷演進(jìn)仍然讓網(wǎng)絡(luò)安全面臨著嚴(yán)82023全球勒索軟件攻擊態(tài)勢300245267300245267266241240222237443432______1972081891832154784835004584624003481月2月3月4月5月6月7月8月9月10月11月12月—2023年勒索攻擊次數(shù)—2022年同期攻擊次數(shù)9美國英國意大利德國法國加拿大美國英國意大利德國法國西班牙印度荷蘭墨西哥澳大利亞西班牙印度荷蘭墨西哥瑞士比利時(shí)泰國其他俄羅斯瑞士比利時(shí)泰國其他上述幾個(gè)受影響最嚴(yán)重的國家擁有龐大的經(jīng)濟(jì)規(guī)模和復(fù)雜的產(chǎn)業(yè)結(jié)漏洞和安全隱患，攻擊者更容易發(fā)現(xiàn)和利用網(wǎng)絡(luò)的弱點(diǎn)進(jìn)行入侵和勒索。屬于受攻擊占比較高的行業(yè)。這些行業(yè)具有重要性、數(shù)據(jù)豐富性等特點(diǎn)，2%24%4%24%4%6%9%6%9%6%10%6%服務(wù)教育公共事業(yè)7%7%IT服務(wù)制造業(yè)科技建設(shè)食品飲料金融物流醫(yī)療政府零售批發(fā)其他可以通過勒索軟件攻擊獲取這些有價(jià)值的數(shù)據(jù)，并將其用作勒索的籌碼。2023中國勒索軟件攻擊態(tài)勢20.20%18.82%1.75%0.97%3.12%16.64%4.88%6.64%11.52%6.64%8.39%7.03%MalloxTellyouthepassPhobosBeijngCryptLockBit3.0StopMakopGlobeImposterCrysisTrigona其他3%7%32%3%7%32%7%9%22%制造科技醫(yī)療教育政府能源金融其他漏洞利用/數(shù)據(jù)庫弱口令暴力MicrosoftExchange勒索團(tuán)伙介紹全年勒索軟件攻擊占比0.93%1.06%18.34%22.54%.08%1.18%1.41%1.49%7.93%2.50%10.04%3.10%3.37%2.96%3.58%3.54%5.19%0.93%1.06%18.34%22.54%.08%1.18%1.41%1.49%7.93%2.50%10.04%3.10%3.37%2.96%3.58%3.54%5.19%6.23%2.55%0.99%0.99%LockBitClopBlackCatMalasLockerBianLianRoyalPLAY8BaseBlackBastaMudusaAkiraNoescapeRhysidaCactusSnatchLosttrustRansomedvcQilinVicesociety其他季度攻擊排行逐一介紹當(dāng)前季度最活躍的六個(gè)攻擊團(tuán)伙，幫助讀者更深入地理解2023伙的活躍緊密相關(guān)。ViceSociety總部勒索團(tuán)伙介紹設(shè)施領(lǐng)域的不同規(guī)模的組織，包括金融服務(wù)、食品和農(nóng)業(yè)、教育、能源、日本電子產(chǎn)品制造商N(yùn)經(jīng)紀(jì)公司和對沖基金在內(nèi)的客全球電源產(chǎn)品制造商2015年或更早時(shí)間的文件被竊佛羅里達(dá)州東北部華零部件制造商Maximu新澤西州的Pineland非金融銀行公司富樂印度尼西亞伊斯蘭銀行加拿大蒙特利爾電力西班牙塞維利亞市議會(huì)影響了廣泛的城市服務(wù)IT基礎(chǔ)“.CI0P”等。AzureBlob存儲(chǔ)容器的憑證或密鑰。利用MOVEit安全文件傳輸平臺(tái)中澳大利亞賭博和娛樂豐田紡織歐洲有限公司印度私人國防承包商SolarIndustriesLimittitutoFederalDoPará(IFPA)愛爾蘭蒙斯特理工大Wawasee社區(qū)學(xué)校公司華盛頓州皮爾斯縣萊美國天然氣和石油生市澳大利亞商業(yè)律師事加拿大多元化軟件公聲稱在攻擊期間竊取了總計(jì)2.6T澳大利亞債券經(jīng)紀(jì)商ystems聲稱竊取了超過7TB的敏感數(shù)oITM和ATM解決方案著名商業(yè)咨詢和服務(wù)公司AdvantageGroup向美國SEC（證券交易委員會(huì))亞利桑那州圖森聯(lián)合包括PII在內(nèi)的個(gè)人信息和一局在內(nèi)的多個(gè)職能領(lǐng)域受到影俄勒岡州南部的庫里縣默弗里斯伯勒醫(yī)療診所美國柯林斯航空航天印度國家證券交易所聲稱獲取了該公司超過3TB的乳制品蛋白制造商A英國放大器和音箱制加拿大目錄出版商黃德國汽車和武器制造密算法對文件進(jìn)行加密，加密后的文件擴(kuò)展名.MEDUSA，并在目錄下創(chuàng)UniondaleUnionFree意大利自來水供應(yīng)商AltoCaloreServizispA悉尼王妃瑪麗癌癥中心阿根廷國家安全委員會(huì)德國豐田金融服務(wù)公司加拿大心理協(xié)會(huì)(CP息、患者PII、員工信息、內(nèi)部西班牙IngenieríaF西班牙雷烏斯市市政荷蘭的醫(yī)療服務(wù)提供哥倫比亞Emtelco公司EnergyStorageSyste針對TESM網(wǎng)絡(luò)攻擊的數(shù)據(jù)轉(zhuǎn)美國內(nèi)華達(dá)州神經(jīng)病Play勒索軟件組織是最活躍的團(tuán)伙之一，以針對MicrosoftExchange英國最大的汽車經(jīng)銷NetworksyalDirkzwager使許多政府部門的數(shù)據(jù)面臨風(fēng)為新型勒索，側(cè)面表現(xiàn)出勒索系統(tǒng)生態(tài)的進(jìn)一步完善和不斷發(fā)展的態(tài)勢。擴(kuò)展名.Cylance，在目錄下放置勒索信文件CYLANCE_README.txt，并在加密電子郵件時(shí)，MalasLocker不會(huì)在文件名附加額外的擴(kuò)展名，但在出問題引起的，可以被未經(jīng)身份驗(yàn)證的攻擊者遠(yuǎn)程利用。容易受到ESXi孟加拉國家航空公司(BimanAirlines)，世界知名的計(jì)算機(jī)硬件提供商微星Tor站點(diǎn)中。該談判站點(diǎn)僅包含一個(gè)的制藥、保險(xiǎn)、財(cái)富管理和制造公司發(fā)起攻擊，在不到一個(gè)月的時(shí)間里，三天內(nèi)聯(lián)系，則在泄漏站點(diǎn)公布竊取的數(shù)據(jù)。該勒索軟擴(kuò)展名為.blacksuit，放置勒索信文件README.Agrius從“ufile.io”和“easyupload.io”等合法文件托管平臺(tái)獲取Money密文件后綴為.rhysida。Rhysida有多種部署方式，包括部署CobaltStrike中，并更改受害者桌面壁紙。該團(tuán)伙僅接受BTC（比特幣）付款，并向主要攻擊教育、政府、制造、技術(shù)和托管服務(wù)提供商行業(yè)。Rhysida勒索軟件團(tuán)伙將自己描述為一個(gè)旨在幫助受害者保護(hù)其網(wǎng)絡(luò)的“網(wǎng)絡(luò)安全團(tuán)勒索軟件主要傳播途徑1、網(wǎng)絡(luò)釣魚：勒索軟件組織通過網(wǎng)絡(luò)釣魚活動(dòng)來獲得對目標(biāo)網(wǎng)絡(luò)的3、漏洞利用：利用軟件漏洞仍是勒索軟件團(tuán)伙中最受歡迎的攻擊向隨著勒索軟件背后的威脅行為者試圖擴(kuò)大其運(yùn)營范圍并提高盈利能的威脅組織或個(gè)人，然后將其出售給勒索軟件運(yùn)營商或者勒索附屬機(jī)構(gòu)，CVE-2023-27參與者能夠在沒有憑據(jù)的情況下CVE-2023-27可能允許未經(jīng)授權(quán)的攻擊者提取存儲(chǔ)在客戶的PaperCutMF和NG服務(wù)器中的用戶賬戶信息CVE-2022-47IBMAsperaFaspexYaml反序CVE-2023-28通用日志文件系統(tǒng)驅(qū)動(dòng)程序中的NokoyawaCVE-2023-06CVE-2023-34SQL注入漏洞，該漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者訪問MOCVE-2023-24WindowsSmartScreen安全功能CVE-2021-21OpenSLP中存在堆溢出問題，從CVE-2021-27VeritasBackupExecAgent文件ALPHV/BlacCVE-2021-27VeritasBackupExecAgent不當(dāng)ALPHV/BlacCVE-2021-27VeritasBackupExecAgent命令A(yù)LPHV/BlacCVE-2023-27VeeamBackup&Replication身ALPHV/BlacCVE-2023-49施、流量管理、VPN和用戶身份CVE-2023-20主要影響CiscoASA和Cisco份驗(yàn)證的遠(yuǎn)程攻擊者暴力破解憑以在被破壞的網(wǎng)絡(luò)中建立無客戶AkiraCVE-2023-47洞會(huì)導(dǎo)致SysAid本地軟件中的CVE-2023-22AtlassianConfluence身份驗(yàn)證繞重大勒索軟件攻擊事件攻擊事件分布廣泛，凸顯了勒索軟件威脅的普遍性以及持續(xù)演進(jìn)的趨勢。黑客利用向日葵遠(yuǎn)程控制軟件的漏洞部署勒索軟件符串并展示勒索提示信息要求受害用戶聯(lián)系黑客支付贖金。此次傳播皇家郵政（RoyalMail）遭LockBit勒索軟件攻擊美國法警局遭到勒索軟件攻擊和數(shù)據(jù)泄露事件。受影響的系統(tǒng)包含執(zhí)法敏感信息，法律程序相關(guān)信息，以及有關(guān)工作人員和逃犯的敏感信息。美國法警局（USMS）隸屬于美國系統(tǒng)的幾乎所有部門提供支持。美國法警局將該次攻擊行為認(rèn)定為一起德國軍工巨頭遭勒索攻擊，汽車業(yè)務(wù)敏感數(shù)據(jù)或泄露德國汽車和武器制造商萊茵金屬公司稱其遭遇了BlackBasta勒索軟件Royal勒索軟件組織攻擊達(dá)拉斯市LockBit攻擊印度尼西亞伊斯蘭銀行 LockBit團(tuán)伙攻擊臺(tái)積電，索要7000萬美元贖金KinmaxTechnology，該公司為臺(tái)積電提供網(wǎng)絡(luò)，云計(jì)算，存儲(chǔ)和數(shù)據(jù)庫Tellyouthepass發(fā)起多輪攻擊，國內(nèi)逾2000臺(tái)設(shè)備中招是已經(jīng)被廠商修補(bǔ)卻未及時(shí)安裝更新補(bǔ)丁的程序。在同樣的入侵方式后，英國物流公司因Akira勒索攻擊而破產(chǎn)Akira米高梅國際酒店集團(tuán)遭遇BlackCat/Alphv勒索攻擊導(dǎo)致?lián)p失近1億美元DarkAngels定向勒索攻擊跨國公司江森自控，索要5100萬美元盜數(shù)據(jù)。最近的報(bào)告表明，被盜數(shù)據(jù)可能包含美國國土安全部(DHS)的敏斯洛文尼亞最大的電力供應(yīng)商HSE遭受Rhysida勒索軟件攻擊斯洛文尼亞電力公司HoldingSlovenskeElektrarne(HSE)國際執(zhí)法行動(dòng)全球范圍內(nèi)眾多大型企業(yè)和組織都遭受到攻擊，勒索團(tuán)伙幾乎無所畏懼。Hive組織的基礎(chǔ)設(shè)施被關(guān)閉黑客被指控參與部署三種勒索軟件變體LockBit3.0附屬機(jī)構(gòu)被捕RagnarLocker被歐洲刑警組織搗毀Trigona遭遇烏克蘭黑客攻擊被迫關(guān)閉BlackCat服務(wù)器遭執(zhí)法部門影響離線勒索威脅新洞察勒索團(tuán)伙的演進(jìn)——實(shí)施BYOVD技術(shù)er）攻擊技術(shù)，即攻擊者在目標(biāo)系統(tǒng)上加載已知包含安全漏洞的合法驅(qū)動(dòng)LivingofftheLand(LOTL)攻擊技術(shù)在勒索攻擊中流行LivingOfftheLand(LOTL)也稱為lolbins，是一種復(fù)雜的網(wǎng)絡(luò)攻擊PowerShell.eRhysida參與者大量利用此工具進(jìn)行橫向移動(dòng)和遠(yuǎn)以進(jìn)行橫向移動(dòng)。在一個(gè)示例中，對受感染用戶帳Rhysida參與者使用此工具從域控制器中提取并轉(zhuǎn)AnyDesk一種常見軟件，可被威脅行為者惡意使用以獲得遠(yuǎn)Rhysida攻擊者使用此工具清除了大量Windows者使用此工具執(zhí)行其他基于偵察的命令并獲取憑勒索組織利用SEO投毒獲取初始訪問DEV-0569是一個(gè)初始訪問代理商，通過傳播惡意軟件破壞企業(yè)的惡意結(jié)果引誘受害者點(diǎn)擊進(jìn)入模仿WindowsWinSCP官方網(wǎng)站的虛假2024年勒索攻擊趨勢預(yù)測贖金支付總金額大幅上升2023年勒索贖金支付規(guī)模的增長與勒索團(tuán)伙提出的極高初始贖金需攻擊活動(dòng)卷土而來，例如在第一季度，45%的勒索攻擊初始金額要求超過勒索組織直接威脅受害個(gè)體年開始，國內(nèi)已經(jīng)有出現(xiàn)企業(yè)同時(shí)遭受勒索病毒攻擊及數(shù)據(jù)泄露的情況。引起更多的勒索團(tuán)伙效仿，特別是針對擁有龐大用戶群體的機(jī)構(gòu)。因此，二度受害：單一目標(biāo)成為兩個(gè)團(tuán)伙的攻擊對象