2023年勒索软件攻击态势报告

目录 5勒索软件技战法演进分析 13 5.2勒索攻击策略演进16 附录：安全建议和处置清单24 1引言 数字化时代下，网络勒索攻击已经成为不可绕过的热点议题。作为最严重的网络安全威胁之一，勒索软件以其快速迭代和不断演进的技战法不断刷新各行各业的眼球。基于长期对全网勒索活动的监测，新华三聆风实验室对2023年典型勒索攻击活动进行分析，分别从受害者画像、攻击者画像、技战法演进、AIGC时代下的攻击与防御等维度进行了总结。本报告围绕勒索软件2023全年攻击态势展开，涵盖了主流勒索软件攻击技术和特点，探索当前勒索软件的发展趋势，旨在帮助机构组织、企业和个人对勒索软件有更深入的了解，减少勒索软件带来的威胁和损失。 总的来说，2023年全球勒索软件攻击活动存在如下特点： 1、2023年全球勒索攻击活动呈上升趋势，同比2022年上涨77%；2、从受害行业来看，2023年TOP5受害者属于专业与法律服务、信息技术、批发零售、制造、房产建筑相关行业，共占比62.29%；3、从受害地域来看，北美、欧洲、亚洲位于前三，其中，美国以46%的占比居于全球首位；4、从活跃家族来看，2023年共监测62个活跃勒索软件，其中有26个为新兴家族。活跃TOP3家族分别是LockBit、BlackCat和CL0P。此外，新兴家族中Akira和MalasLocker则直接跻身上榜TOP10；5、从攻击数量来看，各月攻击数量存在一定的波动，具体的，2023年上半年呈上升趋势，下半年基本稳定。值得注意的是LockBit勒索攻击活动在全年中有8个月居于榜首；6、从入侵手段来看，漏洞利用、钓鱼邮件、弱口令占入侵攻击的60%以上。2023年有44个漏洞被勒索组织频繁利用，类型多为远程代码执行和提权漏洞，其中，零日漏洞(0day)造成的影响最为严重；7、从加密算法来看，勒索软件更偏向于将对称和非对称进行组合，基于AES和RSA的算法仍是当前活跃勒索软件加密的主流算法；8、从索要赎金来看，不同勒索软件索要赎金差异明显，其中最高额为8000万美元，创造了历年来最高赎金规模，由LockBit勒索软件针对美国科技服务巨头CDW发起。 22023勒索攻击大事件 物流 1月，英国皇家邮政成为了LockBit勒索软件2023年的第一个大型企业受害者。此次勒索攻击导致皇家邮政的国际邮递业务被迫中断，无法向海外客户发送邮寄包裹。LockBit向皇家邮政索要高达8000万美元的赎金来解锁数据。 政府机构 2月，美国奥克兰市政府遭受了PLAY勒索软件的攻击，直接导致市政信息技术系统被紧急下线，市民无法进行在线支付、接听电话，甚至无法支付停车罚单。因市政府未支付赎金，PLAY勒索软件组织泄露了10GB左右的私密数据，包括财务和政府文件、身份证件和员工个人信息。 医疗保健 3月，西班牙巴塞罗那一家医院遭到了RansomHouse勒索软件的攻击，导致该医疗机构计算机系统瘫痪，业务严重受损，医生无法访问病人信息，甚至被迫取消在接下来几周进行的150起手术和3000个预约检查。 信息技术 4月，新兴勒索软件Money Message发起对台湾PC零部件制造商微星科技（MSI）的网络勒索攻击。Money Message从该公司的系统中窃取了包括源代码在内的1.5TB数据，并要求其支付400万美元的赎金以恢复数据。 政府机构 5月，BlackByte勒索组织发起了对美国奥古斯塔市政府的勒索攻击，导致该市的IT系统中断，同时还窃取大量了个人数据，包括工资信息、联系方式、个人身份信息、居住地址、合同等。BlackByte组织要求该政府支付40万美元的赎金，并提出以30万美元的价格将数据转售给感兴趣的第三方。 主动安全 公共事业 6月，CL0P成功利用MOVEit平台的零日漏洞入侵了上百家企业，其中受影响最大的是美国政府承包商Maximus公司，CL0P团伙称他们窃取了该公司169GB的数据，约计800万到1100万条个人隐私数据。 教育机构 7月，美国夏威夷社区学院遭受了新兴勒索组织NoEscape发起的网络勒索攻击。此次攻击事件中，大约有28000人的个人数据被盗取。NoEscape要求该校支付100万美元赎金，否则将会发布65GB的被盗数据。 医疗保健 8月，Rhysida勒索组织对医疗保健行业大肆发起攻击，Prospect Medical Holdings（PMH）就是其中的受害者之一，这次网络攻击迫使该医院关闭在线网站。Rhysida称他们共窃取了1TB的文件和1.3TB的数据库，包含SSN、驾驶证、患者医疗信息等数据。 休闲娱乐 9月，美高梅度假村公司和凯撒娱乐相继遭受了BlackCat勒索组织的网络攻击。BlackCat窃取了大量的数据，包含客户的SSN、护照、驾驶证号码等诸多私人信息，由于拒绝支付赎金，美高梅称此次攻击造成了1亿美元的负面影响，而凯撒娱乐为防止客户数据被泄露，被迫支付了1500万美元的赎金。 航空运输 10月，BianLian勒索团伙将加拿大的一家航空公司列入到他们的受害者名单中，声称窃取了210GB的数据。为了证明入侵成功，BianLian在地下网站上分享了被窃数据的截图，被窃数据包括该组织2008年到2023年的技术与运营数据、供应商数据，以及公司数据库档案和员工的个人信息等。 金融服务 11月，MedusaLocker勒索软件攻击了丰田汽车公司旗下金融服务公司（TFS）。此次攻击中，MedusaLocker窃取了数百GB的文件，并公布了一些案例数据，包括财务文档、财务绩效报告、护照扫描件、用户ID密码等，该组织要求TFS向其支付800万美元的赎金换取数据不被泄露。 制造业 12月，日本汽车制造商日产在澳大利亚的分公司网络系统遭受Akira勒索组织的破坏。Akira称从该企业的系统中窃取了大约100GB的数据，包括员工个人信息、客户信息、合作伙伴、保密协议等。 3勒索软件受害者分析 3.1勒索软件受害者行业画像 根据攻击行业分布统计图，勒索软件的目标行业带有明显的趋向性，以制造、批发、房产为主的实体行业仍是2023年的勒索重灾区。此外，数据价值和敏感度高的行业也是勒索攻击的重点倾向目标，如法律、信息技术、教育行业等。 3.2勒索软件受害者地域画像 全球攻击地图显示，北美洲（50%），欧洲（30%），亚洲（9%）三个地区受到的攻击最严重。其中美国（46%）居于全球首位，加拿大（6%）排在第二。根据分布图和各地域发展情况可以看出，勒索组织更偏向经济资源发达、高度数字化和信息化的国家和地区，这与当地数字信息化程度以及勒索组织趋利的目标一致。 4勒索软件攻击者分析 4.1年度勒索家族盘点：最热与最新 据统计，2023年共有62个勒索软件家族发起了程度不同的勒索攻击，与2022年有65个活跃家族数量接近。其中，TOP3活跃家族分别是LockBit(21.4%)、BlackCat(9.44%)和CL0P(8.44%)。2023年勒索软件家族更替明显，新增26个新兴勒索家族，图4-2展示了2023年新兴勒索家族TOP10。 在所有家族中，新兴勒索家族的活跃度占总体19.28%。其中，以Akira、MalasLocker和NoEscape为代表的新兴家族最为活跃，新老家族更替频繁的一个重要原因是来自于执法部门的强力打压和封禁。 4.2年度勒索攻击趋势：五月达顶峰 根据图4-3统计，2023年各月攻击数量存在一定的波动，但并未发生大规模爆发。勒索攻击在1~5月呈上升趋势，6~12月保持稳定。在各月的攻击事件中，LockBit在全年中共8个月登上榜首。 4.3勒索入侵手段分析：漏洞利用最多 图4-4统计了2023年活跃勒索软件的常见入侵手段。其中，漏洞利用（23.58%），钓鱼邮件（21.95%）和弱口令（17.89%）三者占所有入侵手段的60%以上。另外，通过恶意网站和虚假广告、捆绑破解软件也是导致勒索中招的另一诱因。 数字化时代下信息系统复杂度不断提升，漏洞的存在不可避免。漏洞利用作为典型的入侵攻击方式之一，因其高效且相对低风险被勒索攻击者频频利用，表4-1中统计了44个勒索软件常用的漏洞。 根据表4-1，勒索软件对高危和超危等级的漏洞利用较为频繁，常用的漏洞类型主要为远程代码执行与权限提升漏洞，针对这两种漏洞类型的利用，一者让攻击者能够成功进入目标系统，二者能够获取对系统更高级别的控制权限，从而扩散攻击范围。 主动安全 从被披露的勒索安全事件中，我们统计了包括但不限于CVE-2023-28252、CVE-2023-34362、CVE-2023-0669、CVE-2023-47242和CVE-2023-47246在内的5个零日漏洞(0day)。对勒索攻击者而言，0day的价值无疑是巨大的，在厂商还未及时修复就已经成功完成一轮新的攻击，这种由0day产生的攻防对抗的时间差给勒索软件提供了可趁之机。 4.4惯用加密算法分析：传统是主流 在文件加密阶段，由于使用对称、非对称或两种加密的组合都会直接影响加密阶段的密钥生成和管理,因此，不同的勒索软件在选择加密方案也表现出差异。图4-5统计了2023活跃勒索软件使用的加密算法情况。由于对称加密速度优势明显，勒索软件更偏向于将对称和非对称进行组合，传统的基于AES和RSA算法占比超过50%，这两者仍然是当前活跃勒索软件加密的主流算法。此外，在非对称加密中基于椭圆曲线加密算法（Elliptic Curve Cryptography，ECC）和对称加密中的ChaCha20的组合也逐渐被用于勒索加密攻击中。 4.5索要赎金方式分析：行业有差异 图4-6统计了2023年各勒索软件已披露赎金索要金额，包括赎金的上限和下限金额（注：按1万美元为起始值）,分析如下： 1、索要赎金范围较大，不同勒索软件索要赎金差异明显。其中赎金范围较大的如Karakurt家族，更偏向于机会主义，不针对特定行业或部门，而赎金范围较小的家族如Lorenz，倾向于对中小型企业发起定制化的攻击。 2、索要赎金最高额为8000万美元，创造了历年来最高额赎金规模，由LockBit勒索软件针对美国科技服务巨头CDW中发起，最终因谈判失败，LockBit在其平台上泄露该公司数据。 3、由于受害组织所在行业不同，勒索软件索要赎金差异明显。各受害组织采取谈判措施或拒绝支付，勒索软件组织的实际收益远低于索要金额。 需要明确，即使受害者支付赎金，也无法保证所有被加密数据能够完整复原。Veeam在《2023年勒索软件趋势》报告统计，超过19%的受害组织支付赎金仍无法恢复数据。更重要的是，支付赎金的行为会鼓励这些被不法利益驱动的网络犯罪分子继续勒索攻击，行为更加猖獗。 5勒索软件技战法演进分析 5.1勒索攻击技术演进 为适应不断变化的网络环境，优化攻击效果，勒索软件的攻击技术在不断推陈出新。我们总结了2023年较为新型的勒索攻击技术，并对勒索软件发展趋势进行分析，具体有： 跨平台语言助力勒索软件发展 无论是出于对加密速度的提升或是对跨平台兼容性的考量，勒索软件的编程语言开始转向Golang、Rust和Nim等非传统编程语言。BlackCat作为第一个广为知晓的基于Rust编程的勒索软件，能够在Windows和Linux等操作系统下对其勒索软件进行编译，快速生成针对不同平台的勒索软件版本。此外，勒索软件Kanti使用同样支持跨平台编译的Nim编程语言。由于语言的特性，使用这些非传统语言的勒索软件，不仅会带来诸如内存安全、跨平台移植等优势，更重要的是，在一定程度上还能够规避基于源码分析的静态检测，进而加大研究人员的分析以及制定防御措施难度。 黑客工具不断创新 以经济驱动的勒索攻击产业化、商业化趋势加剧，威胁攻击者之间的合作与信息共享促进了黑客工具的不断创新。3月份，攻击者利用一种新的“Exfiltrator-22”（EX-22）黑客工具在受害者网络部署勒索软件。该工具具有强大的