《2023勒索软件流行态势报告 202401.docx》由会员分享,可在线阅读,更多相关《2023勒索软件流行态势报告 202401.docx(81页珍藏版)》请在课桌文档上搜索。
1、第一章勒索软件攻击形势一、#(一)勒索家族分布Q主潦勒索软件趋势(三)笈密方式分布二、1.b*1.tfMH方式三、多勒索与敷渣露(一)行业统计(一)国东与地区分布(三)家族统计()逐月统计io(三)藤金范围(六)被赛取数据范围I1.(-t)披窃取数据类型12(八)敛据泄软的假面影痢及策滁剖析13四、勒索软件我艘更15(一)每月新增传统勒索情况15Q铅月新增双堇/多堇勒索情况16第二章勒索软件受害者分析18一、竞害者所在地域分布18二、*击H俄分布19三、受IF者所属行业20四、爻害者支付Mf1.Wi22五、 对受IF者影响大的文件类3822六、 受害身就受攻击后的度对方式23七、爻咨者美交反1
2、6*蜃务申请诉求24第三章勒索软件攻击者分析26一、 UMJM3IP26二、 勒索联系箱的供应U1.分布26三、 攻击手及27IQ日匈R口令破解攻击27Cr11128横向渗透攻击33共率文件35僵尸网络投港36其它攻击因素373GoeS学日全,外,36sx,金j(S四或展新通38一、 物索软件攻防发及情况38(一)剧模化系统化攻击频发38QA1.或成为未来勒索对抗关键点38(三)大型企业面隘新常态:双瘴勒索与日益严率的故据窃密39二、 勒索饮件的时护、处里与打击40(一)以创新英动反勒索技术发展安全技术新突破40(一)制度建没与完善41第五章安全建议42一、针对企业用户的安全建披42()发琰遭
3、受勒索软件攻击后的处理潦程42Q企业安全规划建设42(三)透受勒索软件攻击后的防拚措施43二、针对个人用户的安全建议44(一)养成良好的安全习惯44Q减少危幡的上网操作44(三)采取及时的补救措施44三、不建议支忖金4403、b件应急.45附录1.2023年勒索软件大事件47一、ESxIAKS勒索软件针对全球ESX1.s1.务号发动大烬模攻击47二、IBWSA物索软件对中石油印尼公司发动勒索攻击48三、MaeTMBSSAffi期*软件攻Mi1.k并勒索400万美元金49四、C1.OP勒索软件利用y(WE11发起大量功*攻击52五、TniYOUTnPASS攻击各类M、财务及VBB系统平台53六、
4、 潴敷码也勒索攻击Scmogb豉得M“七、 米育样度假忖JMb案攻击号数11JK俵关匍56人、迨传学公司232暮用户数在撞座攻击中被盗57九、多家大量机构遭通UX1.MT勘*软件攻击59十、一国南斯转法伦州通勒索攻击致72个城市网络11痹59附录2.360终端安全产品反勒索防护能力介绍63一、远控与勒索急救功能63二、独索8(服务67三、JS口令瞅能力67四、阵M能力69五、ImjR务洞攻击防护71六、向1电护管力71七、类权攻击防护733GOBSSII36OSSX9B三9*i,八、拄马网站防护能力73九、杓金部件附件防护74附录3.360解密大师75附录4.360勒索软件搜索引5276第一章
5、勒索软件攻击形势2023年,随着国内生产生活的逐步恢熨正常,叮之相关的各类信息安全何时也再度活跣起来.勒索软件攻击方面.2023年期索软件的整体传播态势较为平稳.影响较大的勒索事件仍时有发生,但类似于WannaC一类,造成全球性影响的勒索事件没有发牛.,这一点也与2022年人体上类似,在国际安全领域,新出现的勒索软件诸如ESXiArgs.Akira.INCRanSan与HUnIerSInternaIionaI展示了其破坏性能力.这些恶意软件利用安全漏洞和管理不善.侵入了众多大型企业的内部网络,导致关键设各损坏和关道数据被盗.在这些事件中.INCRanSom专门针对主要的机械制造I:厂进行精准打
6、击:HUnterSInternationa1.则将攻击焦点集中在医疗和药M行业上,甚至对美国海军的一个承包商实施了攻击:Akin1.的挑衅行为尤为突出其攻击了物国海威斯特法伦州的家关犍系统供应商,造成了该州72个市政杵业务的大面枳中断,至于国内情况,在2023年也面对了不秘定的安全挑战.有多家大型能源企业,金融企业,制造业企业先后遇到初案软件的侵袭,虽然这儿起事件均是分支偏门受到攻击,未直接影响整个集团,但这些入侵活动带来的业务损失和数据滑露的间接影响实曲不容小觑.而卜半年开始竹对中小企业服务器的攻击.也一口没有停歇,事件层出不穷.就总体攻击形势而言.2023年,国内的勒索软件攻击事件殳相对平
7、椀,这并非是由于初索软件的攻势放援,当前流行的主要勒索软件家族将更多攻击Ifi点转移到了大M、型集团企业.勘索团伙可以通过较少的攻击次数来获取巨大的W1.报.与此同时,更明确的攻击目标和更低的攻击频率也使于让攻击者制定更具针对性的攻击第略,这也间接的遑离了折次攻击的成功率.同时,延续了2022年的态势.国内自身的勒索黑产也逐步成里C粮据360安全大萌统计,2023年狭处理反勒索服务求助案例2750余例。反馈案例中,不仅浓个企业大面积中招的事件进一步增加,受攻击的政企单位双模与以往相比也有明显提升.由此可处勒索攻击所带来的影响可谓与日俱增.另外,我们还为533家企业或个人用户提供了勒索溯源分析蜃
8、务,涉及60余个家族,193个物索变种.本章将对2023年全年.360政企安全检测到的勒索软件相关邪件与数抠进行分析,并进行解读.一、勒索软件概况2023年全年,360反初索取务平台、360解密大师两个要道,一共接收井处理了用过2750位造遇劭索软件攻击的受古者求助.与往年相比,今年360所接收到的勒索求助案例数居有一定程度的降低.但整体攻击量与社会危害理货有增无减.*h36OSSXtt下限给出了在2023年全年,年月通过360安全卫士反勒的服务和360解密大加柔道提交小谙并最终确认感染物案软件的有效求助状情况,2023年勒索软件反m案例H2023年整体物索反愀很呈现相对平稳的趋势,考虑到20
9、23年1月包含春节假期,各类办公设备的开机Ift均较其他时段较少,并且即使道到助索攻击也会出现由于相关人属休假而未能及时发现等情况,因而1月的反馈品明显少于其他月份.Rfi后,在2月份观察到反馈状显著回升.这也与春节假期的结束不无关泰.在接下来的几个月中,反馈俄总体相对平稳.未出现较大幅度的波动.(一)勒索家族分布下图给出的是根据360反初索服务和360解密大怵数据所计算出的2。23年勒索软件家族流行占比分布图。*2023年反IB索服务处置劭索软件家族占比其中,PC端系统中Phobos、BeijingCrypt和Te1.IYoUihePaSS这三大勒索软件家族的受占者占比最多.TOPIO家族中
10、假得注意的是:一、Dhobus初素孜件家族在过去四年始终缴先,是传播历史最悠久的家族之一。尽管传播方式相对的.但其变种繁多,常见的变种会修改后撇为:eking、devos,aust等.二、在过去一年的观察中,Te1.IYOUThePaSS家族通信在周末或其他非工作时段集中爆发,通常在仔年的某几个月发起数次攻击,仔次持续1-2次.其主要通过Wob类漏洞对国内各种OA,财务、文档管理、图文视频系统等供应链软件进行有针对性的攻击,这使得其在TOP1.O家族中成为罕见的专注于漏洞利用攻击的康度.使得提的是今年Te11YouThePass家族在勒索信中明确引导受害者可以去某电商平台下战中(1商完成及终的
11、解密交劫.三、TargetConiwiny(Ma1.1.ox)、1.ockBit和Cry1.OCk(Trigona)这三个勒索软件家族通常采用传统的勃素桢式,但对十一些有价值的H标,它的通过数据怖取来提高赎金支付的可能性.目前.这三个家族已在暗网公开发布受害者的数据,四、在今年的ToPIo家扶中,未发现新兴的初案软件家族.但传统的勃索家族传播势头依然强劲.安全形势依旧不容巨目乐观-五、在今年未进TOP1.O的家族中,Cerber今年的新变种利用跨平台温洞CyE2023-22518在11月1.inux下大在2023年4月,Cry1.oCkarigOna)勒索软件家族推出了多重物相粳式.导致国内普
12、通受含者感染数量显著下降,部分月份甚至出现0感染的情况.然而,公开数据显示,自该月开始,该家族在暗网公开发布r3。个受铐姐织/企业的数据.并将受害者数据进行拍卖.目前,这些数据的起拍价在5万至50万美元之间.传播.同家族变种在Windg平台F由于360主动防御系统可在默认状态下对“利用该漏洞的攻击”进行拦战,郁詈360主动防御系统的设茶无受害者,从整体数楙t2023年针对1.inux与Mac平台的勒索攻击相比2022年也有所上升.(二)主流勒索软件趋势我们汇总r2023年的各月的勒索软件家族月度感染I1.TQP1。数据,发现仅她过摒口令进行传播的p1.xbobsxBuran初索软件家族感染氧相
13、对平和:同时通过伪装成破解软件激活工具的Stop劭索软件家族在今年出染量也趋于相对平程:而通过其它渠道进行传播的勒索软件家族则受传播柔道本身的不稳定性影响.对应的盛染Ja波动也会相对较大.例如:在2023年的6月、8月、9月、I1.月和12月,Te1.IYouThePass初索软件家族利用漏涧发起了段时间的持然攻击,导致受古老数量相对较高.这些攻击通常具有Si度的针对性和持续性,因比这段时间被感染的受害者数收相时其他月份较高.,2023年血素软件家族占比月度变化志势1wn川W1.mnmn*4mantjmtJm”网u*11IWTtonwnwunnmu:oaMV,tapCaaBMMMMM1UtfM
14、Mvdkfek*mChMW1.W1.反劭率用务统计后*(三)加密方式分布我们对在2023年仍在传播且具有一定代表性的勃索软件家族迸行了深入分析,我加统计了谷家族所采用的编程语言、加密算法以及非对保密钥生成方式,这些家族采用多种技术来加密文件,其中包柄但不限干RSA、AES、ChaCha20、Sa1.Sa20等算法.以下是J1.体情况:家族名称编译语官加窗算法车对称需物生成ESXiArgscRSA1024Sosemanuk内置RsATO24公钥BeijingCryptcRSA1024AES256内置RSA1024公铜BIackCatRustRSAIo24AESChacha20内JIRSA-Io2
15、4公钥BIackMattcrCRSA1024Sa1.sa20内ItRSA-1024公钥BuranDe1.phiRSA2048/512AES2S6内置RSA204B公钥内置算法生成RSA-512密钥对KnightGdangChaCbaZOAES256内置RSA-1024公铜FunOtRSA2048AES256内置RSA1024公钥HuntersGoRSA4096内部实现流加密内置RSA4096公钥1.odcBttC”RSA1024内部实现ChMa20内置RsA-Io24公钥1.okiORSA2048AES2S6内置RSA2048公钥CSP生成RSA-2048密钥对MagniberMASMRSA1
16、024内聋RSA-Io24公钥AES128MakopCRSA1.o24AES2S6内RSA1024公钥Medusa1.ockerCRSA2048AES256内置RSA-2048公钥MoneyMeSagCCChaCa20ECDHECDH生成密彷对phobosCHRSA1024AES256内聋RSA-Io24公钥RansomEXXRustRSA4096AES2S6内置RsA.4096公钥RhysidaGdanQChaCbdZORSA4096内置RSAY096公胡StopCRSAIo24aa1.sa20远程下致文件中的RSA-1024公钥Te1.1.youthepassORSA1024AES256内
17、餐RSA-IO24公钥RSACrypcePrvde生成RSA-1024定到对TrigonaC+RSA4096AES2S6内置RSA4096公钥2023年代表性初东收件宓族编”出言及以法实现方案经汇总整理后发现.当IW主流的勒索软件家族在核心的加密功健层面履现出的“技术趋同”特性越发明显.其具体的变现为: 核心的加密方案均采用:“对称加密算法加密文件+非对称加密算法加密对称加玄法密物”的多级加密逻辑.以此施腴整体的加密效率与知度. 初始密钥均采用内置昨对称加密公税的方法.来寻找强度。灵活性的平衡点. 大多勒密软件均会采用分片加密或头部数据加密等手段.在保证受害者数据“不可用”的前提下进一步提开加
18、密速度.而这些共性也是勒索软件与安全厂商在长期的对抗中找到的一个较为成熟的标准化方案,而随祐近些年RaaS的运莒模式普及,这一均势的形成也在进一步的加速.预计今后可以在较大葩阳内传搭的主流勃索软件均会采取上述的.加密模式实族自己的加密工作.二、勒索软件传播方式下图展示了2023年攻击者在投放物索软件时所采用的各种攻击方式的占比情况。根据统计可以观察到;远程见面入侵仍然是导致用户计口机超染勒索软件的主要途径:其次是通过利用漏洞进行勒索软件的投放.值得注意的是,通过利用漏洞和数据库弱I令导致中招的案例相较于往年显著上升.经由针对勒索物件在2023年的态势进行分析,发现共传播I;入口方式呈现出上述占
19、比分布的主要原因如下:一、远程桌面入侵通过远程戊面入侵依然是国内G频发的初索攻击原因,这K中既涉及中小企业,也不乏大中型企业.配置管理不当是坡主要原囚.二、漏洞利用2023年通过漏洞利用发笈的物索攻击玻显著增加,这其中,主要是斜刻UCb服务器的漏洞攻击,尤其F半年以来,几乎伟冏都有针对Web服务的成规模攻击事件发生,典型的如te1.Iyouthepass家族,多次针对0A、财务类Web系统发动攻击,单次攻击的双模从数千台到上万台不等.对外提供服务的各类应用系统,是防范初索攻击的生中之重.今年漏洞利用攻击的另一大特点是,针对企业基础服务平台、边界设招的漏洞攻击,比如针对VMuareESXI.MM
20、EIT,CitriXNetSCaIer等的漏洞攻击,i洞有nday,也有Oday.此类攻击对大型企业杀伤力巨大.国内外众多巨头企业,因此中招,甚至出现数据被窃取的情况.比如年中爆出的MOTErrSQ1.注入漏洞.造成数干浜企业被攻击影响人数超千万人.三、数据库期口令此类攻击经常造成数据库数据被饰取.内容被加密.郃分攻击者也会嘤试她过数据阵服务,迸步入侵服务器主机.管理不当是其主要原因.三、多重勒索与数据泄露近年来,通过双重物索或多重物索模式获利的勒索软件攻击团伙越来越多,勒索软件所带来的数招泄露的风险也急峭增加.本章将通过Gdark1.racerint和HaCkI1.anaC提供的数据进行多维
21、度分析,该数据仅反应未在第一时间城纳赎金或拒缴纳藤金企业情况.(一)行业统计从行业划分来籽,制造业、租僧商务与服务业(多行业合并数据)、通信与互联网i信网络)、批发等伊(多行业合并数据)、金融分舛行业分布的前五位,这其中通信网络行业遏攻击的数I1.t占比与往年相比有所提升,与卜半年一些漏洞攻击事件有紧密关联,各类制造企业、实体经济行业依然是被攻击的主要群体.而金融行业.一旦以来是勒索攻击的重要目标.作名长期保持在前五.此外.数据库漏洞的利用批提升也同样对通信网络行业受到攻击有新一定程收的杉响.当然,数据库应用实际上在各个行业的大中型企业中均有依为官方的应用,所以这一类型训词的利用Jft增加实际
22、上对所有大中型企业的安全均构成了不容小戴的威胁.(二)国家与地区分布从近刎数据泄露机构所在地分布情况来在,美国的占比相依于2022年有明显提高,H1.过四成半的占比再度回到了与2021年之前DUS.当然,这不仅是因为美国大里跨国企业众多且各类网络设备应用守方.也与其发达的云服务产业与设备托管业务有着直接关系.2023年受If1.e泄密修啕机构所在地ToP1.O6rv卜图为根据全球地区分布数据所绘制的更加直观的地区分布图:2023年JHBg泄珞影啕机构所在地全球分布aatWft(X)rdafktrMr-nt9H4cIMjjc关于该数据侑得注意以下两点:1 .与往年情况类似,该数据来源均为各物索软
23、件为了更有效的展开勒索而自行公开的数据,这也导致由于美国机构的知名度更高而更容易成为勒索软件用于挂牌展示的“招牌”.但这并不意味若察自箕他国家或地区的机构受到勘索攻击的数计就更少或受到的威胁更九2 .从数据来行,2023年我国受数据泄苑影响的企业排名数有所卜肾.显然,与近年来国内政策的完;%各政企单位自身对网络安全的成视度提升有着密切的联系.但国内企业被勒索攻击的维时数量仍然比较密.以勒索攻击为代表的网络安全问四仍是个不容忽税的威胁,国际上层出不穷的勒索找件团伙依田虎视眈眈,一旦放松警惕,他In便会何机而动.(三)家族统计2023年参与双重/多重勒索活动的勒索软件家族共计65个。这一数眼与20
24、22年相同.但具体的家族有所更替.仅跻身ToP1.O的家族中,就有8Base、Akira两个“后起之秀”,具体的柞名与占比如下图所示.IUdarktrxf,int9H4ckMnjc在姓过分析2023年双乐/多血物索软件威肺的前IO名家族中,我In发现1.ockBi1.初索软件家扶依然占据着该领域的主导越位,虽然其在2。22年的份额有所下降,约降低了10个百分点,但其以超过20%的份撇蟹守茶祈主的位W,过去一年先后攻击了波音、英国皇家邮政、台枳电等数千家大型企业,同样值得关注的是B1.aCkCaI,其份额和排名都表现他定,基本与前一年持平。而CK【,家族,利用2Q23年广受关注的MOVEitTr
25、ansfer漏洞,发起了大境模的攻击,采取1猛烈的侵入手段.尬终在榜第上升至第三位,挑战BIiICkea1.的地位.同时值得一提.8Base、Ma1.as1.ocker和Akira三个新兴的勒软件家族在2023年初次亮相就已经表现出其技术实力和高效的攻击能力。它们迅速梁祝广大量受害企业,分别占据了第五和并列第七的位置,其中8Base攻击了284家.而Ma1.as1.ocker和Akira各自攻击了171家企业。这些数据显示了新媒家欲提起的迅猛势头,对现有的网络安全防线构成/产暇的挑战,2023年各月受Ing泡塔影响机构数?干干T吃h36OSSX(四)逐月统计从数据泄露的相关统计来看,总体件一定
26、的波动,他并未出现较大规根的爆发现象、36OW992023年各月的数据泄露机构故也与往年相比虽然显得格外平和,但依然可以看出在3月、5月及11月分划出现了三波较为明显的波峰.结合己知的勒索事件判断,5月份的最j峰与C1.OP勃索软件利用的MoYEitTransfer漏洞展开大境模的入侵及勘索活动有者较强的关联性:与之相似的,I1.月的这波攻击潮业余CitriXB1.eed漏洞仃关:而根擀分析,3月的高峰则jMedusa勒索软件的肆电有着一定的联系.(五)赎金范国对双爪/多血劭素软件家族向受害者索要般金金额进行统计,情况与2022年并无显潦变化.大多数家族依然怪向于珞赎金定在10万美元至100万
27、美元范闻内,这部分占比接近7R.这也说明大多数的企业为了机密数据不被泄得而愿急支付的金额也往往在这区间范围内.而勒索金歆在100万至1千万关元区间段的则占到了8%.推测这主要还是由被攻击的组织/企业规模、苕业以及数据双要性等多方面因索所决定,至于勒索金额超过1千万美元的情况,则大多为一如子人开口”的情况,往往并不会火的以这个金颔成交。大金额初案案件的用终结果通常是私下讲价和解或被受击者直接Ai视.打叔Oahdarktrxf,int9H4ckM11jc需要说明的是,以上数据仅是根据已公开的勒索金能进行统H.并非所仃的勒索事件所涉及的赎金金额都被公开.并且公开佥领也并不定是收终成交的立文数值.故此
28、,该数据能在一定程度上作为畲考.(六)被窃取数据苑围些勒索收件家族为了证明其窃取到数据的可信性,可能会在公开被初取数据的受古音幺单时一同披雷被窃取数据的总大小.此外,还会有一些家族必然并不会直接公布场取到的数据大小,但在受害组织/企业拒葩支向赎金后他们则会将窃取到的数据直接公开,通过对这些被讨取数据(向总大小进行统计,发现2023年班次入侵后所例取数据的总大小通常在IoGB以上,这部分占比接近9成,而进一步划分后则发现各区段的占比较为平均,推测这与攻击者所能入侵的设备量、被入侵设备中的数据累、攻击者在被人发网络中潜频的事件以及网络状态等多方面因素均有关系.2023年已知泄密事件数据分布tWit
29、(X)eMarktracer.int9H4ckMnjc(七)被窃取数推类型2023年,我们还分析了遭泄露数据的类型分布情况.由于这些数据的类坐情况均来自于各勒啜软件家族的自行归类.所以具分类标准和描述名称也必然存在一定程度的差异.故比这部分数据可能并不非常再说,但我们依然可以从中获取一些有价值的信息。从占比中不难若出,财务类数期以超过2成的占比排在第一位.而与之性质类似的税务数擀也有超过2%的占比。依这两项放在一起,就有接近2代的数据是和“钱”有关的.这就说明了攻击者还是更青味这些与钱直接相关的信息以求依高效的变现策略,此外,个人、身份、客户、员工、人资等与个人咯私相关的数据类里也都占比较高,
30、若合并计算其占比更是接近总员的三分之-这主要是因为此类数据更常见也更与狭取同时也能被利用来进行的做、诈明等社工攻击。再何就是合同/协议类数据以及其他一些机密数据.这些数据自然是因其高度的机密性而使更好的作为攻击者进行勘索的筹码,但与前两类数据相比,此类数据并不容切变现毕竟其敢要性更多的取决于受害方的想法和心态.2023年泄曳助8类矍占比(八)数据泄露的负面影响及策珞剖析在数字化已经普及的今天,数据泄需所带来的影响是多方面且深远的,常嫌肋索一一爆客通过加密关槌数据来遢迫用户支付赎金。这类攻击相对来说己的.成熟的防御策略,企业用户通常会通过定期备份等手段,踊保在数据受到破坏的情况下仍使迅速恢复正常
31、运作.在这一局面下,多亚勒索也就应用而生,其中数据勃索因其额外施加的压力,而变得尤为流行.它通过从多个方面施加压力,迫使受害企业就衽,提升支付赎金的概率,数据初案的主要危击包括以下几种,声#恐吓声誉恐吓通常会引起品牌声誉受损,进而导致客户信任您的流失。其实做策略形式多样,主要的有如下两种:、攻击者通过盗取的数据联系客户,利用电话、电子却件等通路警告客户数据可能己被黑客窃取,旨在1.动与受害公司的商业信任;二、攻击者经常与媒体接触,促使后者报道这一事件,从公共舆论层面对受害姐织施演额外压力,值得注意的是,制分勘索软件团伙趺至潍护自有的媒体关系来放大其戒胁.在这种情况下,如果受害并拒绝支付麻金,勒
32、索团伙便公采取措施向媒体投递企业被攻击的事件.这能有效地施压受害者,某些攻击团体更是会在段金谈判页面粘贴新闻报道链接,使威胁更和具体且有说服力.竞拍机也可以最大化贩卖爱占者数据所得的收益.当前,善法数据何灾产业己非常成熟.勒索软件团伙也在通过数据的我的方式一方面迫使企业支付败金.另一方面扩大自身收益.就比如1.ockBit勒索团伙,就大量出伸企业数据。其曾出仰德意志银行60G的数据资料,还叫价50比特币出售过国内某企业数据等.这些勒索团伙还建立了自己的数据港苑网站来公布出的数据的情况.另外,根据我们掌握的数据窃密攻击团伙辨点,这些团伙在数据窃取前,会先收集被攻击这边的目杀结构与文件采样信息,之
33、后针时特定类型的文件进行窃取,而在对用户进行恐吓时,会号称G取了用户全部的文件.1.EAKEDDATAmdQkri|n,e.b3GOBSSII36OSSX9B三9*i,四、勒索软件家族更替(一)每月新增传统勒索情况360安全大脑监控到.每月都不断有新的勒索软件出现.以下是2023年每月新出现的传统勒索软件(仪通过加密文件对受害者进行初索)的部分记录信息,共计66Sk:月份新增传统勒索软件2023年1月Mimic、SiCkFiIe、Upsi1.on,BetterCaIISauI2023年2月Masons、DoDo,ESXiArgs2023年3月Mer1.ins7262023年4月Cfoss1.o
34、ck、UNIZA、RTM1.ocker2023年5月OkHacked,PwPdvI、TargetWareTwoFactor2023年6月KannxANUB1.Z、Azadi、UdaigenTUGA、Anti-us.Havoc2023年7月XREDxResq,DEADbyDAWN.Khronos.Architects.Dump1.ocker.B1.ackBerserk、1.umar2023年8月TrashPanda.Phas,HanvardsSHO、Retch、FreeWorId,PayOIa、DontCry1.oIxKuiper2023年9月Riva1.、A1.varoxGroundingCo
35、nductorsAnonTsugumi,1.attice,NoBit、EIdmCh、Days1.ocker2023年20月NightCrov/,E1.ectronic.Byee、PePeCry、EarthGressJarjets.MadCat、B1.ackDream、CATAKA、Ran2023年11月1.amdba、Recjans.B1.aCkOU1.Ware、WhiteHorseDangerSiker,Janus1.ocker2023年12月BIack1.egionxFunransomvare2023“:本”新增%及助求软件*极针对以上新淄勃索软件家族,我们为典中儿个典型家族进行具体的说明
36、:ESXiArga2023年2月初索团伙人规模利用VMwareESXi服务涔的远程代科执行满洞(CYE-2021-21971进行攻击,部署新的ESXiArgs勒索软件,早期版本的勒索攻击受到虚拟机软件的特性影响,多数受宙用户通过ESXi的恢星指南与恢史脚木免费原置了虚拟机并帙史了数据.但随后初索软件的续版木很快施补了这一帙史方式。该家族采用RSAtT法加洛密铜,SoSCrKUn1.k流密科算法加密文件,Soscirenuk算法的运用与Babuk家族ESXi版本变种泄露的沏代码存在IfiSra相似性,I可时该源代码已被其他网样针对ESXi平台的勒索软件使用过.例如CheersCrypt、Prid
37、e1.oCker等物索软件.KannKann初案软件家枚髭早出现于2023年6月,主要使用远程桌面与数据库弱口令攻击进行投毒.击目标主要为中国地区,并梃供了中文的勒索信文档.Anti-UtAnti-s衲索软件家在最早出现干2023年6月,勃索信中留下了黑客附箱的联系方式,快灾数据图要以比特币加密货币支付8000美元以上的收金,具体的贱金金糊极招不同的病毒版本有所差异。S.H.0SJ.0物索软件家族蚊早发现于2023年8月.加密后对文件修改为5位英文字母大小写的机,且此病毒支符通过USB方式进行传播,在劭索信中表示由于作着心情愉悦所以仅要求用户支付200美金.并明确告知受害者即使付了款也不会进行
38、解定。并要将成要数据被加密的痛苦永远留给受古者.其在10月份的变种勒索信的口吻大致相似,除了留卜比特币钱包地址外,还留下了市安智能链地址.FunransarareFunransnMaIas1.ockers8BASExB1.ackSurtCyCIOps2023年6月DarkRace,RhysidaNoEscape2023年7月Cactus2023年8月INCRansom.Metaencryptor.PeaceTaxAgency.C1.oak、RansomedVC2023年9月CiphBitvThreeAM、1.ostTrust2023年10月HuntersInternationa1.2023年1
39、1月MEOW2023年12月DragonForce2023年各月新婚以瓜,,多熨劭家软件家族针对以上新增双重/多用勒索软件家族,我们对其中几个典型家族进行具体的说HJh8Base2022年3月8Base勒索软件团伙首次亮相,并在2023年6月开始活妖,持续对全球祖织发起双班助索攻击,导致受占者不断增加.8Base使用的是PhcIboSV2.9.I勒索软件的定制)版本,通过Smoke1.oader1.niH.Phobos是一种针对WindoWS平台的RBaS模式的勒索软件家族.于2019年首次出现,与Dhanna勒嘴软件手法有很多相似之处.8Base的攻击目标主要为针对中小型公司.受告者主要集中
40、在美洲和欧洲.AkiraAkira勃索软件家族最早出现于2023年3月,采用多亚勒索运营方式.AkiraI1.1.ttffi他们的数据泄露网站上投入了大fit精力.赋予共发古的照底绿字的命令行桃作外观.该团伙索要的赎金范阳从20万美元到数仃万美元不等.在2023年6月该家族新增了1.inUX版本.针对VMWareESXi虚拟机进行勒索加密,2023年8月起该家族枳极利用思科Cisco的VPNM洞CVE-2023-20269发起勒索投毒攻击.被该出织勒索的知名厂商包括雅马哈音乐、FI产Nissaiu美国能源公司BHIEnergyINCRansoaINCRansom于2023年8月浮出水面.针对医
41、疗保健、教1.和政府等各个部门的组织进行双重勒索攻击,该家族的攻击方式主要咐过做叉式网络的他电子却件访问目标网络,同时也会利用漏洞与横向移动进行攻击。典型的漏洞利用例如Citrix平台的CVE-2023-3519漏洞.目前己知被该组织勃索的知名公司有雅马哈汽车.Knight2023年5月CyC1.Ops初索家族首次亮相,并于2023年9月更名为Knight(别名CyC1.Ops2.0).此家族的物索物件采用G。Iang语才编写.运用ChaCha20+AES256算法进行加密.支持主的诧作系统包括UindoVs、1.inUx、macOS.ESXi、Android平台.Knight勒索家族区别与其
42、他同类型的勒索家族的一个显著特色是提供高度的定制化支持,包括为每个特定目标使用不同的TOR城,用于更新找包支付的自动系统等.Knight自称是支来自俄罗斯和欧洲的四人团队,他们与其他勒索团队如1.oCkbit和Babuk付联系.此勒点如织正枳极招募新成员加入他Ir1.的勒索软件开发与分发团队.HuntersInternationa1.HuntersInternationa1.初索软件家族出现于2023年10月,声称其购买了被警方抓捕的HiVe勒索软件祖织的源码后进行正新编写,同时惜正了原始代码中在部分场景Z会导致无法解密的Bug.目前已知被该组织物索的购量受害否包括美国海军承包商AUSta1.1.SA、台湾医疗美容与保健品制造商TC1.美国癌症研究和忠者护理与治疗中心FredHUtCh等.中干干T吃,ib36OSX第二章勒索软件受害者分析基于360反勒索服务,求助用户所提供的信息,我们对2023年全年遭受勘密软件攻击的受害人群做了分析,在地域分布方面并没有显著变化,依旧以数字经济发达地区和人U港集地区为主.而受感染的操作系统、所属行业则受今年流行的初索软件家我彰响,与以往有较为明显的变化,一、受害者所在地域分布以下是对2023年攻击系统所网地域采样制作的分部图,总体而吉地区排名和占比变化波动始终均不大.数字经济发达堆区仍是攻击的主要对软.,2023年全0各触区Ib素软
