勒索軟件流行態勢報告能力中心反病毒部本報告以360數字安全集團能力中心反病毒部（CCTGA勒索軟件防范應對工作組成員）在2023年全年監測、分析與處置的勒索軟件事件為基礎，結合國內外與勒索軟件研究相關的一線數據和新聞報道進行全面研判、梳理與匯總而成。報告聚焦國內勒索軟件的發展動態，同時融入國際熱點事件與形勢的分析判斷，旨在評估2023年勒索軟件傳播與演化趨勢，并深入探討未來可能的發展方向，以協助個人、企業和政府機構更有效地制定安全規劃，降低遭受勒索攻擊的風險。360反病毒部是360數字安全集團的核心能力支持部門，由一批常年奮戰在網絡安全一線的攻防對抗專家組成。該部門負責監測、防御、處置流行病毒木馬以及研究新安全威脅。維護有360高級威脅主動防御系統、360反勒索服務等基礎安全服務，并提供橫向滲透防護、網絡入侵防護、Web服務保護、挖礦木馬防護等多項保護功能，保護廣大網民的上網安全。360反勒索服務全年共完成處理超2750例勒索軟件攻擊求助，顯示勒索軟件攻擊仍是不容忽視的威脅。2023年勒索軟件攻擊的傳播態勢平穩，但大型企業受到的攻擊有增無減，勒索軟件家族針對大型企業采取更具針對性的攻擊策略。國內流行勒索軟件家族以phobos、BeijingCrypt和TellYouThePass為主，這三大勒索軟件家族的反饋占比超過51%。勒索軟件傳播手段多樣化，遠程桌面協議（RDP）弱口令和數據庫弱口令依然是最主要的入侵途徑，同時漏洞利用攻擊的攻擊數量增多。各勒索家族的核心加密功能進一步同質化，RaaS運營模式更為普遍。2023年新增的主流勒索軟件家族均無法通過技術手段解密。分析了遭竊取數據的類型以及數據泄露的負面影響，財務類數據和個人隱私數據是最常被竊取的。雙重勒索或多重勒索模式的贖金索求逐漸成為主流，支付贖金的受害者比例有所增加，LockBit、BlackCat(ALPHV)、CL0P三大家族領頭，其中Akira、INCRansom、HuntersInternational等新晉雙重/多重勒索軟件家族更是實施了多起值得關注的大型攻擊事件。雙重/多重勒索的重點攻擊目標鎖定在制造業、通信與互聯網、金融行業。公開的被勒索企業方面，美國依舊遙遙領先，處于榜單第一，中國跌出前十。雙重/多重勒索軟件所勒索的贖金金額通常集中在10萬~100萬美元的區間內，這一區間的贖金金額占比超過7成；而竊取的數據量則大部分在10G以上，更有超2成案例竊取了500G以上的數據，而被盜數據中又以財務數據和個人隱私數據為主。廣東、江蘇、北京三省市遭勒索軟件攻擊最多。而受到攻擊的系統類型雖然依舊是桌面操作系統占比稍高，但各類服務器系統的占比也迎頭趕上。同時勒索軟件對服務器系統的入侵進一步細化，不少勒索家族都開始針對NAS類系統和Linux服務器進行有針對性的軟件開發及入侵。科研技服、貿易零售、制造業成為國內最受勒索軟件的主要目標，這三個行業，信息化程度較高，對信息系統依賴較為強烈。能源行業首次進入國內被勒索攻擊行業Top10。在攻擊IP來源方面，俄羅斯是勒索攻擊IP的第一大來源地，而德國、美國等地則緊隨其后。隨著Gmail逐漸受到勒索軟件作者的喜愛，勒索軟件聯系郵箱中的匿名郵箱占比降至76%左右。在安全技術發展方面，2023年反勒索技術又有多項技術突破，包括預警服務、勒索解密技術、攻擊識別技術等。第一章勒索軟件攻擊形勢 1一、勒索軟件概況 1(一)勒索家族分布 2(二)主流勒索軟件趨勢 3(三)加密方式分布 4二、勒索軟件傳播方式 5三、多重勒索與數據泄露 6(一)行業統計 7(二)國家與地區分布 8(三)家族統計 9(四)逐月統計 (五)贖金范圍 (六)被竊取數據范圍 (七)被竊取數據類型 (八)數據泄露的負面影響及策略剖析 四、勒索軟件家族更替 (一)每月新增傳統勒索情況 (二)每月新增雙重/多重勒索情況 16第二章勒索軟件受害者分析 18一、受害者所在地域分布 二、受攻擊系統分布 三、受害者所屬行業 20四、受害者支付贖金情況 22五、對受害者影響最大的文件類型 22六、受害者遭受攻擊后的應對方式 23七、受害者提交反勒索服務申請訴求 24第三章勒索軟件攻擊者分析 26一、黑客使用IP 26二、勒索聯系郵箱的供應商分布 26三、攻擊手段 27(一)口令破解攻擊 27(二)漏洞利用攻擊 28(三)橫向滲透攻擊 33(四)共享文件 35(五)僵尸網絡投毒 36(六)其它攻擊因素 37第四章勒索軟件發展新趨勢分析 一、勒索軟件攻防發展情況 38(一)規模化系統化攻擊頻發 38(二)AI或成為未來勒索對抗關鍵點 38(三)大型企業面臨新常態：雙重勒索與日益嚴重的數據竊密 39二、勒索軟件的防護、處置與打擊 40(一)以創新驅動反勒索技術發展——安全技術新突破 40(二)制度建設與完善 41第五章安全建議 42一、針對企業用戶的安全建議 42(一)發現遭受勒索軟件攻擊后的處理流程 42(二)企業安全規劃建議 42(三)遭受勒索軟件攻擊后的防護措施 43二、針對個人用戶的安全建議 44(一)養成良好的安全習慣 44(二)減少危險的上網操作 44(三)采取及時的補救措施 44三、不建議支付贖金 44四、勒索事件應急處置清單 45附錄1.2023年勒索軟件大事件 47一、ESXIARGS勒索軟件針對全球ESXI服務器發動大規模攻擊 47二、MEDUSA勒索軟件對中石油印尼公司發動勒索攻擊 48三、MONEYMESSAGE勒索軟件攻陷微星并勒索400萬美元贖金 49四、CL0P勒索軟件利用MOVEIT漏洞發起大量勒索攻擊 52五、TELLYOUTHEPASS攻擊各類OA、財務及WEB系統平臺 53六、香港數碼港遭勒索攻擊致400GB數據泄露 54七、米高梅度假村遭勒索攻擊導致IT系統關閉 56八、遺傳學公司23ANDME稱用戶數據在撞庫攻擊中被盜 57九、多家大型機構遭遇LOCKBIT勒索軟件攻擊 59十、德國南威斯特法倫州遭勒索攻擊致72個城市網絡癱瘓 59附錄2.360終端安全產品反勒索防護能力介紹 63一、遠控與勒索急救功能 63二、勒索預警服務 67三、弱口令防護能力 67四、數據庫保護能力 69五、WEB服務漏洞攻擊防護 71六、橫向滲透防護能力 71七、提權攻擊防護 73八、掛馬網站防護能力 73九、釣魚郵件附件防護 74附錄3.360解密大師 75附錄4.360勒索軟件搜索引擎 761第一章勒索軟件攻擊形勢2023年，隨著國內生產生活的逐步恢復正常，與之相關的各類信息安全問題也再度活躍起來。勒索軟件攻擊方面，2023年勒索軟件的整體傳播態勢較為平穩，影響較大的勒索事件仍時有發生，但類似于WannaCry一類，造成全球性影響的勒索事件沒有發生，這一點也與2022年大體上類似。在國際安全領域，新出現的勒索軟件諸如ESXiArgs、Akira、INCRansom與HuntersInternational展示了其破壞性能力。這些惡意軟件利用安全漏洞和管理不善，侵入了眾多大型企業的內部網絡，導致關鍵設備損壞和關鍵數據被盜。在這些事件中，INCRansom專門針對主要的機械制造工廠進行精準打擊；HuntersInternational則將攻擊焦點集中在醫療和藥品行業上，甚至對美國海軍的一個承包商實施了攻擊；Akira的挑釁行為尤為突出，其攻擊了德國南威斯特法倫州的一家關鍵系統供應商，造成了該州72個市政府業務的大面積中斷。至于國內情況，在2023年也面對了不穩定的安全挑戰。有多家大型能源企業，金融企業，制造業企業先后遭到勒索軟件的侵襲。雖然這幾起事件均是分支部門受到攻擊，未直接影響整個集團，但這些入侵活動帶來的業務損失和數據泄露的間接影響實屬不容小覷。而下半年開始針對中小企業服務器的攻擊，也一直沒有停歇，事件層出不窮。就總體攻擊形勢而言，2023年，國內的勒索軟件攻擊事件量相對平穩，但這并非是由于勒索軟件的攻勢放緩。當前流行的主要勒索軟件家族將更多攻擊重點轉移到了大型、超大型集團企業。勒索團伙可以通過較少的攻擊次數來獲取巨大的回報。與此同時，更明確的攻擊目標和更低的攻擊頻率也便于讓攻擊者制定更具針對性的攻擊策略，這也間接的提高了每次攻擊的成功率。同時，延續了2022年的態勢，國內自身的勒索黑產也逐步成型。根據360安全大腦統計，2023年共處理反勒索服務求助案例2750余例。反饋案例中，不僅單個企業大面積中招的事件進一步增加，受攻擊的政企單位規模與以往相比也有明顯提升。由此可見勒索攻擊所帶來的影響可謂與日俱增。另外，我們還為533家企業或個人用戶提供了勒索溯源分析服務，涉及60余個家族，193個勒索變種。本章將對2023年全年，360政企安全檢測到的勒索軟件相關事件與數據進行分析，并進行解讀。2023年全年,360反勒索服務平臺、360解密大師兩個渠道，一共接收并處理了超過2750位遭遇勒索軟件攻擊的受害者求助。與往年相比，今年360所接收到的勒索求助案例數量有一定程度的降低。但整體攻擊量與社會危害程度有增無減。2下圖給出了在2023年全年，每月通過360安全衛士反勒索服務和360解密大師渠道提交申請并最終確認感染勒索軟件的有效求助量情況。2023年整體勒索反饋量呈現相對平穩的趨勢。考慮到2023年1月包含春節假期，各類辦公設備的開機量均較其他時段較少，并且即便遭到勒索攻擊也會出現由于相關人員休假而未能及時發現等情況，因而1月的反饋量明顯少于其他月份。隨后，在2月份觀察到反饋量顯著回升，這也與春節假期的結束不無關系。在接下來的幾個月中，反饋量總體相對平穩，未出現較大幅度的波動。(一)勒索家族分布下圖給出的是根據360反勒索服務和360解密大師數據所計算出的2023年勒索軟件家族流行占比分布圖。3其中，PC端系統中phobos、BeijingCrypt和TellYouThePass這三大勒索軟件家族的受害者占比最多。TOP10家族中值得注意的是：一、phobos勒索軟件家族在過去四年始終領先，是傳播歷史最悠久的家族之一。盡管傳播方式相對單一，但其變種繁多，常見的變種會修改后綴為：eking、devos、faust等。二、在過去一年的觀察中，TellYouThePass家族通常在周末或其他非工作時段集中爆發，通常在每年的某幾個月發起數次攻擊，每次持續1-2次。其主要通過Web類漏洞對國內各種OA、財務、文檔管理、圖文視頻系統等供應鏈軟件進行有針對性的攻擊。這使得其在TOP10家族中成為罕見的專注于漏洞利用攻擊的家族。值得一提的是今年TellYouThePass家族在勒索信中明確引導受害者可以去某電商平臺尋找中間商完成最終的解密交易。三、TargetCompany（Mallox）、LockBit和CryLock（Trigona）這三個勒索軟件家族通常采用傳統的勒索模式，但對于一些有價值的目標，它們通過數據竊取來提高贖金支付的可能性。目前，這三個家族已在暗網公開發布受害者的數據。四、在今年的TOP10家族中，未發現新興的勒索軟件家族。但傳統的勒索家族傳播勢頭依然強勁，安全形勢依舊不容盲目樂觀。五、在今年未進Top10的家族中，Cerber家族的新變種利用跨平臺漏洞CVE-2023-22518在11月Linux下大量傳播。同家族變種在Window平臺下由于360主動防御系統可在默認狀態下對“利用該漏洞的攻擊”進行攔截，部署360主動防御系統的設備無受害者。從整體數據上看2023年針對Linux與Mac平臺的勒索攻擊相比2022年也有所上升。(二)主流勒索軟件趨勢我們匯總了2023年的各月的勒索軟件家族月度感染量TOP10數據，發現僅通過弱口令進行傳播的phobobs、Buran勒索軟件家族感染量相對平穩；同時通過偽裝成破解軟件/激活工具的Stop勒索軟件家族在今年感染量也趨于相對平穩；而通過其它渠道進行傳播的勒索軟件家族則受傳播渠道本身的不穩定性影響，對應的感染量波動也會相對較大，例如：l在2023年的6月、8月、9月、11月和12月，TellYouThePass勒索軟件家族利用漏洞發起了一段時間的持續攻擊，導致受害者數量相對較高。這些攻擊通常具有高度的針對性和持續性，因此這段時間被感染的受害者數量相對其他月份較高。l在2023年4月，CryLock(Trigona)勒索軟件家族推出了多重勒索模式，導致國內普通受害者感染數量顯著下降，部分月份甚至出現0感染的情況。然而，公開數據顯示，自該月開始，該家族在暗網公開發布了30個受害組織/企業的數據，并將受害者數據進行拍賣。目前，這些數據的起拍價在5萬至50萬美元之間。4(三)加密方式分布我們對在2023年仍在傳播且具有一定代表性的勒索軟件家族進行了深入分析。我們統計了各家族所采用的編程語言、加密算法以及非對稱密鑰生成方式。這些家族采用多種技術來加密文件，其中包括但不限于RSA、AES、ChaCha20、Salsa20等算法。以下是具體情況：5經匯總整理后發現，當前主流的勒索軟件家族在核心的加密功能層面展現出的“技術趨同”特性越發明顯。其具體的變現為：l核心的加密方案均采用：“對稱加密算法加密文件+非對稱加密算法加密對稱加密算法密鑰”的多級加密邏輯，以此兼顧整體的加密效率與強度。l初始密鑰均采用內置非對稱加密公鑰的方法，來尋找強度與靈活性的平衡點。l大多勒索軟件均會采用分片加密或頭部數據加密等手段，在保證受害者數據“不可用”的前提下進一步提升加密速度。而這些共性也是勒索軟件與安全廠商在長期的對抗中找到的一個較為成熟的標準化方案，而隨著近些年RaaS的運營模式普及，這一趨勢的形成也在進一步的加速。預計今后可以在較大范圍內傳播的主流勒索軟件均會采取上述的加密模式實施自己的加密工作。下圖展示了2023年攻擊者在投放勒索軟件時所采用的各種攻擊方式的占比情況。根據統計可以觀察到：遠程桌面入侵仍然是導致用戶計算機感染勒索軟件的主要途徑；其次是通過利用漏洞進行勒索軟件的投放。值得注意的是，通過利用漏洞和數據庫弱口令導致中招的案例相較于往年顯著上升。6經由針對勒索軟件在2023年的態勢進行分析，發現其傳播與入侵方式呈現出上述占比分布的主要原因如下：一、遠程桌面入侵通過遠程桌面入侵依然是國內最頻發的勒索攻擊原因，這其中既涉及中小企業，也不乏大中型企業，配置管理不當是最主要原因。二、漏洞利用2023年通過漏洞利用發起的勒索攻擊量顯著增加，這其中，主要是針對web服務器的漏洞攻擊，尤其下半年以來，幾乎每周都有針對web服務的成規模攻擊事件發生，典型的如tellyouthepass家族，多次針對OA、財務類web系統發動攻擊，單次攻擊的規模從數千臺到上萬臺不等。對外提供服務的各類應用系統，是防范勒索攻擊的重中之重。今年漏洞利用攻擊的另一大特點是，針對企業基礎服務平臺、邊界設備的漏洞攻擊，比如針對VMwareESXI，MOVEIT，CitrixNetScaler等的漏洞攻擊，漏洞有nday，也有0day。此類攻擊對大型企業殺傷力巨大，國內外眾多巨頭企業，因此中招，甚至出現數據被竊取的情況。比如年中爆出的MOVEITSQL注入漏洞，造成數千家企業被攻擊，影響人數超千萬人。三、數據庫弱口令此類攻擊經常造成數據庫數據被竊取，內容被加密。部分攻擊者也會嘗試通過數據庫服務，進一步入侵服務器主機。管理不當是其主要原因。近年來，通過雙重勒索或多重勒索模式獲利的勒索軟件攻擊團伙越來越多，勒索軟件所帶來的數據泄露的風險也急劇增加。本章將通過@darktracer_int和Hackmanac提供的數據進行多維度分析，該數據僅反應未在第一時間繳納贖金或拒繳納贖金企業情況。7(一)行業統計從行業劃分來看，制造業、租賃商務與服務業（多行業合并數據）、通信與互聯網（通信網絡）、批發零售（多行業合并數據）、金融分列行業分布的前五位，這其中通信網絡行業遭攻擊的數量占比與往年相比有所提升，與下半年一些漏洞攻擊事件有緊密關聯。各類制造企業、實體經濟行業依然是被攻擊的主要群體。而金融行業，一直以來是勒索攻擊的重要目標，排名長期保持在前五。此外，數據庫漏洞的利用量提升也同樣對通信網絡行業受到攻擊有著一定程度的影響。當然，數據庫應用實際上在各個行業的大中型企業中均有較為官方的應用，所以這一類型漏洞的利用量增加實際上對所有大中型企業的安全均構成了不容小覷的威脅。8(二)國家與地區分布從遭到數據泄露機構所在地分布情況來看，美國的占比相較于2022年有明顯提高，超過四成半的占比再度回到了與2021年之前量級。當然，這不僅是因為美國大型跨國企業眾多且各類網絡設備應用官方，也與其發達的云服務產業與設備托管業務有著直接關系。下圖為根據全球地區分布數據所繪制的更加直觀的地區分布圖：關于該數據值得注意以下兩點：1.與往年情況類似，該數據來源均為各勒索軟件為了更有效的展開勒索而自行公開的數據，這也導致由于美國機構的知名度更高而更容易成為勒索軟件用于掛牌展示的“招牌”。但這并不意味著來自其他國家或地區的機構受到勒索攻擊的數量就更少或受到的威脅更小。2.從數據來看，2023年我國受數據泄露影響的企業排名數有所下降。顯然，與近年來國內政策的完善，各政企單位自身對網絡安全的重視度提升有著密切的聯系。但國內企業9被勒索攻擊的絕對數量仍然比較高，以勒索攻擊為代表的網絡安全問題仍是一個不容忽視的威脅，國際上層出不窮的勒索軟件團伙依舊虎視眈眈，一旦放松警惕，他們便會伺機而動。(三)家族統計2023年參與雙重/多重勒索活動的勒索軟件家族共計65個。這一數量與2022年相同，但具體的家族有所更替。僅躋身Top10的家族中，就有8Base、Akira兩個“后起之秀”。具體的排名與占比如下圖所示。在經過分析2023年雙重/多重勒索軟件威脅的前10名家族中，我們發現LockBit勒索軟件家族依然占據著該領域的主導地位。雖然其在2022年的份額有所下降，約降低了10個百分點，但其以超過20%的份額堅守著霸主的位置，過去一年先后攻擊了波音、英國皇家郵政、臺積電等數千家大型企業。同樣值得關注的是BlackCat，其份額和排名都表現穩定，基本與前一年持平。而Cl0p家族，利用2023年廣受關注的MOVEitTransfer漏洞，發起了大規模的攻擊，采取了猛烈的侵入手段，最終在榜單上升至第三位，挑戰BlackCat的地位。同時值得一提，8Base、MalasLocker和Akira三個新興的勒索軟件家族在2023年初次亮相就已經表現出其技術實力和高效的攻擊能力。它們迅速累積了大量受害企業，分別占據了第五和并列第七的位置，其中8Base攻擊了284家，而MalasLocker和Akira各自攻擊了171家企業。這些數據顯示了新興家族崛起的迅猛勢頭，對現有的網絡安全防線構成了嚴峻的挑戰。(四)逐月統計從數據泄露的相關統計來看，總體有一定的波動，但并未出現較大規模的爆發現象。2023年各月的數據泄露機構數量與往年相比雖然顯得格外平穩，但依然可以看出在3月、5月及11月分別出現了三波較為明顯的波峰。結合已知的勒索事件判斷，5月份的最高峰與Cl0p勒索軟件利用的MOVEitTransfer漏洞展開大規模的入侵及勒索活動有著較強的關聯性；與之相似的，11月的這波攻擊潮業余CitrixBleed漏洞有關；而根據分析，3月的高峰則與Medusa勒索軟件的肆虐有著一定的聯系。(五)贖金范圍對雙重/多重勒索軟件家族向受害者索要贖金金額進行統計，情況與2022年并無顯著變化。大多數家族依然傾向于將贖金定在10萬美元至100萬美元范圍內，這部分占比接近71%。這也說明大多數的企業為了機密數據不被泄露而愿意支付的金額也往往在這一區間范圍內。而勒索金額在100萬至1千萬美元區間段的則占到了8%，推測這主要還是由被攻擊的組織/企業規模、營業額以及數據重要性等多方面因素所決定。至于勒索金額超過1千萬美元的情況，則大多為“獅子大開口”的情況，往往并不會真的以這個金額成交。大金額勒索事件的最終結果通常是私下講價和解或被受害者直接無視。需要說明的是，以上數據僅是根據已公開的勒索金額進行統計，并非所有的勒索事件所涉及的贖金金額都被公開，并且公開金額也并不一定是最終成交的真實數值。故此，該數據能在一定程度上作為參考。(六)被竊取數據范圍一些勒索軟件家族為了證明其竊取到數據的可信性，可能會在公開被竊取數據的受害者名單時一同披露被竊取數據的總大小。此外，還會有一些家族雖然并不會直接公布竊取到的數據大小，但在受害組織/企業拒絕支付贖金后他們則會將竊取到的數據直接公開。通過對這些被竊取數據的總大小進行統計，發現2023年每次入侵后所竊取數據的總大小通常在10GB以上，這部分占比接近9成。而進一步劃分后則發現各區段的占比較為平均，推測這與攻擊者所能入侵的設備量、被入侵設備中的數據量、攻擊者在被入侵網絡中潛藏的事件以及網絡狀態等多方面因素均有關系。(七)被竊取數據類型2023年，我們還分析了遭泄露數據的類型分布情況。由于這些數據的類型情況均來自于各勒索軟件家族的自行歸類，所以其分類標準和描述名稱也必然存在著一定程度的差異。故此這部分數據可能并不非常嚴謹。但我們依然可以從中獲取一些有價值的信息。從占比中不難看出，財務類數據以超過2成的占比排在第一位，而與之性質類似的稅務數據也有超過2%的占比。僅這兩項放在一起，就有接近24%的數據是和“錢”有關的。這就說明了攻擊者還是更青睞這些與錢直接相關的信息以求最高效的變現策略。此外，個人、身份、客戶、員工、人資等與個人隱私相關的數據類型也都占比較高，若合并計算其占比更是接近總量的三分之一。這主要是因為此類數據更常見也更易獲取，同時也能被利用來進行釣魚、詐騙等社工攻擊。再有就是合同/協議類數據以及其他一些機密數據。這些數據自然是因其高度的機密性而能更好的作為攻擊者進行勒索的籌碼，但與前兩類數據相比，此類數據并不容易變現——畢竟其重要性更多的取決于受害方的想法和心態。(八)數據泄露的負面影響及策略剖析在數字化已經普及的今天，數據泄露所帶來的影響是多方面且深遠的。常規勒索——黑客通過加密關鍵數據來逼迫用戶支付贖金。這類攻擊相對來說已有成熟的防御策略，企業用戶通常會通過定期備份等手段，確保在數據受到破壞的情況下仍能迅速恢復正常運作。在這一局面下，多重勒索也就應用而生，其中數據勒索因其額外施加的壓力，而變得尤為流行。它通過從多個方面施加壓力，迫使受害企業就范，提升支付贖金的概率。數據勒索的主要危害包括以下幾種。聲譽恐嚇聲譽恐嚇通常會引起品牌聲譽受損，進而導致客戶信任感的流失。其實施策略形式多樣，主要的有如下兩種：一、攻擊者通過盜取的數據聯系客戶，利用電話、電子郵件等通路警告客戶數據可能已被黑客竊取，旨在撼動與受害公司的商業信任；二、攻擊者經常與媒體接觸，促使后者報道這一事件，從公共輿論層面對受害組織施加額外壓力。值得注意的是，部分勒索軟件團伙甚至維護自有的媒體關系來放大其威脅。在這種情況下，如果受害者拒絕支付贖金，勒索團伙便會采取措施向媒體投遞企業被攻擊的事件。這能有效地施壓受害者，某些攻擊團體更是會在贖金談判頁面粘貼新聞報道鏈接，使威脅更加具體且有說服力。數據競拍競拍機制可以最大化販賣受害者數據所得的收益。當前，非法數據售賣產業已非常成熟，勒索軟件團伙，也在通過數據售賣的方式一方面迫使企業支付贖金，另一方面擴大自身收益。就比如LockBit勒索團伙，就大量出售企業數據。其曾出售德意志銀行60G的數據資料，還叫價50比特幣出售過國內某企業數據等。這些勒索團伙還建立了自己的數據泄露網站來公布出售數據的情況。另外，根據我們掌握的數據竊密攻擊團伙特點，這些團伙在數據竊取前，會事先收集被攻擊這邊的目錄結構與文件采樣信息，之后針對特定類型的文件進行竊取。而在對用戶進行恐嚇時，會號稱竊取了用戶全部的文件。監管壓力隨著全球范圍內監管機構對網絡安全法規的強化，尤其是對網絡攻擊事件的報告要求變得更加嚴格，公司在響應網絡攻擊中承擔了更大的責任。不幸的是，一些企業在遭受網絡勒索攻擊時選擇避重就輕，試圖隱藏事件以逃避責任。這種不當的處理和隱匿手段為黑客提供了新的利用空間。如BlackCat勒索軟件集團就通過向監管機關舉報其攻擊目標的策略，向受害企業施加額外壓力，迫使其支付贖金。正確的事故報告流程關乎企業聲譽和財務安全，同時可以避免遵循適當監管規定時可能產生的法律后果。透明、及時的事件通報有助于企業獲得監管機構和公眾的信任，甚至可能在某些情況下減少勒索行為取得成功的概率。因此，企業應當合理建立并執行攻擊事件的報告和處理機制，以確保所有監管要求都得到恰當的滿足，并最大限度降低由勒索軟件攻擊帶來的風險。(一)每月新增傳統勒索情況360安全大腦監控到，每月都不斷有新的勒索軟件出現。以下是2023年每月新出現的傳統勒索軟件(僅通過加密文件對受害者進行勒索)的部分記錄信息，共計66款：Merlin、726針對以上新增勒索軟件家族，我們對其中幾個典型家族進行具體的說明：ESXiArgs2023年2月勒索團伙大規模利用VMwareESXi服務器的遠程代碼執行漏洞（CVE-2021-21974）進行攻擊，部署新的ESXiArgs勒索軟件。早期版本的勒索攻擊受到虛擬機軟件的特性影響，多數受害用戶通過ESXi的恢復指南與恢復腳本免費重置了虛擬機并恢復了數據。但隨后勒索軟件的續版本很快修補了這一恢復方式。該家族采用RSA算法加密密鑰，Sosemanuk流密碼算法加密文件。Sosemanuk算法的運用與Babuk家族ESXi版本變種泄露的源代碼存在高度相似性，同時該源代碼已被其他同樣針對ESXi平臺的勒索軟件使用過，例如CheersCrypt、PrideLocker等勒索軟件。KannKann勒索軟件家族最早出現于2023年6月，主要使用遠程桌面與數據庫弱口令攻擊進行投毒。擊目標主要為中國地區，并提供了中文的勒索信文檔。Anti-usAnti-us勒索軟件家族最早出現于2023年6月，勒索信中留下了黑客郵箱的聯系方式。恢復數據需要以比特幣加密貨幣支付8000美元以上的贖金，具體的贖金金額根據不同的病毒版本有所差異。S.H.OS.H.O勒索軟件家族最早發現于2023年8月，加密后對文件修改為5位英文字母大小寫隨機，且此病毒支持通過USB方式進行傳播。在勒索信中表示由于作者心情愉悅所以僅要求用戶支付200美金，并明確告知受害者即便付了款也不會進行解密。并要將重要數據被加密的痛苦永遠留給受害者。其在10月份的變種勒索信的口吻大致相似，除了留下比特幣錢包地址外，還留下了幣安智能鏈地址。FunransomwareFunransomware勒索軟件家族最早發現于2023年12月，加密后對文件進行重命名后綴為“.funny”。采用RSA-2048和AES-256方式進行加密，加密完成后會更改用戶桌面壁紙。勒索信中還表示如果受害者3天內不通過比特幣方式交納贖金的話，將在暗網出售被竊取的個人信息與文件。(二)每月新增雙重/多重勒索情況另經統計發現，2023年各月也時常出現新的勒索軟件加入到雙重/多重勒索模式的行列中。僅360安全大腦監控到的此類雙重/多重勒索軟件家族在本年度就共計新增36個。具體家族名及出現時間分布如下：針對以上新增雙重/多重勒索軟件家族，我們對其中幾個典型家族進行具體的說明：8Base2022年3月8Base勒索軟件團伙首次亮相，并在2023年6月開始活躍。持續對全球組織發起雙重勒索攻擊，導致受害者不斷增加。8Base使用的是Phobosv2.9.1勒索軟件的定制版本，通過SmokeLoader加載。Phobos是一種針對Windows平臺的Raas模式的勒索軟件家族，于2019年首次出現，與Dharma勒索軟件手法有很多相似之處。8Base的攻擊目標主要為針對中小型公司，受害者主要集中在美洲和歐洲。AkiraAkira勒索軟件家族最早出現于2023年3月，采用多重勒索運營方式。Akira團伙在他們的數據泄露網站上投入了大量精力，賦予其復古的黑底綠字的命令行操作外觀。該團伙索要的贖金范圍從20萬美元到數百萬美元不等。在2023年6月該家族新增了Linux版本，針對VMwareESXi虛擬機進行勒索加密。2023年8月起該家族積極利用思科Cisco的VPN漏洞CVE-2023-20269發起勒索投毒攻擊。被該組織勒索的知名廠商包括雅馬哈音樂、日產Nissan、美國能源公司BHIEnergy。INCRansomINCRansom于2023年8月浮出水面，針對醫療保健、教育和政府等各個部門的組織進行雙重勒索攻擊。該家族的攻擊方式主要通過魚叉式網絡釣魚電子郵件訪問目標網絡，同時也會利用漏洞與橫向移動進行攻擊。典型的漏洞利用例如Citrix平臺的CVE-2023-3519漏洞。目前已知被該組織勒索的知名公司有雅馬哈汽車。Knight2023年5月CyCl0ps勒索家族首次亮相，并于2023年9月更名為Knight（別名CyCl0ps2.0）。此家族的勒索軟件采用Golang語言編寫，運用ChaCha20+AES256算法進行加密。支持主的操作系統包括Windows、Linux、macOS、ESXi、Android平臺。Knight勒索家族區別與其他同類型的勒索家族的一個顯著特色是提供了高度的定制化支持，包括為每個特定目標使用不同的TOR域，用于更新錢包支付的自動系統等。Knight自稱是一支來自俄羅斯和歐洲的四人團隊，他們與其他勒索團隊如Lockbit和Babuk有聯系。此勒索組織正積極招募新成員加入他們的勒索軟件開發與分發團隊。HuntersInternationalHuntersInternational勒索軟件家族出現于2023年10月，聲稱其購買了被警方抓捕的Hive勒索軟件組織的源碼后進行重新編寫，同時修正了原始代碼中在部分場景下會導致無法解密的Bug。目前已知被該組織勒索的典型受害者包括美國海軍承包商AustalUSA、臺灣醫療美容與保健品制造商TCI、美國癌癥研究和患者護理與治療中心FredHutch等。第二章勒索軟件受害者分析基于360反勒索服務，求助用戶所提供的信息，我們對2023年全年遭受勒索軟件攻擊的受害人群做了分析。在地域分布方面并沒有顯著變化，依舊以數字經濟發達地區和人口密集地區為主。而受感染的操作系統、所屬行業則受今年流行的勒索軟件家族影響，與以往有較為明顯的變化。以下是對2023年攻擊系統所屬地域采樣制作的分部圖，總體而言地區排名和占比變化波動始終均不大。數字經濟發達地區仍是攻擊的主要對象。下圖為根據全球地區分布數據所繪制的更加直觀的地區分布圖：對2023年受攻擊的操作系統數據進行統計，位居前三的系統為Windows10、WindowsWindowsServer2008和WindowsServer2012。這也是目前市面上較為主流的操作系統，可見系統本身的“安全性”對攻擊的防護起到的作用并沒有那么顯著——整體數據反應出的情況依然是使用更廣泛的系統所受攻擊也更多。從操作系統類型的角度看，總的占比于2022年相似，桌面PC與服務器的占比在總體上依舊保持相當比例。但與以往不同的是，2023年各類勒索軟件在針對服務器類設備發起攻擊的時候出現了較為明顯的進一步精細化操作。這也導致我們本次對操作系統類型的分類也首次對Windows服務器和Linux服務器進行了區分。近年來，勒索軟件對服務器系統的青睞主要由于針對此類系統的攻擊往往具有更高的價值目標、更強的支付能力、更大的攻擊規模、更專業的攻擊方式、更廣的攻擊面。而在這一大趨勢的前提下，2023年的勒索攻擊進一步細化了各不同類型的服務器類型，對Linux服務器和與之類似的NAS設備的勒索攻擊量有著明顯的提高。同時，這類攻擊也有著更加明顯的“針對性”，不再是過去那種攻擊Windows服務器時的“順帶”行為。這也與各勒索家族的團伙專業性的不斷提高有關——顯然，對不同操作系統的專注能較為顯著的提升其獲利的成功率。對來自反勒索服務申訴的受害者所屬行業進行統計，發現：科研技服、貿易零售（批發零售）、制造業分列受影響最為嚴重的前三類行業。而能源行業，首次進入國內前10排名。科研技服對應的主要是各類技術研發及提供配套服務的企業，并且與占比排名第5的通信網絡行業也有著較為緊密的聯系。貿易零售與制造業則多為數量龐大的中小型企業，也是國內受勒索威脅最為嚴重的群體。這一分布狀況也充分說明了國內當前面對勒索攻擊的主要態勢，中小型企業在研發、生產、銷售的各個環節已經具備較高的信息化智能化水平，但在網絡安全上的投入和專業化水平上仍有明顯短板。兩相對比之下，我國中小型企業所面臨的安全威脅問題也勢必日益突出。2023年的數據顯示，受勒索軟件攻擊影響較大的行業普遍具有較大的機構規模和網絡規模。教育行業遭受的勒索攻擊相比2022年有顯著下降。我們在2022年的報告分析中指出，教育行業受攻擊影響增加主要是由于新冠疫情引發的線上教育產業的蓬勃發展。而隨著2023年新冠疫情管控政策的放寬，線上教育產業的發展勢頭也隨之減緩，相應地，教育行業對于網絡安全的需求逐漸回歸正常。然而，需要明確的是，即便教育行業受到的勒索攻擊有所降低，其占比仍然處于不可忽視的第六位。這意味著網絡安全形勢仍然相當嚴峻，教育機構在網絡安全防御方面不可掉以輕心。通過分析受害者反饋的調查問卷，我們發現受害者在遭遇勒索軟件后的反應并沒有太大的變化，大多數受害者依然并未支付勒索軟件所提出的贖金，并且不支付贖金的理由也依舊是不相信黑客或不想縱容黑客。當然，贖金金額過高也是一個重要的因素。不過，支付贖金的占比也延續了2022年的上漲勢頭，有了進一步的顯著提升。經分析，這與勒索軟件進一步的側重于針對政企相關單位的攻擊有著密切關系。此類受害者通常更愿意為了減小損失而支付贖金，同時也更有經濟實力來承擔高額的贖金。根據2023年的問卷統計，數據庫一躍成為受害者最“在乎”的被加密數據類型。與2022年相比，數據庫的占比直接提升了接近16%；而在數據庫占比飆升的此同，辦公文檔占比并沒有發生明顯變化。這倆類數據的占比相加就超過了75%。產生這一情況的主要原因是受到了2023年勒索攻擊的受害者身份及攻擊者入侵手段的雙重影響。受害者方面，相較于個人，各類政企單位顯然會更多的應用到數據庫應用，同時也更在乎數據庫中的數據安全性與完整性；而入侵手段方面，2023年各類漏洞的利用以及數據庫弱口令攻擊的加持，也讓數據庫成為了大量勒索攻擊案例的入侵突破口。兩相呼應，更多的數據庫遭到加密并且受害者也更看重數據庫中的數據，也就造就了這一結果的形成。與2022年情況相同，殺軟查殺、斷開網絡以及求助于技術人員依然是受害者最先采取的應對手段。包括重裝系統也依舊是一個較為“主流”的措施。正如我們以往不斷強調的，重裝系統這類操作對于勒索軟件這一特殊的攻擊類型而言往往作用并不十分明顯，反而可能對技術人員的事后處置及分析復盤帶來一定阻礙。誠然，我們不該苛求受害者在安全領域都具有較高的知識和處理能力，但必要的宣傳和科普工作依然是有必要的——尤其是在政企單位內部。根據問卷反饋的統計數據來看，提交反勒索服務申請的用戶中，大多數用戶主要還是為了能夠恢復被加密的數據。這一情況也符合我們在設立該服務之初的基本預判。但令人感到遺憾的是，目前仍有大量被勒索軟件加密的數據難以通過技術手段進行恢復，這也是我們在今后的工作中需要積極尋求更有效解決方案的一個技術攻堅目標。除此之外，與其他傳統惡意軟件相似：尋求防護建議、清除病毒、排查原因以及了解防毒知識也都是受害用戶較為關心的方面與主流訴求。而我們也正在基于以上這些訴求積極的展開相關溯源工作并建立知識庫，以滿足廣大用戶的需求。第三章勒索軟件攻擊者分析2023年的勒索軟件攻擊數據分析揭示，盡管針對遠程桌面協議的弱口令攻擊依然普遍，但通過漏洞利用和網頁掛馬的手段同樣見勢利導地大幅增長，這類通過技術漏洞發起的攻擊比例增長了超過13%，成為最主要的攻擊方式之一。這種變化反映出攻擊者正在適應和探索更有效的入侵手段，并且企業對于弱口令的防護意識相對提高。此外，黑客們為了與受害者溝通贖金事宜，更頻繁地使用電子郵箱、自行搭建的贖金談判網頁，以及諸如洋蔥網絡、Jabber、Telegram和Tox等匿名聊天工具，顯示了他們在隱匿性和持續威脅置于受害者面前的雙重目的。遠程桌面弱口令攻擊和漏洞攻擊依舊是勒索軟件入侵的最流行方式，但2023年的數據庫弱口令攻擊數量有著顯著提升。對于各類入侵方式的攻擊來源IP進行分析發現，其歸屬最多的是俄羅斯地區，其次則是德國和美國（此數據僅反應攻擊者發起攻擊的IP地址，并不代表攻擊者所屬國家，攻擊者往往會使用代理服務器來隱藏其真實IP地址）。2023年，勒索軟件主流的聯系方式依然是自建聊天室、第三方通信工具和郵箱三種。其中：自建聊天室的方式通常見于雙重/多重勒索模式中，部分家族還需受害者注冊或使用黑客勒索提示信息中提到的賬戶和密碼或唯一的ID進行登錄才能進行對話。第三方通信工具則主要以Jabber、Telegram、Tox等匿名聊天工具為主。攻擊者與受害者會通過這些軟件進行贖金談判，以phobos為代表的勒索家族主要采用此類方式。最為常見的則是電子郵件的方式。通常為了能被受害者正常聯系到，攻擊者一般會留下至少2個郵箱并定期進行更換。也存在同一個家族有多個傳播者的情況，這種情況下不同傳播者也會使用不同的郵箱。這也導致我們捕獲到的活躍郵件地址相對前兩種會多很多。通過對2023年收集到的黑客郵箱進行數據分析,我們發現最受勒索軟件作者歡迎的依舊是Tutanota，但ProtonMail和OvOConsulting占比卻有所下降，取而代之的是OnionMail和Gmail。根據分析推測，出現這一情況的主要原因是OnionMail專注于加密和匿名這兩大屬性所致，而Gmail則主要以其加密屬性著稱，這顯然都獲得了勒索軟件作者的認可與青睞。針對TOP10郵件服務商提供的郵箱屬性進行研究發現，其中匿名郵箱占到了總量的76.02%，這一比例的顯著下降與Gmail的使用量提升有直接關系。本節，我們將介紹一些常見的攻擊手段，幫助讀者更好地了解勒索軟件，并提供防治措施。(一)口令破解攻擊口令破解類攻擊可以說是網絡攻擊手段中歷史最為悠久的一類，同時也是國內勒索軟件傳播的最普遍原因。雖然目前已經有多種解決口令脆弱性問題的技術手段，但“弱口令”問題仍然成為困擾企業和用戶的一大問題，需要被不斷強調，這個問題的原因也是多方面的。在過往處置的案例中，口令暴破問題不只發生于個人用戶、中小企業與缺乏安全運營管理的企業，在大型企業與管理相對嚴格規范的企業，“弱口令”問題同樣存在。這里首先需要糾正一個誤區，“弱口令”不僅僅局限于大眾通常認為的“過分簡單的口令”，一些看似足夠復雜的口令，也可能是“弱口令”。常見的“弱口令”情況包括：過于簡單的口令，常見的口令字典詞匯（比如：888888，qwerty等），帶有身份信息的口令等。但還有一類弱口令，容易被大家忽視：產品內置的默認賬戶，統一運維賬戶的默認口令，第三方運維人員設置的統一口令，已經失竊的口令（通常在發生網絡攻擊后，應該棄用之前使用的所有賬戶口令，默認這些賬戶已經失竊信息泄露（比如管理員把后臺的賬戶信息記錄到了維護日志中）。勒索攻擊事件中，最長見到的“弱口令”問題，主要出現在“遠程桌面弱口令”、“數據庫弱口令”，“Nas設備弱口令”之中。其共同點在于，這類設備和環境，直接會將認證接口暴露于公網之上。一但掌握這些設備的賬戶口令信息，就可以直接登錄設備，成為對內網進一步攻擊的攻擊入口。而掌握信息，又關聯有相應的權限，一旦一個高權限賬戶失陷就為攻擊提供了方便之門，可以暢通無阻的實施對其他設備的控制和數據的竊取。在和用戶的交流中，說就是寫到“小本本”上，貼機箱上，也比存在“password.txt”文檔中安全一萬倍，玩笑歸玩笑，也說明了密碼管理與密碼存儲的無奈。常規的口令安全宣教，大家應該都已經清楚，比如定期更新密碼，不使用簡單密碼，不使用相同密碼登。但在這些安全措施的落實上，卻困難重重。我們有下面幾條建議，可以用于加強對口令的管理。1.避免在一臺設備中存儲大量的口令或者登錄憑證信息，不要認為攻擊者不會注意到，不會發現。黑客對一臺設備的信息發掘，首要發掘目標，就是這臺設備中保存的各類賬戶憑證信息。2.賬戶驗證策略工具，比如設置管理頁面的訪問ip白名單，密碼驗證次數上限等措施，可以輕松而簡單的緩解很大一部分刺探攻擊。另外一些老舊系統，缺乏必要的安全保護措施，無法應對口令暴破攻擊，也應該避免使用。3.有條件的情況下，盡量開啟多因素認證（MFA），使用多因素認證，可以極大的增加口令暴破的難度，是緩解此類問題的一個簡單有效的成熟方案。4.密碼管理工具與單點登錄認證（SSO），有人可能懷疑，使用單點登錄認證這次統一認證方式，難道不是風險更高么。其實不然，當使用的系統越來越多，維護多個認證系統以及多組認證信息，是比較困難的。尤其是讓員工記住多個復雜口令，并定期更新的管理難度很大。而管理好一套認證系統與一套口令，對單個人員來說，更具可操作性。同時SSO可以與MFA相結合，對重點設備可以加強認證。密碼管理工具，可以幫員工生成高強度的密碼，減少人為設定“弱口令”的可能性，也減小明文存儲密碼的情況。(二)漏洞利用攻擊漏洞問題在全球范圍內的勒索攻擊中占有重要地位，常作為攻擊的初始入口或在橫向移動中被利用。首先需要明確的是，漏洞是隨著信息系統的發展而產生的，系統復雜度增加后，漏洞不可避免地會出現。存在多種類型的漏洞，包括硬件漏洞、操作系統漏洞、應用軟件漏洞、第三方組件漏洞等。在勒索軟件攻擊案例中，應用軟件漏洞尤其常見，涉及Web服務程序（如OA、ERP系統）、域控服務器、網絡邊界服務（例如VPN服務器）。根據漏洞是否已被修補，分為0day漏洞（還未被廠商修復）和nday漏洞（已被廠商修復）。對過去一年的案例進行分析，發現大量勒索攻擊活動中，最常被利用到的還是nday漏洞。下圖是一個典型的Web服務漏洞攻擊的攻擊過程展示：漏洞的復雜性常常讓管理者不知從何下手。為此，我們從不同視角幫助讀者理解漏洞攻擊問題：黑客視角黑客發起攻擊，從來不是“徒手”進行的，他們使用眾多“武器”來實現攻擊目的。攻擊發起的前夜，黑客通常使用掃描工具對潛在目標進行偵查，來發現開放的服務和潛在漏洞。經常是整個網段或對某個機房集中掃描，也會根據前期收集的服務器信息，對特征服務器發起掃描。這個掃描過程一般通過租用的服務器，或通過“肉雞”，或第三方開放平臺來完成。這個掃描過程每時每刻都在互聯網上進行著，只要對互聯網公開的服務，都會很快被探測發現。所以，不要心存僥幸，認為部署的服務沒太大經濟價值，沒什么人用，不會被黑客發現等等。準備攻擊武器，并不是所有“黑客”都有能力來發掘漏洞，編寫完整攻擊代碼。絕大多數黑客，都是使用的知名的Exploitkits工具集來完成攻擊的。最受黑客青睞的是，各種有可利用EK或POC（ProofofConcept）代碼的1Day漏洞（廠商剛修復不久的漏洞）。有工具可用，意味著黑客不需要自己來實現漏洞攻擊代碼，可能只需替換payload（攻擊載荷）就可以完成利用。而1Day，意味著有大量沒有打補丁的設備，如果這個漏洞本身權限較高，比較好用。同時出現漏洞的平臺又比較流行，那么一場黑客盛宴就開始了。發起攻擊，在勒索攻擊中，黑客們更樂于選擇非工作時間，尤其是周五晚上來發起攻擊。這樣他們有足夠時間來解決各種遇到的問題，而不被管理員發現。攻擊往往是自動化進行的，偶爾需要一些半自動化的操作來輔助，所以一個黑客團伙，可以在一晚上完成對幾千上萬臺服務器的攻擊。所以管理員需要理解，在這種大規模的黑客攻擊面前，只要對外開放了服務，就要準備應對此類攻擊，不存在僥幸的可能。軟件供應商視角目前主流操作系統供應商，自身對安全問題普遍較為重視，對產品的安全測試比較充分，出現問題后能夠及時修補。用戶只要及時更新補丁，可以避免絕大多數操作系統漏洞帶來的勒索風險。但第三方軟件供應商，對漏洞問題的態度與能力，就存在巨大差別了。有表現積極的大廠，也有不少廠商對漏洞問題比較避諱，認為產品的漏洞問題是產品的負面信息，不愿意過多公開。也有認為，我們提供的是產品功能，至于漏洞與網絡攻擊，那是安全廠商與黑客的事情，與己無關，對安全問題不重視，不積極修改等。發布的補丁遮遮掩掩，難以獲取。另外部分廠商對于盜版用戶，或者沒有續費訂閱的用戶，也不提供相應的補丁服務，事實上也造成了問題的加劇。另外，第三方組件的安全性問題，也是各家廠商的一大痛點。現在的軟件系統，通常會引入大量第三方組件，當一個組件被引入后，有些廠商會選擇不斷適配更新，但這會增加維護成本。還有不少廠商，從引入開始就不再更新維護這個組件。當這個組件出現問題時，就很難發現與修復。而當一個大量被使用的第三方組件出現問題時，往往就會產生“核彈級”的攻擊效果。就比如log4j2漏洞帶來的影響。安全公司視角安全公司在維護系統安全方面面臨著漏洞問題的挑戰。對于操作系統的漏洞，大多可以通過安裝補丁來解決。然而對于第三方應用，由于存在版權和技術多樣性問題，安全公司難以為每個應用安裝對應的補丁。通常，他們采取如熱修復（hotfix）和通用漏洞緩解措施（比如輸入審查，內存監控，行為分析等）以提供一定的保護，但這些措施也不是萬能的，更多的是用來應對一些通用性常見漏洞，為無法打補丁或者沒有補丁的環境來提供保護。用戶視角前文大量的敘述，我們最終希望讓用戶清楚認識到，不應抱有僥幸心理——任何對外公開的服務都可能成為黑客的攻擊目標。不要相信什么“補丁無用論”的論調，應摒棄那些質疑補丁有效性的錯誤觀點，譬如認為安裝補丁會導致系統響應變慢、產生兼容性和穩定性問題等。即使部分用戶因未支付相應服務費用而無法獲得補丁，也應尋求其他方式來保護系統安全。還有一些用戶由于擔心補丁可能的不穩定性和對業務運作的潛在影響，而選擇不安裝更新。然而，必須認識到，安全補丁是防御和修復漏洞中最有效的手段之一，應當作為安全實踐的常規部分來定期執行。最后關于漏洞治理，我們提供以下幾條建議：1.定期更新與進行補丁管理，這是目前解決漏洞問題最可靠的手段。2.安裝安全防護軟件，如前文介紹，安全軟件能夠提供大量漏洞防御與緩解機制，來降低一些通用漏洞造成的危害。3.減少對外暴露的服務，非必要不對外提供服務。使用反向代理等措施，降低被探測發現的可能性等。漏洞與工具我們總結了在2023年的勒索攻擊活動中經常被使用到的漏洞。其中主要的漏洞基于CVE/CNVD編號的歸類匯總如下：PetitPotam、WindowsLS通達OA產品SQL注入漏洞此外還有一些漏洞是由各廠商自行發布并修復的，我們根據其對應的廠商或產品進行了分類匯總，數據如下：黑客集團的攻擊行為往往帶有鮮明的個性化特征，他們使用一些習慣性的攻擊技巧和策EK等，隨著其背后的攻擊集團逐漸隱匿，已經逐步退出了安全專家們的視線。然而，當前仍有一些EK工具在不斷地被應用，如MagnitudeEK，它正被Magniber勒索團伙所采用。同時，黑客也在不斷追求能夠迅速利用新漏洞的手段，以達到更為有效的攻擊結果，EK工具可能不能滿足黑客的這些需求。(三)橫向滲透攻擊橫向滲透是企業內網和大型內部網絡在網絡安全方面經常遭遇的挑戰，在針對中大型企業的勒索攻擊場景中尤其常見。典型的攻擊模式下，攻擊者常首先通過一個受感染的終端或節點，然后使用各種手法探索內部網絡并向其它設備擴散，最終可能導致大規模的設備感染，甚至完全癱瘓整個網絡。企業的域控制服務器和管理服務器是黑客的優先攻擊目標，因為一旦控制了這些核心資產，黑客便能夠在網絡中隨意橫行。此外，企業內網中許多設備常有著統一或相似的軟件配置和口令設置，這為黑客提供了利用一個設備來威脅整個網絡的可能。設備的安全性很大程度上取決于是否及時應用系統補丁。內網中的一些設備可能會因為缺乏及時更新而變得特別脆弱，成為黑客首選的目標。現代黑客通常使用集成了眾多漏洞利用工具的攻擊工具包，對未打補丁的設備進行攻擊，使它們輕易受到損害。我們提供的勒索預警服務，也有很大一部分來自于對橫向滲透攻擊的發現。在橫向滲透到勒索投毒的短暫時間差，來提醒企業進行應急阻斷，以降低攻擊產生的損失。下圖展示了，橫向滲透攻擊，如何在內網中滲透活動。下面整理了一些勒索家族在橫向滲透中常用的攻擊工具，包括進程查看器，端口掃描工具，口令提取工具，各種內網滲透工具。黑客通過這些工具大大簡化了攻擊過程，降低了黑客的攻擊門檻。其中有部分工具是通用工具，被幾乎所有黑客團伙使用，最為常見的通用工具有如下這些：lRootkit工具：PChunter、ProcessHacker、ProcessExplorerl密鑰竊取工具：Mimikatzl資源收集與數據竊取工具：Everything、NetworkShare（值得一提的是：Everything除了被用來搜集文件外，還被黑客用來批量竊取文件。Everything可被部署為文件服務器，攻擊者利用這一特性，在被攻擊設備中暗中植入everything做為后門使用。）l遠程控制工具：AnyDesk除以上工具外，下面也總結了當前流行勒索家族所使用的其它一些工具：NetPass、PEview、KPortScan、NaNetPass、WebBrowserPassVAZORult、Vidar、RigEK、dfcontrol、YDAMEGAsync、CrackMapExec、PsLaZagne、CobaltStrike、Exfitrator-22、KPortScan、NPowerTool、Rclone、PuTTY、Chocolatey、Impacket、NNetScan、dfcontrol、NetPass、mouselock、ExploPuffedUp、KPortScan、NLBrute、denfendercontrlFscan、powercat、lcx、sqlck、DefinderControl、NetDataBase、DefinderConNetPass、pyark、frp、frpc、KPortScan、luciroot、NetScAdFind、Bloodhound、GMER、CobaltStrike、WinPEAS、WinRAR、WinSCP、MicrosoftNNekto、PriviCMD、Plink、GrixPsExec、PuTTY、PortStarter、secretsdump、PowSplashtop、Streamer、TacticalRMM、PuTTy、PDQAteraAgent、PsExec、NSliver、Lazagne、FileZillSoftPerfectNetworkScanner、Impacket、RcZeon、Chisel、Qakbo、PsExec、LogMeIn、Atera、Cobalt(四)共享文件加密共享文件在一定程度上并不直接屬于勒索軟件的傳播手段，但從實際用戶反饋與安全事件處置情況來看，它是我們常遇到的一個問題。因此，我們特別對此問題進行說明，以幫助用戶更好地理解并采取適當的防護措施。在共享文件夾加密的事件中，通常不是存儲這些文件的服務器或存儲設備本身遭到了入侵，而是其他有權限訪問這些共享文件夾的設備被感染了，導致了共享文件夾內文件的加密。當前廣泛流行的勒索軟件往往集成了掃描和枚舉病毒可以訪問的網絡資源的能力，其中包括對網絡共享數據的掃描。在實際投遞的勒索軟件中，加密共享文件夾的功能通常默認為啟動狀態。此外，許多用戶為了便于訪問共享文件，可能會設定相對寬松的權限管理，甚至允許具有寫權限的訪客用戶訪問。這增加了勒索軟件通過這些點獲取并加密文件的可能性。對于這一問題的有效解決方法相對直接：1.實行更嚴格的權限管理，限制普通用戶對于關鍵共享文件的寫入權限。2.創建網絡分隔（VLAN）和更細粒度的訪問控制策略，以減少跨區域的網絡訪問可能性。3.定期進行用戶訪問權限審計，及時撤銷不必要的權限設置。4.對共享文件夾執行定期備份，以確保數據可以在攻擊發生后迅速恢復。(五)僵尸網絡投毒僵尸網絡，或稱為僵尸網絡，是網絡攻擊者執行各種惡意行為最喜愛的工具之一。攻擊者通常會利用木馬病毒、蠕蟲、以及利用安全漏洞的工具來劫持大量的未防護設備，將其轉化為“肉雞”以加入其龐大的僵尸網絡中。一旦網絡建立，攻擊者可隨時通過遠程控制命令，操控這些“肉雞”計算機或設備發動分布式的攻擊活動。舉例來說，國內知名的“匿隱”僵尸網絡就是僵尸網絡的一個典型案例，它曾多次被用于傳播勒索軟件。盡管在過去一年的勒索軟件攻擊事件中，僵尸網絡并非主要手段，但其對個人電腦和普通家庭網絡的威脅依舊不小。下圖呈現的是僵尸網絡實施攻擊的一般流程，以及攻擊團伙如何構建并利用該網絡。該過程往往開始于誘使用戶從非官方或第三方來源下載并安裝免費軟件，這些軟件可能是常見的工具，如BT下載器、系統激活工具、或破解版軟件，但內含惡意代碼。安裝了這些帶有惡意負載的軟件后，受害者的設備會被植入各類病毒和木馬。黑客接著通過這些已經攻陷的設備，執行一系列網絡內侵犯行為，包括使用EternalBlue和DoublePulsar等著名漏洞，或者通過遠程服務、計劃任務和wmic命令進行攻擊，以實現在內網中的橫向移動。(六)其它攻擊因素以上對國內勒索軟件最常見的傳播手法進行了詳細介紹解讀，其它的傳播因素，還包括：網頁掛馬、激活破解類軟件、游戲外掛、釣魚郵件、IM傳播、供應鏈攻擊等。這些攻擊手法在往年的報告中均有詳細介紹，在此不再一一贅述，勒索軟件攻擊所采取的策略和傳播渠道已經非常多樣化了，幾乎涵蓋了所有既往傳統病毒和木馬曾經采用的手段。然而，其最核心的差異在于攻擊的目標：勒索軟件專注于對數據的劫持，這區別于過去傳統惡意軟件主要以破壞功能或盜取信息為主要目的。第四章勒索軟件發展新趨勢分析在2023年，勒索軟件威脅毫不意外的再次成為年度最熱門的網絡安全話題。個人、企業和政府都無法逃脫勒索軟件帶來的影響。不管是在國際紛爭、商貿活動還是個人社會生活中，勒索軟件威脅都無處不在。短短幾年的時間里，勒索軟件已經從一個新興威脅發展成為網絡世界最受關注的威脅之一。我們通過回顧今年發生的重大勒索事件，來探索勒索軟件的發展趨勢，并從我們為應對勒索軟件威脅所做的努力中，探討未來的勒索防御模式。(一)規模化系統化攻擊頻發在過去一年里，中小企業面臨的規模化、系統化的勒索軟件攻擊事件顯著增多。以tellyouthepass為代表的勒索團伙，在過去一年中，發起了數十次攻擊事件。針對各類業務應用系統的攻擊已發生數百起，規模往往數千臺之多。這類攻擊的贖金要求一般不高，通常在等價二到五萬元人民幣的虛擬貨幣，但頻發的事件對中小企業構成了嚴重的網絡安全挑雖雖然遠程桌面協議（RDP）的口令破解仍是最普遍的攻擊形式，但安全漏洞是這些攻擊頻發的主要原因。針對這一問題的解決策略，關鍵在于安全管理。對于中小企業來說，服務器的安全運維是一項現實挑戰。他們資源有限，通常將服務器安全管理任務委托給IT部門或外部供應商。當服務由知名的大型供應商管理時，安全問題一般得到有效控制。然而，許多小型代理商缺乏必要的安全管理經驗，僅能完成基礎的產品安裝部署，對安全運維知之甚少。中小企業的IT部門也以運營內部信息系統為重點，安全運營能力參差不齊。在我們協助調查的中小企業勒索事件中，經常出現多次被勒索攻擊的情況。同時在沒有專業安全團隊介入的情況下，企業自己的故障排查很難查清真正的問題原因。只能恢復系統，“一刪了之”。因為找不到問題原因，漏洞一直得不到修復，也造成反復中，反復修的問題發生。面臨這類問題，中小企業可以考慮利用專業的第三方托管服務來提高其安全實力。許多安全產品現在提供了作為服務（SaaS）的第三方托管解決方案。通過專業的安全團隊與本地IT運維人員的協同工作，企業可以在較低的成本下提高其安全運維能力。(二)AI或成為未來勒索對抗關鍵點2023年被譽為生成式AI（人工智能）的元年，以GPT為代表的聊天機器人相較于傳統對話系統展現了碾壓式的能力優勢。隨著越來越多的AI產品走出實驗室，它們不斷被集成到各類生產和業務環境中，在安全領域的紅黑對抗中也呈現出新的嘗試和應用。在安全應用方面，安全企業已經開始探索將AI技術融合進其安全產品的可能性。以微軟為例，其推出的SecurityCopilot就是利用AI技術為安全運維人員提供輔助的一大步。該系統能夠智能地進行風險排查，從而降低了安全運維的專業門檻。在國內，也有多家安全公司正在積極地進行類似探索，預計在不久的將來將涌現出更多AI輔助的安全運維產品。可以預見，AI技術將逐漸成為未來企業安全產品的標準配置。同時，AI的應用不僅限于提升產品的用戶體驗和易用性，還有助于增強安全產品的“內功”。AI技術正在被用來輔助清洗和處理數據，解析安全日志，識別潛在的風險行為。AI正在逐步替代現有的安全運營流程與工具。這樣的進步不僅提高了安全分析人員的工作效率，而且增強了整個安全團隊的防御和響應能力。在勒索軟件防御領域，安全研究人員也在嘗試發揮AI的優勢，目標是實現對惡意軟件威脅的更早發現和更迅速的應對。及時識別和響應在應對勒索攻擊中至關重要，因為它直接關系到將攻擊造成的潛在損失降至最低，甚至完全避免。當下勒索軟件的防御多依賴于事先設定的防御策略和安全專家的分析研判，這些方法在處理日新月異的威脅時可能面臨挑戰，。與之相比，AI技術在處理這些問題時展現出諸多優勢。它可以快速處理大量數據，通過機器學習模型識別出攻擊模式，能夠不間斷快速處理響應，都為勒索應對帶來了新的可能。比如利用AI深度學習算法，安全系統可以在沒有人類直接干預的情況下自動調整防御策略，更快地響應安全事件。AI在勒索軟件防御方面的應用，不僅是技術挑戰，還是一個機遇。隨著AI技術的持續發展，它將更加成熟并最終成為網絡安全保障體系中不可或缺的一部分。在灰黑產方面，AI技術已經開始被灰黑產業所利用。在近期國內偵破的一些勒索攻擊、網絡攻擊案例中，已經發現有黑產團伙使用ChatGPT來輔助修改攻擊代碼，幫助完善攻擊工具的案例。當前，雖然各大AI廠商對AI的應用都做了一定程度的限制，避免其用于發起網絡攻擊和各種破壞性行為，但還是很難避免新技術被濫用的問題。例如自動生成的惡意軟件和釣魚電郵，發起社會攻擊。對攻擊者而言，AI減少了獲取和部署攻擊資源的成本和難度。通過利用自動化工具和算法，攻擊者現在能夠以前所未有的速度和規模發起勒索軟件攻擊，造成廣泛的破壞。因此，對安全產品的未來挑戰不再僅僅是與傳統的惡意軟件和攻擊策略對抗，而是需要在不斷進化的AI安全競賽中，保持警惕性和應對能力，如何有效地對抗由AI生成的威脅，將成為衡量其能力的重要指標。這將是一個長期對抗演化的過程。總而言之，生成式AI的崛起代表了網絡安全領域的一個轉折點。隨著技術進步，AI既是網絡安全的有力輔助工具，也可能成為未來安全威脅的催化劑。必須承認，僅依靠技術手段是不夠的。全面的安全策略需要結合法律、政策和教育手段，以形成對破壞性AI應用的防御。它需要的是一個綜合的技術和社會響應策略。有效管理這股力量，實現其在提升網絡安全中的正面作用，也將是未來研究和實踐的重點。(三)大型企業面臨新常態：雙重勒索與日益嚴重的數據竊密雙重勒索自2019年出現以來，每年都會是年度熱門話題，過去一年的勒索攻擊案例顯示，雙重勒索攻擊已成為網絡黑客針對大型企業攻擊的優選策略。這種攻擊不僅加密受害企業的數據，還威脅要公開竊取的信息，從而迫使企業支付贖金。即使是大型企業也發現，僅依靠數據備份和恢復的常規手段并不充分，無法免受這種勒索攻擊的影響，因為即使可以恢復數據，被竊取的信息仍可被用來進行二次勒索或在暗網上交易。而持續的安全運維防護被證明是防御這類威脅的最有效方法。大型企業的核心數據通常采用多重數據備份策略，傳統勒索軟件對其的加密破壞，雖然短期內會對業務造成影響，但企業還有一定技術應對手段來恢復業務。然而，雙重勒索攻擊通過額外的數據竊取和威脅公開敏感信息來破壞這種恢復能力。勒索要求往往涉及巨額贖金，并且數據泄密的后果是長期且無法挽回的，雙重勒索攻擊還對企業的聲譽和客戶信任造成嚴重打擊，尤其是當涉及敏感數據時，如財務信息、知識產權、員工信息以及客戶的個人數據。對企業而言，除了直接的財務損失，這種攻擊還可能引發合規性問題，比如Blackcat就曾向監管機構舉報被其攻擊的企業，這些問題導致企業被迫考慮支付贖金以減少損害。近年來，大型企業遭受數據勒索攻擊的威脅明顯上升。例如Cl0p團伙在2021年底消失后于今年5月復出，僅用半年時間便成功攻擊了近400家企業。盡管REvil因打擊行動而名存實亡，Darkside因被迫品牌重塑，Conti因俄烏戰爭導致分裂，Babuk因處理竊取到的警方數據意見不一導致解散等，但不僅有不斷的新的勒索軟件團伙在崛起，還有傳統老牌勒索軟件不斷涌入到雙重勒索方向，例如Medusa、Mallox以及Trigona等。2023年發起數據勒索的團隊數量已接近70個，使得企業面臨的雙重勒索風險進一步加劇。在分析針對大型企業和關鍵基礎設施的勒索軟件攻擊過程中，我們注意到一些具有政治動機的攻擊案例，如旨在破壞目標國家或組織的運營管理能力。但當下，絕大部分針對企業和基礎設施的勒索軟件攻擊還是以經濟利益為主要驅動力。在攻擊技術方面，盡管少部分針對企業的攻擊案例涉及復雜的攻擊手段，例如供應鏈攻擊和高級持續性威脅（APT）攻擊，但大多數攻擊仍然起始于企業常規的安全管理缺失，比如配置不當的網絡邊界設備、未打補丁的老舊系統、以及存在弱口令的服務。因此，強化日常安全運維和防護措施是有效防御這些攻擊的必要手段。任何僥幸心理或小的失誤都可能給黑客提供入侵的機會，一個邊緣設備的失陷，往往是企業核心資產被竊取的先兆。(一)以創新驅動反勒索技術發展——安全技術新突破在于勒索軟件攻擊的對抗過程中，創新始終是打破平衡，實現突破的關鍵方法。2023年360也在這方面做了大量努力。正式推出勒索預警服務，依托全網探針能力，在經過一年多的摸索嘗試后，我們正式推出了勒索預警服務。勒索軟件攻擊的事前發現和預警對于降低攻擊的破壞程度非常重要。事前的防御措施效果遠優于事后的補救。目前，針對企業的勒索攻擊主要分為兩類。第一類是通過單點攻擊獲取少量設備權限后，對內網進行橫向滲透，最終在合適的時間點投放勒索軟件。從獲得單個設備權限到整個網絡受到感染，一般需要1至3天的時間，而在一些大型網絡中可能會有更長的潛伏期。這個潛伏期提供了發出預警并爭取提前阻斷的機會。360安全大腦利用全網的探針以及對各個勒索攻