2023勒索软件趋势分析报告

2023 RANSOMWARE TRENDS ANALYSISREPORT 千里目 - 深盾终端实验室 目录 概述01 年度勒索攻击态势02 重点行业勒索威胁分析06 制造业IT行业医疗卫生行业060707 隐秘的角落：勒索背后的灰色产业链09 日渐顽固的勒索犯罪生态系统近六年暗网公布的受害者数量近六年暗网公布的受害者行业分布091011 2023，这些勒索家族最活跃12 BeijingCrypt：“薄利多销”的勒索团队TargetCompany：MSSQL数据库攻击的“爱好者”Tellyouthepass：擅于利用多种高危漏洞进行入侵的"低级别"勒索团伙Trigona：擅于利用商业远控软件的新团伙Medusa：RaaS的商业模式，偏爱大公司Makop：拥有GUI界面的Phobos分支，可以选择加密目录131314151617 勒索赎金金额分析18 勒索攻击目标向中高端市场转移18 勒索赎金TOP榜19 2023年勒索软件攻击重要事件梳理20 2023年重要政策和举措22 2023年勒索病毒之变23 更艰难的防御更低的攻击门槛更广的攻击目标更专业化的攻击手段更注重营销推广2324242526 未来趋势：新技术应用中的攻与防27 攻击趋势基于AI的勒索软件攻击针对云基础设施的攻击针对工业控制系统的勒索软件攻击安全产品趋势基于AI的防御建设智能化安全解决方案应对威胁27272828292929 针对勒索病毒，如何构筑防御技术和应对策略？30 事前防御资产管理风险检查合理备份风险兜底安全意识事后排查深信服勒索防护全周期解决方案方案介绍方案配置30303131323233343435 总结36 概述 勒索病毒攻击数量的激增已经成为全球网络安全的一大难题，严重地影响了互联网的发展和用户对网络环境的信任。勒索病毒不仅对个人用户的数据安全构成威胁，还会对企业和政府机构的运营造成严重影响。根据美国网络安全公司 Cybereason 的研究，绝大多数组织因勒索软件攻击而经历了重大的业务影响，包括收入损失（66%）、组织品牌受损（53%）、计划外裁员（29%），甚至完全关闭业务（25%）。 尽管勒索病毒的威胁日益严峻，许多用户和组织在网络安全意识、防护措施的投入以及系统安全更新方面仍显不足，导致勒索病毒攻击能够轻易得逞。虽然目前已有许多安全软件和服务可供选择，但选择、部署、维护和更新这些软件仍然是一个难题。此外，攻击者不断演变的策略和技术也使得防御工作变得更加复杂。 勒索病毒猖獗，但并非不可战胜。本报告将深入剖析 2023 年勒索病毒的根源、主要攻击路径和常见策略，同时指出用户和组织在网络安全防御上的薄弱环节。报告还将提出一系列切实可行的解决方案和建议，旨在指导读者如何加固其业务网络的安全防线，有效抵御勒索病毒的侵袭。通过这些措施，我们可以帮助用户和组织构建更为坚固的网络安全环境，确保数据和资源的安全。 本报告除明确注明来源的内容以外，数据均来自深信服千里目安全技术中心深盾终端实验室，目的仅为帮助客户及时了解中国或其他地区勒索软件的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。 年度勒索攻击态势 2023，这些地区受到大量攻击 根据深信服千里目安全技术中心统计，作为全国 GDP 强省市，拥有着大量企业的广东省、上海市、北京市以及沿海的经济强省浙江省和福建省，都遭受了来自多个勒索家族的多次攻击。此外，江西省、湖北省的中部地区也遭受了不少次数的勒索攻击。 总体来看，2023 年的勒索攻击省份分布与 2022 年相比并没有太大变化，主要以沿海和经济强省市为主要目标。统计数据显示，整体攻击数量相较于 2022 年有一定幅度的提升，这与各企业计算机的广泛应用有关。 2023，这些时间段受到更多攻击 根据深信服千里目安全技术中心统计，2023 年勒索相关攻击在 5 月、10 月和 11 月达到最高峰。这一现象可以解释为，5月和 10 月分别是国内劳动节长假和国庆节长假，攻击者利用节假日期间企业运转减缓，安全漏洞暴露增加；而 11 月则可能是由于临近年底，各行各业的资金款项回收大多于第四季度进行，攻击者便选择在这一时间节点进行大规模攻击。 2023，他们成为了攻击团队的目标 根据深信服千里目安全技术中心统计显示，2023 年遭受勒索病毒攻击的行业仍然主要集中在制造业、互联网和医疗卫生行业。尤其是制造业遭受攻击次数显著增加，这可能与该行业广泛应用计算机与信息技术，以及信息安全意识不足导致的勒索攻击成功率提升有关。 与此同时，能源、服务、建筑和教育行业也逐渐受到攻击团伙的关注。 这些受攻击的企业通常拥有大量敏感数据，对服务器稳定运行要求极高。勒索病毒选择这些企业作为目标，一旦成功，便能获得更大的利益，迫使受害者进行谈判。随着勒索攻击的不断演变，各行业都需要加强网络安全意识，做好防范工作，以保护自身数据和业务安全。 纵观 2023 年，伴随着自动化、智能制造和工业 4.0 技术在制造业中的广泛应用，制造业受害者的数量大幅提升。未来，计算机以及网络设备仍将广泛地被传统制造行业应用于生产的各个过程中。因此，预计未来制造业可能成为勒索攻击者的重要目标。 重点行业勒索威胁分析 制造业 长期以来，制造业一直是勒索团伙偏爱的目标行业。随着自动化、智能制造和工业 4.0 技术的进步，越来越多的工厂设备由计算机和互联网连接控制。这使得制造业面临着严重的勒索攻击风险，一旦遭受攻击，生产线可能会严重中断，造成日常运营停滞，生产能力下降。制造商对停机时间的容忍度非常低。由于制造商必须准时交付产品，导致设施通常处于超负荷状态，所以勒索行为导致的生产时间损失是无法弥补的。 此外，相对于其他行业，制造业在网络安全方面缺乏监管和合规性要求，导致大多数制造商在网络投资方面滞后，许多组织甚至没有专门负责维护网络安全的人员。这使得制造业成为主要且容易受到攻击的目标。 因此，制造业需要加强对网络安全的重视，提升网络防御能力，以保护生产线的稳定运行和企业的利益。 相关案例 2023 年 9 月，楼宇自动化和控制设备制造巨头江森自控（Johnson Controls International）遭遇了 DarkAngels 勒索软件攻击，导致公司及其子公司运营受到严重影响。攻击者声称已窃取超过 27TB 的公司数据，并加密了公司的 VMWare ESXi 虚拟机，被窃取的数据可能包含敏感的国土安全部（DHS）数据。攻击者要求支付 5,100 万美元的赎金以换取解密工具和删除被窃取的数据。 IT行业 IT 行业的防御方式较为完善，使一般攻击方式成功率较低。然而，考虑到 IT 行业通常为客户提供网络、云计算、存储和数据库管理等服务，一旦遭受攻击，可能会导致供应链攻击，给更多受害者带来损失。虽然 Nday 或 0day 的利用成本高，但攻击者可能获得更大收益，因此漏洞利用成为最常见的攻击方式。在这种情况下，勒索团伙会利用各种漏洞，如国内OA、财务软件、ERP、企业管理平台等漏洞，以及国外 Progress Software 公司旗下的 MOVEit、GoAnywhere MFT、Accellion FTA 等产品的漏洞，实施大规模的无差别勒索攻击活动。IT 行业应高度重视漏洞管理和安全防护措施，减少漏洞利用的机会，保护客户的数据和业务免受勒索攻击威胁。 相关案例 2023 年 5 月，Clop 勒索软件团伙利用美国 IT 厂商 Progress Software 的档案传输服务 MOVEit 的 SQL 注入漏洞，窃取了超六百家企业客户的 MOVEit 资料库，影响了超过 6200 万人。 2023 年 2 月，ESXiArgs 勒索软件团伙利用 IT 厂商 VMware ESXi 服务器的一个 Nday CVE-2021-21974 在全球范围内大规模爆发，全球受影响服务器超过 3000 台。多国网络安全组织机构对此发出警告。 医疗卫生行业 医疗卫生行业正遭受日益严重的勒索软件攻击威胁，这主要归因于其持有的大量个人敏感数据、关键基础设施的依赖、物联网安全漏洞、系统脆弱性、有限的 IT 资源、对风险的低容忍度、供应链安全缺陷以及全球性健康危机的频发。尤其在“新冠”疫情期间，以健康为主题的网络钓鱼活动成为主要的攻击载体。医疗机构的工作人员经常需要处理大量的电子邮件，攻击者常通过发送伪装成合法邮件的方式，诱使员工点击恶意链接或下载附件，从而获得初始访问权限。 此外，由于医疗机构可能缺乏专业的网络安全人员，可能导致如远程桌面协议（RDP）端口不当配置等安全失误，为攻击者提供了可乘之机。2023 年的全球勒索攻击事件分析显示，利用漏洞进行攻击的比例较高，特别是针对 ProgressSoftware 的 MOVEit Transfer 的 0day 漏洞的大规模利用引起了广泛关注。这表明攻击者正不断探索新的入侵手段，以执行勒索软件攻击。 医疗卫生行业必须更加重视患者个人信息的保护，因为一旦数据泄露，不仅会对患者隐私造成严重侵害，还会使医疗机构面临敲诈勒索的风险。攻击者可能会利用泄露的数据进行勒索，这使得医疗行业成为勒索攻击的主要目标，并凸显了加强网络安全的迫切性。 欧盟网络安全局（ENISA）的统计数据进一步证实了这一点，显示在 2021 年、2022 年以及 2023 年第一季度，勒索攻击是 医疗卫生行业面临的最显著的网络安全威胁。这些数据强调了医疗行业在网络安全防御方面的脆弱性，并呼吁医疗机构提升对勒索软件攻击的防范能力。 值得注意的是，欧盟网络安全局（ENISA）统计显示，21 年、22 年和 23 年第一季度，医疗卫生行业面临的威胁中，勒索攻击是最为突出的威胁类型。这一数据进一步印证了医疗行业在网络安全方面的脆弱性，也呼吁医疗机构加强应对勒索软件攻击的能力。 相关案例 2023 年 2 月，BlackCat 勒索软件团伙成功渗透了医疗卫生行业的 Lehigh Valley Health Network 计算机系统。这次事件涉及用于放射肿瘤治疗的临床适用患者图像和其他敏感信息的系统。当受害者拒绝支付赎金后，该团伙泄露了乳腺癌患者的裸照，以及医疗问卷、护照和其他敏感患者数据。由于这次勒索软件攻击，Lehigh Valley Health Network 面临着诉讼的风险。 2023 年 6 月，BlackCat 勒索软件团伙攻击了英国最大的医疗信托机构巴茨健康国民医疗服务信托（Barts Health NHS Trust），声称窃取了 7TB 的敏感数据，包括员工身份文件和标有内部文件的文件。 隐秘的角落：勒索背后的灰色产业链 日渐顽固的勒索犯罪生态系统 在过去的一年中，勒索攻击呈现出多种新趋势和变化，给全球的个人用户和企业带来了巨大威胁。勒索病毒的传播方式和攻击手段不断演变，同时背后的灰色产业链也日益完善，构成了一个庞大而复杂的黑市经济体系。具体表现在以下几个方面： 专业化的攻击者 攻击者根据目标攻击的复杂程度和支付赎金的可能性等因素来确定攻击目标的优先级，从而提高攻击的成功率。他们使用专业化的手段和工具，不断改进攻击技术，使得勒索攻击更加隐蔽和有效。 多样化的攻击方式 勒索犯罪活动小组不断创新和改进攻击方式。他们利用漏洞、社会工程、钓鱼邮件等手段进行入侵，并采用间歇性加密、窃取敏感数据、DDoS 等方式进行勒索。这些多样化的攻击方式使得防御者更加难以防范和应对。 黑市经济的繁荣 勒索犯罪活动已经形成了一个庞大而繁荣的黑市经济体系。在这个体系中，勒索软件运营商充当供应商的角色，提供各种勒索软件、开发新的变种，并提供技术支持和更新服务。而附属机构则扮演着攻击者的角色，负责实施勒索攻击，入侵受害者系统并利用勒索软