勒索軟件在2023年經(jīng)歷了巨大的變化和挑戰(zhàn)。這一年，勒索軟件泄密網(wǎng)站報(bào)告的受害者增加了49%，各勒索軟件組織共發(fā)布了3,998個(gè)帖子。是什么推動(dòng)了這一活動(dòng)的激增？2023年出現(xiàn)了一些備受關(guān)注的漏洞，例如MOVEit和GoAnywhere MFT服務(wù)的SQL注入等。針對(duì)這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV（BlackCat）等組織在防御者更新漏洞軟件之前感染的勒索軟件數(shù)量激增。

通過對(duì)勒索軟件泄密網(wǎng)站（有時(shí)也被稱為專門泄密網(wǎng)站，縮寫為DLS）的數(shù)據(jù)進(jìn)行分析，派拓網(wǎng)絡(luò)發(fā)布了報(bào)告《2024年勒索軟件回顧：Unit 42泄密網(wǎng)站分析》。

泄密網(wǎng)站和派拓網(wǎng)絡(luò)的數(shù)據(jù)集

勒索軟件泄密網(wǎng)站首次出現(xiàn)于2019年，當(dāng)時(shí)的Maze勒索軟件已開始采取雙重勒索手段。Maze勒索軟件會(huì)在加密受害者文件之前先竊取其文件，它是第一個(gè)通過建立泄密網(wǎng)站來脅迫受害者并發(fā)布被盜數(shù)據(jù)的已知勒索軟件組織。這些攻擊者脅迫受害者付款，不然就解密他們的文件并公開他們的敏感數(shù)據(jù)。自2019年以來，勒索軟件組織越來越多地在行動(dòng)中采用泄密網(wǎng)站。

派拓網(wǎng)絡(luò)對(duì)這些通?？赏ㄟ^暗網(wǎng)訪問的網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，并通過研究這些數(shù)據(jù)確定趨勢。由于泄密網(wǎng)站在大多數(shù)勒索軟件組織中已司空見慣，因此研究人員經(jīng)常使用這些數(shù)據(jù)來確定勒索軟件活動(dòng)的總體水平和判斷某個(gè)勒索軟件組織首次活躍的日期。

派拓網(wǎng)絡(luò)編制的數(shù)據(jù)集顯示了2023年勒索軟件組織的演變以及受影響的行業(yè)和攻擊的地理分布。更重要的是，勒索軟件的活動(dòng)量反映了針對(duì)關(guān)鍵漏洞的零日漏洞攻擊所產(chǎn)生的大規(guī)模影響。

關(guān)鍵漏洞

派拓網(wǎng)絡(luò)在2023年觀察到勒索軟件泄密網(wǎng)站發(fā)布了3,998個(gè)帖子，較2022年的2,679個(gè)帖子增長了約49%?；顒?dòng)增加的原因可能是針對(duì)關(guān)鍵漏洞的零日漏洞攻擊，例如針對(duì)GoAnywhere MFT的CVE-2023-0669或針對(duì)MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。

CL0P聲稱對(duì)MOVEit傳輸漏洞攻擊負(fù)責(zé)。2023年6月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局（CISA）估計(jì)，因使用CL0P勒索軟件而出名的TA505組織在全球共入侵了約8,000名受害者。這些攻擊的規(guī)模迫使易受攻擊的企業(yè)必須縮短反應(yīng)時(shí)間，才能有效應(yīng)對(duì)這一威脅。但由于被入侵網(wǎng)站的數(shù)據(jù)數(shù)量龐大，這也迫使該勒索軟件組織作出調(diào)整。CL0P并不是唯一一個(gè)利用關(guān)鍵漏洞的組織。LockBit、Medusa、ALPHV（BlackCat）等勒索軟件組織通過對(duì)Citrix Bleed漏洞CVE-2023-4966發(fā)起零日漏洞攻擊，在2023年11月期間進(jìn)行了多次入侵。

在逐月查看勒索軟件泄密網(wǎng)站在2023年報(bào)告的入侵次數(shù)時(shí)，派拓網(wǎng)絡(luò)發(fā)現(xiàn)某些月份的入侵次數(shù)有所增加。這些增長與勒索軟件組織開始利用特定漏洞的日期大致吻合。但并非所有勒索軟件攻擊者都具備利用零日漏洞的能力。有些勒索軟件組織由缺乏經(jīng)驗(yàn)的攻擊者組成，他們會(huì)利用一切可以利用的手段。然而無論經(jīng)驗(yàn)是否豐富，攻擊者名單在不斷變化的威脅環(huán)境中一直在更替，2023年就新出現(xiàn)了一些勒索軟件組織。

2023年新出現(xiàn)的勒索軟件組織

鑒于近年來受害者支付的高額贖金，勒索軟件已成為網(wǎng)絡(luò)犯罪分子垂涎欲滴的收入來源。這些犯罪分子會(huì)組建起新的勒索軟件組織，只不過并非每次行動(dòng)都能成功或持續(xù)。新的勒索軟件組織必須考慮其他惡意軟件所沒有的問題，比如與受害者溝通和提高行動(dòng)安全性等。勒索軟件行動(dòng)的公開性增加了其被執(zhí)法機(jī)構(gòu)、安全廠商和其他防御者發(fā)現(xiàn)的風(fēng)險(xiǎn)。勒索軟件組織還必須考慮其競爭對(duì)手。在競爭激烈的勒索軟件犯罪市場中，利潤分配、軟件功能和成員支持會(huì)極大地影響一個(gè)新組織在該市場的地位。

盡管存在這些挑戰(zhàn)，但數(shù)據(jù)顯示2023年仍出現(xiàn)了25個(gè)新的泄密網(wǎng)站。這些組織至少已推出一個(gè)勒索軟件即服務(wù)（RaaS）產(chǎn)品，并希望成為勒索軟件市場中的有力競爭者。值得注意的是，這些網(wǎng)站中至少有三個(gè)是在2022年的某個(gè)時(shí)候開始活躍的。但派拓網(wǎng)絡(luò)在分析中將這些勒索軟件組織作為新組織的原因有二：第一，即使有分析表明這些勒索軟件組織在2022年某個(gè)時(shí)候已開始運(yùn)作，但它們都是在2023年才被首次公開報(bào)道。第二，要想在當(dāng)今的勒索軟件犯罪市場中嶄露頭角，泄密網(wǎng)站必不可少。據(jù)報(bào)道，有三個(gè)始于2022年的勒索軟件組織在2023年新建立了泄密網(wǎng)站，分別是：8Base、Cloak、Trigona。

泄密網(wǎng)站數(shù)據(jù)所反映的新組織數(shù)量揭示了勒索軟件犯罪市場的競爭激烈程度。在2023年新建立泄密網(wǎng)站的25個(gè)組織中，至少有5個(gè)在2023年下半年沒有發(fā)布新的帖子，這表明這些組織可能已經(jīng)關(guān)閉。然而，不在泄密網(wǎng)站上發(fā)帖并不一定意味著這些組織已經(jīng)停止運(yùn)作。這些組織的犯罪分子可能已經(jīng)轉(zhuǎn)移到其他類型的行動(dòng)中、從公眾視野中消失或與其他勒索軟件組織合并。如果其中一些組織沒有持續(xù)到一年，新的威脅行為者就會(huì)填補(bǔ)空缺。2023年下半年就有12個(gè)新的泄密網(wǎng)站發(fā)布了帖子，表明這些組織可能在這一年的下半年開始活動(dòng)。

這25個(gè)新泄密網(wǎng)站占2023年勒索軟件發(fā)帖總數(shù)的約25%。在這些新組織中，Akira的發(fā)帖數(shù)居于首位。Akira于2023年3月首次被發(fā)現(xiàn)并被描述成一個(gè)快速發(fā)展的勒索軟件組織。研究人員通過與Conti領(lǐng)導(dǎo)團(tuán)隊(duì)相關(guān)的加密貨幣交易將該組織與Conti聯(lián)系起來。2023年泄密網(wǎng)站發(fā)帖數(shù)排名第二的是8Base勒索軟件。8Base是自2022年以來活躍的勒索軟件組織之一，但該組織在2023年5月才開始公布受害者。

2023年泄密網(wǎng)站統(tǒng)計(jì)數(shù)據(jù)

通過分析泄密網(wǎng)站數(shù)據(jù)，可以深入了解勒索軟件的威脅程度。派拓網(wǎng)絡(luò)查看了2023年3,998個(gè)泄密網(wǎng)站帖子，這些數(shù)據(jù)揭示了最活躍的組織、受影響最嚴(yán)重的行業(yè)以及全球受勒索軟件攻擊最嚴(yán)重的地區(qū)。

組織分布

在2023年的3,998個(gè)泄密網(wǎng)站帖子中，LockBit勒索軟件仍然最為活躍，有928個(gè)組織，占到總數(shù)的23%。LockBit自2019年開始活動(dòng)以來幾乎沒有中斷，已連續(xù)兩年成為最猖獗的勒索軟件組織。隨著Conti、Hive、Ragnar Locker等組織的倒臺(tái)，LockBit已成為許多攻擊者首選的勒索軟件，這些攻擊者隨后成為該組織的成員。LockBit發(fā)布了多個(gè)可影響Linux和Windows操作系統(tǒng)的變體。通過改變免費(fèi)軟件工具的用途和利用LockBit的快速加密功能，成員可以根據(jù)自己的需要定制勒索軟件行動(dòng)。

泄密帖子數(shù)量排在第二位的是ALPHV（BlackCat）勒索軟件，約占2023年泄密網(wǎng)站帖子總數(shù)的9.7%。第三名是CL0P勒索軟件，約占2023年帖子總數(shù)的9.1%。CL0P因?qū)rogress Software的MOVEit和Fortra的GoAnywhere MFT等關(guān)鍵漏洞發(fā)起零日漏洞攻擊而出名。但CL0P在該組織泄密網(wǎng)站上報(bào)告的企業(yè)數(shù)量可能無法準(zhǔn)確反映這些漏洞的全部影響。例如，CL0P的泄密網(wǎng)站數(shù)據(jù)顯示，它在這一年中入侵了364家企業(yè)，但一份分析CL0P在2023年利用MOVEit漏洞的報(bào)告指出，有2,730家企業(yè)受到了影響。我們經(jīng)常發(fā)現(xiàn)泄密網(wǎng)站數(shù)據(jù)與實(shí)際影響之間存在差異，這個(gè)典型的例子正好反映了這一點(diǎn)。

月平均值和周平均值

派拓網(wǎng)絡(luò)共查看了3,998個(gè)勒索軟件帖子，這意味著勒索軟件組織在2023年平均每月產(chǎn)生333個(gè)帖子，相當(dāng)于平均每周發(fā)布近77個(gè)帖子。2023年的數(shù)據(jù)顯示勒索軟件活動(dòng)較2022年有所增長。

2022年的泄密網(wǎng)站帖子數(shù)量為2,679，平均每月223個(gè)，每周52個(gè)。2023年勒索軟件泄密網(wǎng)站的帖子數(shù)量較前一年增加了49%。

2023年泄密網(wǎng)站報(bào)告數(shù)量最多的月份是7月，共有495個(gè)帖子。CL0P可能由于大規(guī)模利用MOVEit漏洞，而成為當(dāng)月發(fā)布帖子最多的勒索軟件。泄密網(wǎng)站的帖子數(shù)量顯示，2023年1月和2月是勒索軟件最不活躍的月份。

受影響的行業(yè)

有些勒索軟件組織可能會(huì)以特定國家或行業(yè)為重點(diǎn)目標(biāo)，但大多數(shù)勒索軟件組織都是以盈利為主要目的投機(jī)主義者。因此，許多勒索軟件組織會(huì)攻擊多個(gè)行業(yè)的企業(yè)。2023年泄密網(wǎng)站帖子分布情況顯示，制造業(yè)受勒索軟件的影響最大，占到帖子總數(shù)的14%。這是由于制造商對(duì)其運(yùn)營技術(shù)（OT）系統(tǒng)的可見性通常有限，往往對(duì)網(wǎng)絡(luò)缺乏足夠的監(jiān)控并且有時(shí)未能落實(shí)最佳安全實(shí)踐。

地區(qū)影響

泄密網(wǎng)站數(shù)據(jù)顯示，2023年大多數(shù)受害者都位于美國，占帖子總數(shù)的47.6%；其次是英國，占6.5%；加拿大占4.6%；德國占4%。

自2019年泄密網(wǎng)站首次出現(xiàn)以來，美國的企業(yè)一直是勒索軟件的首要目標(biāo)。福布斯全球2000強(qiáng)企業(yè)榜單根據(jù)銷售額、利潤、資產(chǎn)和市值對(duì)全球各大企業(yè)進(jìn)行排名。2023年，美國有610家上榜企業(yè)，占福布斯全球2000強(qiáng)企業(yè)的近31%。這等于在告訴勒索軟件組織，該國是富裕目標(biāo)的集中地。

雖然勒索軟件組織傾向于以美國等富裕地區(qū)為目標(biāo)，但這一威脅仍是一個(gè)普遍的全球性問題。2023年泄密網(wǎng)站數(shù)據(jù)顯示，受害者至少覆蓋全球120個(gè)國家。

總結(jié)

從勒索軟件泄密網(wǎng)站帖子數(shù)量可以看出，2023年勒索軟件呈現(xiàn)日益猖獗的發(fā)展態(tài)勢，勒索軟件活動(dòng)明顯增加，并顯示了新出現(xiàn)的勒索軟件組織。

CL0P等勒索軟件組織紛紛針對(duì)新發(fā)現(xiàn)的關(guān)鍵漏洞發(fā)起零日漏洞攻擊，這讓潛在受害者不知所措。雖然勒索軟件泄密網(wǎng)站數(shù)據(jù)可以為了解威脅狀況提供寶貴的洞察，但這些數(shù)據(jù)可能無法準(zhǔn)確反映漏洞的全部影響。企業(yè)不僅要對(duì)已知漏洞保持警惕，還需要制定能夠快速應(yīng)對(duì)和緩解零日漏洞攻擊影響的策略。

保護(hù)和緩解措施

派拓網(wǎng)絡(luò)的客戶可通過我們內(nèi)置云端安全服務(wù)（包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering）的下一代防火墻更好地防范勒索軟件威脅。

Cortex Xpanse可檢測易受攻擊的服務(wù)。Cortex XDR和XSIAM客戶開箱即可獲得針對(duì)2023年所有已知主動(dòng)勒索軟件攻擊的保護(hù)，無需在系統(tǒng)中添加其他保護(hù)措施。Anti-Ransomware Module幫助防范加密行為，本地分析幫助阻止勒索軟件二進(jìn)制文件的執(zhí)行，Behavioral Threat Protection幫助預(yù)防勒索軟件活動(dòng)。Prisma CloudDefender Agents可監(jiān)視Windows虛擬機(jī)實(shí)例中是否存在已知的惡意軟件。