360數字安全：2023年勒索軟件流行態勢報告（83頁）.pdf

《360數字安全：2023年勒索軟件流行態勢報告（83頁）.pdf》由會員分享，可在線閱讀，更多相關《360數字安全：2023年勒索軟件流行態勢報告（83頁）.pdf（83頁珍藏版）》請在三個皮匠報告上搜索。

1、2023 年勒索軟件流行態勢報告能力中心反病毒部2024 年 1 月前言本報告以 360 數字安全集團能力中心反病毒部（CCTGA 勒索軟件防范應對工作組成員）在 2023 年全年監測、分析與處置的勒索軟件事件為基礎，結合國內外與勒索軟件研究相關的一線數據和新聞報道進行全面研判、梳理與匯總而成。報告聚焦國內勒索軟件的發展動態，同時融入國際熱點事件與形勢的分析判斷，旨在評估 2023 年勒索軟件傳播與演化趨勢，并深入探討未來可能的發展方向，以協助個人、企業和政府機構更有效地制定安全規劃，降低遭受勒索攻擊的風險。360 反病毒部是 360 數字安全集團的核心能力支持部門，由一批常年奮戰在網絡安全一

2、線的攻防對抗專家組成。該部門負責監測、防御、處置流行病毒木馬以及研究新安全威脅。維護有 360 高級威脅主動防御系統、360 反勒索服務等基礎安全服務，并提供橫向滲透防護、網絡入侵防護、Web 服務保護、挖礦木馬防護等多項保護功能，保護廣大網民的上網安全。摘要360 反勒索服務全年共完成處理超 2750 例勒索軟件攻擊求助，顯示勒索軟件攻擊仍是不容忽視的威脅。2023 年勒索軟件攻擊的傳播態勢平穩，但大型企業受到的攻擊有增無減，勒索軟件家族針對大型企業采取更具針對性的攻擊策略。國內流行勒索軟件家族以 phobos、BeijingCrypt 和 TellYouThePass 為主，這三大勒索軟件

3、家族的反饋占比超過 51%。勒索軟件傳播手段多樣化，遠程桌面協議（RDP）弱口令和數據庫弱口令依然是最主要的入侵途徑，同時漏洞利用攻擊的攻擊數量增多。各勒索家族的核心加密功能進一步同質化，RaaS 運營模式更為普遍。2023 年新增的主流勒索軟件家族均無法通過技術手段解密。分析了遭竊取數據的類型以及數據泄露的負面影響，財務類數據和個人隱私數據是最常被竊取的。雙重勒索或多重勒索模式的贖金索求逐漸成為主流，支付贖金的受害者比例有所增加，LockBit、BlackCat(ALPHV)、CL0P 三大家族領頭，其中 Akira、INC Ransom、HuntersInternational 等新晉雙重

4、/多重勒索軟件家族更是實施了多起值得關注的大型攻擊事件。雙重/多重勒索的重點攻擊目標鎖定在制造業、通信與互聯網、金融行業。公開的被勒索企業方面，美國依舊遙遙領先，處于榜單第一，中國跌出前十。雙重/多重勒索軟件所勒索的贖金金額通常集中在 10 萬100 萬美元的區間內，這一區間的贖金金額占比超過 7 成；而竊取的數據量則大部分在 10G 以上，更有超 2 成案例竊取了 500G 以上的數據，而被盜數據中又以財務數據和個人隱私數據為主。廣東、江蘇、北京三省市遭勒索軟件攻擊最多。而受到攻擊的系統類型雖然依舊是桌面操作系統占比稍高，但各類服務器系統的占比也迎頭趕上。同時勒索軟件對服務器系統的入侵進一步

5、細化，不少勒索家族都開始針對 NAS 類系統和 Linux 服務器進行有針對性的軟件開發及入侵?？蒲屑挤?、貿易零售、制造業成為國內最受勒索軟件的主要目標，這三個行業，信息化程度較高，對信息系統依賴較為強烈。能源行業首次進入國內被勒索攻擊行業 Top10。在攻擊 IP 來源方面，俄羅斯是勒索攻擊 IP 的第一大來源地，而德國、美國等地則緊隨其后。隨著 Gmail 逐漸受到勒索軟件作者的喜愛，勒索軟件聯系郵箱中的匿名郵箱占比降至 76%左右。在安全技術發展方面，2023 年反勒索技術又有多項技術突破，包括預警服務、勒索解密技術、攻擊識別技術等。目錄第一章勒索軟件攻擊形勢.1一、一、勒索軟件概況勒索

6、軟件概況.1(一)勒索家族分布.2(二)主流勒索軟件趨勢.3(三)加密方式分布.4二、二、勒索軟件傳播方式勒索軟件傳播方式.5三、三、多重勒索與數據泄露多重勒索與數據泄露.6(一)行業統計.7(二)國家與地區分布.8(三)家族統計.9(四)逐月統計.10(五)贖金范圍.11(六)被竊取數據范圍.11(七)被竊取數據類型.12(八)數據泄露的負面影響及策略剖析.13四、四、勒索軟件家族更替勒索軟件家族更替.15(一)每月新增傳統勒索情況.15(二)每月新增雙重/多重勒索情況.16第二章勒索軟件受害者分析.18一、一、受害者所在地域分布受害者所在地域分布.18二、二、受攻擊系統分布受攻擊系統分布.

7、19三、三、受害者所屬行業受害者所屬行業.20四、四、受害者支付贖金情況受害者支付贖金情況.22五、五、對受害者影響最大的文件類型對受害者影響最大的文件類型.22六、六、受害者遭受攻擊后的應對方式受害者遭受攻擊后的應對方式.23七、七、受害者提交反勒索服務申請訴求受害者提交反勒索服務申請訴求.24第三章勒索軟件攻擊者分析.26一、一、黑客使用黑客使用 IPIP.26二、二、勒索聯系郵箱的供應商分布勒索聯系郵箱的供應商分布.26三、三、攻擊手段攻擊手段.27(一)口令破解攻擊.27(二)漏洞利用攻擊.28(三)橫向滲透攻擊.33(四)共享文件.35(五)僵尸網絡投毒.36(六)其它攻擊因素.37

8、第四章勒索軟件發展新趨勢分析.38一、一、勒索軟件攻防發展情況勒索軟件攻防發展情況.38(一)規?；到y化攻擊頻發.38(二)AI 或成為未來勒索對抗關鍵點.38(三)大型企業面臨新常態：雙重勒索與日益嚴重的數據竊密.39二、二、勒索軟件的防護、處置與打擊勒索軟件的防護、處置與打擊.40(一)以創新驅動反勒索技術發展安全技術新突破.40(二)制度建設與完善.41第五章安全建議.42一、一、針對企業用戶的安全建議針對企業用戶的安全建議.42(一)發現遭受勒索軟件攻擊后的處理流程.42(二)企業安全規劃建議.42(三)遭受勒索軟件攻擊后的防護措施.43二、二、針對個人用戶的安全建議針對個人用戶的安

9、全建議.44(一)養成良好的安全習慣.44(二)減少危險的上網操作.44(三)采取及時的補救措施.44三、三、不建議支付贖金不建議支付贖金.44四、四、勒索事件應急處置清單勒索事件應急處置清單.45附錄 1.2023 年勒索軟件大事件.47一、一、ESXESXI IA ARGSRGS勒索軟件針對全球勒索軟件針對全球 ESXESXI I服務器發動大規模攻擊服務器發動大規模攻擊.47二、二、M MEDUSAEDUSA勒索軟件對中石油印尼公司發動勒索攻擊勒索軟件對中石油印尼公司發動勒索攻擊.48三、三、M MONEYONEYM MESSAGEESSAGE勒索軟件攻陷微星并勒索勒索軟件攻陷微星并勒索

10、400400 萬美元贖金萬美元贖金.49四、四、C CL L0 0P P勒索軟件利用勒索軟件利用 MOVEMOVEITIT漏洞發起大量勒索攻擊漏洞發起大量勒索攻擊.52五、五、T TELLELLY YOUOUT THEHEP PASSASS攻擊各類攻擊各類 OAOA、財務及、財務及 W WEBEB系統平臺系統平臺.53六、六、香港數碼港遭勒索攻擊致香港數碼港遭勒索攻擊致 400GB400GB 數據泄露數據泄露.54七、七、米高梅度假村遭勒索攻擊導致米高梅度假村遭勒索攻擊導致 ITIT 系統關閉系統關閉.56八、八、遺傳學公司遺傳學公司 2323ANDANDM ME E稱用戶數據在撞庫攻擊中被盜

11、稱用戶數據在撞庫攻擊中被盜.57九、九、多家大型機構遭遇多家大型機構遭遇 L LOCKBITOCKBIT勒索軟件攻擊勒索軟件攻擊.59十、十、德國南威斯特法倫州遭勒索攻擊致德國南威斯特法倫州遭勒索攻擊致 7272 個城市網絡癱瘓個城市網絡癱瘓.59附錄 2.360 終端安全產品反勒索防護能力介紹.63一、一、遠控與勒索急救功能遠控與勒索急救功能.63二、二、勒索預警服務勒索預警服務.67三、三、弱口令防護能力弱口令防護能力.67四、四、數據庫保護能力數據庫保護能力.69五、五、W WEBEB服務漏洞攻擊防護服務漏洞攻擊防護.71六、六、橫向滲透防護能力橫向滲透防護能力.71七、七、提權攻擊防護

12、提權攻擊防護.73八、八、掛馬網站防護能力掛馬網站防護能力.73九、九、釣魚郵件附件防護釣魚郵件附件防護.74附錄 3.360 解密大師.75附錄 4.360 勒索軟件搜索引擎.761第一章 勒索軟件攻擊形勢2023 年，隨著國內生產生活的逐步恢復正常，與之相關的各類信息安全問題也再度活躍起來。勒索軟件攻擊方面，2023 年勒索軟件的整體傳播態勢較為平穩，影響較大的勒索事件仍時有發生，但類似于 WannaCry 一類，造成全球性影響的勒索事件沒有發生，這一點也與 2022 年大體上類似。在國際安全領域，新出現的勒索軟件諸如 ESXiArgs、Akira、INC Ransom 與 Hunters

13、International 展示了其破壞性能力。這些惡意軟件利用安全漏洞和管理不善，侵入了眾多大型企業的內部網絡，導致關鍵設備損壞和關鍵數據被盜。在這些事件中，INC Ransom 專門針對主要的機械制造工廠進行精準打擊；Hunters International 則將攻擊焦點集中在醫療和藥品行業上，甚至對美國海軍的一個承包商實施了攻擊；Akira 的挑釁行為尤為突出，其攻擊了德國南威斯特法倫州的一家關鍵系統供應商，造成了該州 72 個市政府業務的大面積中斷。至于國內情況，在 2023 年也面對了不穩定的安全挑戰。有多家大型能源企業，金融企業，制造業企業先后遭到勒索軟件的侵襲。雖然這幾起事件均

14、是分支部門受到攻擊，未直接影響整個集團，但這些入侵活動帶來的業務損失和數據泄露的間接影響實屬不容小覷。而下半年開始針對中小企業服務器的攻擊，也一直沒有停歇，事件層出不窮。就總體攻擊形勢而言，2023 年，國內的勒索軟件攻擊事件量相對平穩，但這并非是由于勒索軟件的攻勢放緩。當前流行的主要勒索軟件家族將更多攻擊重點轉移到了大型、超大型集團企業。勒索團伙可以通過較少的攻擊次數來獲取巨大的回報。與此同時，更明確的攻擊目標和更低的攻擊頻率也便于讓攻擊者制定更具針對性的攻擊策略，這也間接的提高了每次攻擊的成功率。同時，延續了 2022 年的態勢，國內自身的勒索黑產也逐步成型。根據 360 安全大腦統計，2

15、023 年共處理反勒索服務求助案例 2750 余例。反饋案例中，不僅單個企業大面積中招的事件進一步增加，受攻擊的政企單位規模與以往相比也有明顯提升。由此可見勒索攻擊所帶來的影響可謂與日俱增。另外，我們還為 533 家企業或個人用戶提供了勒索溯源分析服務，涉及 60 余個家族，193 個勒索變種。本章將對 2023 年全年，360 政企安全檢測到的勒索軟件相關事件與數據進行分析，并進行解讀。一、一、勒索軟件概況勒索軟件概況2023 年全年,360 反勒索服務平臺、360 解密大師兩個渠道，一共接收并處理了超過 2750位遭遇勒索軟件攻擊的受害者求助。與往年相比，今年 360 所接收到的勒索求助案

16、例數量有一定程度的降低。但整體攻擊量與社會危害程度有增無減。2下圖給出了在 2023 年全年，每月通過 360 安全衛士反勒索服務和 360 解密大師渠道提交申請并最終確認感染勒索軟件的有效求助量情況。2023 年整體勒索反饋量呈現相對平穩的趨勢?？紤]到 2023 年 1 月包含春節假期，各類辦公設備的開機量均較其他時段較少，并且即便遭到勒索攻擊也會出現由于相關人員休假而未能及時發現等情況，因而 1 月的反饋量明顯少于其他月份。隨后，在 2 月份觀察到反饋量顯著回升，這也與春節假期的結束不無關系。在接下來的幾個月中，反饋量總體相對平穩，未出現較大幅度的波動。(一)勒索家族分布下圖給出的是根據

17、360 反勒索服務和 360 解密大師數據所計算出的 2023 年勒索軟件家族流行占比分布圖。3其中，PC 端系統中 phobos、BeijingCrypt 和 TellYouThePass 這三大勒索軟件家族的受害者占比最多。TOP10 家族中值得注意的是：一、phobos 勒索軟件家族在過去四年始終領先，是傳播歷史最悠久的家族之一。盡管傳播方式相對單一，但其變種繁多，常見的變種會修改后綴為：eking、devos、faust 等。二、在過去一年的觀察中，TellYouThePass 家族通常在周末或其他非工作時段集中爆發，通常在每年的某幾個月發起數次攻擊，每次持續 1-2 次。其主要通過

18、Web 類漏洞對國內各種 OA、財務、文檔管理、圖文視頻系統等供應鏈軟件進行有針對性的攻擊。這使得其在 TOP10 家族中成為罕見的專注于漏洞利用攻擊的家族。值得一提的是今年TellYouThePass 家族在勒索信中明確引導受害者可以去某電商平臺尋找中間商完成最終的解密交易。三、TargetCompany（Mallox）、LockBit 和 CryLock（Trigona）這三個勒索軟件家族通常采用傳統的勒索模式，但對于一些有價值的目標，它們通過數據竊取來提高贖金支付的可能性。目前，這三個家族已在暗網公開發布受害者的數據。四、在今年的 TOP10 家族中，未發現新興的勒索軟件家族。但傳統的勒

19、索家族傳播勢頭依然強勁，安全形勢依舊不容盲目樂觀。五、在今年未進 Top10 的家族中，Cerber 家族的新變種利用跨平臺漏洞 CVE-2023-22518 在11 月 Linux 下大量傳播。同家族變種在 Window 平臺下由于 360 主動防御系統可在默認狀態下對“利用該漏洞的攻擊”進行攔截，部署 360 主動防御系統的設備無受害者。從整體數據上看 2023 年針對 Linux 與 Mac 平臺的勒索攻擊相比 2022 年也有所上升。(二)主流勒索軟件趨勢我們匯總了 2023 年的各月的勒索軟件家族月度感染量 TOP10 數據，發現僅通過弱口令進行傳播的 phobobs、Buran 勒

20、索軟件家族感染量相對平穩；同時通過偽裝成破解軟件/激活工具的 Stop 勒索軟件家族在今年感染量也趨于相對平穩；而通過其它渠道進行傳播的勒索軟件家族則受傳播渠道本身的不穩定性影響，對應的感染量波動也會相對較大，例如：在 2023 年的 6 月、8 月、9 月、11 月和 12 月，TellYouThePass 勒索軟件家族利用漏洞發起了一段時間的持續攻擊，導致受害者數量相對較高。這些攻擊通常具有高度的針對性和持續性，因此這段時間被感染的受害者數量相對其他月份較高。在 2023 年 4 月，CryLock(Trigona)勒索軟件家族推出了多重勒索模式，導致國內普通受害者感染數量顯著下降，部分月

21、份甚至出現 0 感染的情況。然而，公開數據顯示，自該月開始，該家族在暗網公開發布了 30 個受害組織/企業的數據，并將受害者數據進行拍賣。目前，這些數據的起拍價在 5 萬至 50 萬美元之間。4(三)加密方式分布我們對在 2023 年仍在傳播且具有一定代表性的勒索軟件家族進行了深入分析。我們統計了各家族所采用的編程語言、加密算法以及非對稱密鑰生成方式。這些家族采用多種技術來加密文件，其中包括但不限于 RSA、AES、ChaCha20、Salsa20 等算法。以下是具體情況：家族名稱編譯語言加密算法非對稱密鑰生成ESXiArgsC+RSA1024Sosemanuk內置 RSA-1024 公鑰Be

22、ijingCryptC+RSA1024AES256內置 RSA-1024 公鑰BlackCatRustRSA1024AES/Chacha20內置 RSA-1024 公鑰BlackMatterC+RSA1024Salsa20內置 RSA-1024 公鑰BuranDelphiRSA2048/512AES256內置 RSA-2048 公鑰內置算法生成 RSA-512 密鑰對KnightGolangChaCha20AES256內置 RSA-1024 公鑰FunC#RSA2048AES256內置 RSA-1024 公鑰HuntersGoRSA4096內部實現流加密內置 RSA-4096 公鑰LockBi

23、tC+RSA1024內部實現 Chacha20內置 RSA-1024 公鑰LokiC#RSA2048AES256內置 RSA-2048 公鑰CSP 生成 RSA-2048 密鑰對MagniberMASMRSA1024內置 RSA-1024 公鑰5AES128MakopC+RSA1024AES256內置 RSA-1024 公鑰MedusaLockerC+RSA2048AES256內置 RSA-2048 公鑰Money MessageC+ChaCha20ECDHECDH 生成密鑰對phobosC+RSA1024AES256內置 RSA-1024 公鑰RansomEXXRustRSA4096AES2

24、56內置 RSA-4096 公鑰RhysidaGolangChaCha20RSA4096內置 RSA-4096 公鑰StopC+RSA1024Salsa20遠程下載文件中的 RSA-1024 公鑰TellyouthepassC#RSA1024AES256內置 RSA-1024 公鑰RSACryptoServiceProvide 生成 RSA-1024 密鑰對TrigonaC+RSA4096AES256內置 RSA-4096 公鑰2023 年代表性勒索軟件家族編寫語言及算法實現方案經匯總整理后發現，當前主流的勒索軟件家族在核心的加密功能層面展現出的“技術趨同”特性越發明顯。其具體的變現為：核心的

25、加密方案均采用：“對稱加密算法加密文件+非對稱加密算法加密對稱加密算法密鑰”的多級加密邏輯，以此兼顧整體的加密效率與強度。初始密鑰均采用內置非對稱加密公鑰的方法，來尋找強度與靈活性的平衡點。大多勒索軟件均會采用分片加密或頭部數據加密等手段，在保證受害者數據“不可用”的前提下進一步提升加密速度。而這些共性也是勒索軟件與安全廠商在長期的對抗中找到的一個較為成熟的標準化方案，而隨著近些年 RaaS 的運營模式普及，這一趨勢的形成也在進一步的加速。預計今后可以在較大范圍內傳播的主流勒索軟件均會采取上述的加密模式實施自己的加密工作。二、二、勒索軟件傳播方式勒索軟件傳播方式下圖展示了 2023 年攻擊者在

26、投放勒索軟件時所采用的各種攻擊方式的占比情況。根據統計可以觀察到：遠程桌面入侵仍然是導致用戶計算機感染勒索軟件的主要途徑；其次是通過利用漏洞進行勒索軟件的投放。值得注意的是，通過利用漏洞和數據庫弱口令導致中招的案例相較于往年顯著上升。6經由針對勒索軟件在 2023 年的態勢進行分析，發現其傳播與入侵方式呈現出上述占比分布的主要原因如下：一、遠程桌面入侵通過遠程桌面入侵依然是國內最頻發的勒索攻擊原因，這其中既涉及中小企業，也不乏大中型企業，配置管理不當是最主要原因。二、漏洞利用2023 年通過漏洞利用發起的勒索攻擊量顯著增加，這其中，主要是針對 web 服務器的漏洞攻擊，尤其下半年以來，幾乎每周

27、都有針對 web 服務的成規模攻擊事件發生，典型的如 tellyouthepass 家族，多次針對 OA、財務類 web 系統發動攻擊，單次攻擊的規模從數千臺到上萬臺不等。對外提供服務的各類應用系統，是防范勒索攻擊的重中之重。今年漏洞利用攻擊的另一大特點是，針對企業基礎服務平臺、邊界設備的漏洞攻擊，比如針對 VMware ESXI，MOVEIT，Citrix NetScaler 等的漏洞攻擊，漏洞有 nday，也有 0day。此類攻擊對大型企業殺傷力巨大，國內外眾多巨頭企業，因此中招，甚至出現數據被竊取的情況。比如年中爆出的 MOVEIT SQL 注入漏洞，造成數千家企業被攻擊，影響人數超千萬

28、人。三、數據庫弱口令此類攻擊經常造成數據庫數據被竊取，內容被加密。部分攻擊者也會嘗試通過數據庫服務，進一步入侵服務器主機。管理不當是其主要原因。三、三、多重勒索與數據泄露多重勒索與數據泄露近年來，通過雙重勒索或多重勒索模式獲利的勒索軟件攻擊團伙越來越多，勒索軟件所帶來的數據泄露的風險也急劇增加。本章將通過darktracer_int 和 Hackmanac 提供的數據進行多維度分析，該數據僅反應未在第一時間繳納贖金或拒繳納贖金企業情況。7(一)行業統計從行業劃分來看，制造業、租賃商務與服務業（多行業合并數據）、通信與互聯網（通信網絡）、批發零售（多行業合并數據）、金融分列行業分布的前五位，這其

29、中通信網絡行業遭攻擊的數量占比與往年相比有所提升，與下半年一些漏洞攻擊事件有緊密關聯。各類制造企業、實體經濟行業依然是被攻擊的主要群體。而金融行業，一直以來是勒索攻擊的重要目標，排名長期保持在前五。此外，數據庫漏洞的利用量提升也同樣對通信網絡行業受到攻擊有著一定程度的影響。當然，數據庫應用實際上在各個行業的大中型企業中均有較為官方的應用，所以這一類型漏洞的利用量增加實際上對所有大中型企業的安全均構成了不容小覷的威脅。8(二)國家與地區分布從遭到數據泄露機構所在地分布情況來看，美國的占比相較于 2022 年有明顯提高，超過四成半的占比再度回到了與 2021 年之前量級。當然，這不僅是因為美國大型

30、跨國企業眾多且各類網絡設備應用官方，也與其發達的云服務產業與設備托管業務有著直接關系。下圖為根據全球地區分布數據所繪制的更加直觀的地區分布圖：關于該數據值得注意以下兩點：1.與往年情況類似，該數據來源均為各勒索軟件為了更有效的展開勒索而自行公開的數據，這也導致由于美國機構的知名度更高而更容易成為勒索軟件用于掛牌展示的“招牌”。但這并不意味著來自其他國家或地區的機構受到勒索攻擊的數量就更少或受到的威脅更小。2.從數據來看，2023 年我國受數據泄露影響的企業排名數有所下降。顯然，與近年來國內政策的完善，各政企單位自身對網絡安全的重視度提升有著密切的聯系。但國內企業9被勒索攻擊的絕對數量仍然比較高

31、，以勒索攻擊為代表的網絡安全問題仍是一個不容忽視的威脅，國際上層出不窮的勒索軟件團伙依舊虎視眈眈，一旦放松警惕，他們便會伺機而動。(三)家族統計2023 年參與雙重/多重勒索活動的勒索軟件家族共計 65 個。這一數量與 2022 年相同，但具體的家族有所更替。僅躋身 Top10 的家族中，就有 8Base、Akira 兩個“后起之秀”。具體的排名與占比如下圖所示。在經過分析 2023 年雙重/多重勒索軟件威脅的前 10 名家族中，我們發現 LockBit 勒索軟件家族依然占據著該領域的主導地位。雖然其在 2022 年的份額有所下降，約降低了 10個百分點，但其以超過 20%的份額堅守著霸主的位

32、置，過去一年先后攻擊了波音、英國皇家郵政、臺積電等數千家大型企業。同樣值得關注的是 BlackCat，其份額和排名都表現穩定，基本與前一年持平。而 Cl0p 家族，利用 2023 年廣受關注的 MOVEit Transfer 漏洞，發起了大規模的攻擊，采取了猛烈的侵入手段，最終在榜單上升至第三位，挑戰 BlackCat 的地位。同時值得一提，8Base、MalasLocker 和 Akira 三個新興的勒索軟件家族在 2023 年初次亮相就已經表現出其技術實力和高效的攻擊能力。它們迅速累積了大量受害企業，分別占據了第五和并列第七的位置，其中 8Base 攻擊了 284 家，而 MalasLoc

33、ker 和 Akira 各自攻擊了 171家企業。這些數據顯示了新興家族崛起的迅猛勢頭，對現有的網絡安全防線構成了嚴峻的挑戰。10(四)逐月統計從數據泄露的相關統計來看，總體有一定的波動，但并未出現較大規模的爆發現象。2023 年各月的數據泄露機構數量與往年相比雖然顯得格外平穩，但依然可以看出在 3月、5 月及 11 月分別出現了三波較為明顯的波峰。結合已知的勒索事件判斷，5 月份的最高峰與 Cl0p 勒索軟件利用的 MOVEit Transfer 漏洞展開大規模的入侵及勒索活動有著較強的關聯性；與之相似的，11 月的這波攻擊潮業余 Citrix Bleed 漏洞有關；而根據分析，3 月的高峰

34、則與 Medusa 勒索軟件的肆虐有著一定的聯系。11(五)贖金范圍對雙重/多重勒索軟件家族向受害者索要贖金金額進行統計，情況與 2022 年并無顯著變化。大多數家族依然傾向于將贖金定在 10 萬美元至 100 萬美元范圍內，這部分占比接近 71%。這也說明大多數的企業為了機密數據不被泄露而愿意支付的金額也往往在這一區間范圍內。而勒索金額在 100 萬至 1 千萬美元區間段的則占到了 8%，推測這主要還是由被攻擊的組織/企業規模、營業額以及數據重要性等多方面因素所決定。至于勒索金額超過 1 千萬美元的情況，則大多為“獅子大開口”的情況，往往并不會真的以這個金額成交。大金額勒索事件的最終結果通常

35、是私下講價和解或被受害者直接無視。需要說明的是，以上數據僅是根據已公開的勒索金額進行統計，并非所有的勒索事件所涉及的贖金金額都被公開，并且公開金額也并不一定是最終成交的真實數值。故此，該數據能在一定程度上作為參考。(六)被竊取數據范圍一些勒索軟件家族為了證明其竊取到數據的可信性，可能會在公開被竊取數據的受害者名單時一同披露被竊取數據的總大小。此外，還會有一些家族雖然并不會直接公布竊取到的數據大小，但在受害組織/企業拒絕支付贖金后他們則會將竊取到的數據直接公開。12通過對這些被竊取數據的總大小進行統計，發現 2023 年每次入侵后所竊取數據的總大小通常在 10GB 以上，這部分占比接近 9 成。

36、而進一步劃分后則發現各區段的占比較為平均，推測這與攻擊者所能入侵的設備量、被入侵設備中的數據量、攻擊者在被入侵網絡中潛藏的事件以及網絡狀態等多方面因素均有關系。(七)被竊取數據類型2023 年，我們還分析了遭泄露數據的類型分布情況。由于這些數據的類型情況均來自于各勒索軟件家族的自行歸類，所以其分類標準和描述名稱也必然存在著一定程度的差異。故此這部分數據可能并不非常嚴謹。但我們依然可以從中獲取一些有價值的信息。從占比中不難看出，財務類數據以超過 2 成的占比排在第一位，而與之性質類似的稅務數據也有超過 2%的占比。僅這兩項放在一起，就有接近 24%的數據是和“錢”有關的。這就說明了攻擊者還是更青

37、睞這些與錢直接相關的信息以求最高效的變現策略。13此外，個人、身份、客戶、員工、人資等與個人隱私相關的數據類型也都占比較高，若合并計算其占比更是接近總量的三分之一。這主要是因為此類數據更常見也更易獲取，同時也能被利用來進行釣魚、詐騙等社工攻擊。再有就是合同/協議類數據以及其他一些機密數據。這些數據自然是因其高度的機密性而能更好的作為攻擊者進行勒索的籌碼，但與前兩類數據相比，此類數據并不容易變現畢竟其重要性更多的取決于受害方的想法和心態。(八)數據泄露的負面影響及策略剖析在數字化已經普及的今天，數據泄露所帶來的影響是多方面且深遠的。常規勒索黑客通過加密關鍵數據來逼迫用戶支付贖金。這類攻擊相對來說

38、已有成熟的防御策略，企業用戶通常會通過定期備份等手段，確保在數據受到破壞的情況下仍能迅速恢復正常運作。在這一局面下，多重勒索也就應用而生，其中數據勒索因其額外施加的壓力，而變得尤為流行。它通過從多個方面施加壓力，迫使受害企業就范，提升支付贖金的概率。數據勒索的主要危害包括以下幾種。聲譽恐嚇聲譽恐嚇聲譽恐嚇通常會引起品牌聲譽受損，進而導致客戶信任感的流失。其實施策略形式多樣，主要的有如下兩種：一、攻擊者通過盜取的數據聯系客戶，利用電話、電子郵件等通路警告客戶數據可能已被黑客竊取，旨在撼動與受害公司的商業信任；二、攻擊者經常與媒體接觸，促使后者報道這一事件，從公共輿論層面對受害組織施加額外壓力。值

39、得注意的是，部分勒索軟件團伙甚至維護自有的媒體關系來放大其威脅。在這種情況下，如果受害者拒絕支付贖金，勒索團伙便會采取措施向媒體投遞企業被攻擊的事件。這能有效地施壓受害者，某些攻擊團體更是會在贖金談判頁面粘貼新聞報道鏈接，使威脅更加具體且有說服力。數據競拍數據競拍14競拍機制可以最大化販賣受害者數據所得的收益。當前，非法數據售賣產業已非常成熟，勒索軟件團伙，也在通過數據售賣的方式一方面迫使企業支付贖金，另一方面擴大自身收益。就比如 LockBit 勒索團伙，就大量出售企業數據。其曾出售德意志銀行 60G 的數據資料，還叫價 50 比特幣出售過國內某企業數據等。這些勒索團伙還建立了自己的數據泄露

40、網站來公布出售數據的情況。另外，根據我們掌握的數據竊密攻擊團伙特點，這些團伙在數據竊取前，會事先收集被攻擊這邊的目錄結構與文件采樣信息，之后針對特定類型的文件進行竊取。而在對用戶進行恐嚇時，會號稱竊取了用戶全部的文件。LockBit3.0 建立的數據泄露站點頁面監管壓力監管壓力隨著全球范圍內監管機構對網絡安全法規的強化，尤其是對網絡攻擊事件的報告要求變得更加嚴格，公司在響應網絡攻擊中承擔了更大的責任。不幸的是，一些企業在遭受網絡勒索攻擊時選擇避重就輕，試圖隱藏事件以逃避責任。這種不當的處理和隱匿手段為黑客提供了新的利用空間。如 BlackCat 勒索軟件集團就通過向監管機關舉報其攻擊目標的策略

41、，向受害企業施加額外壓力，迫使其支付贖金。正確的事故報告流程關乎企業聲譽和財務安全，同時可以避免遵循適當監管規定時可能產生的法律后果。透明、及時的事件通報有助于企業獲得監管機構和公眾的信任，甚至可能在某些情況下減少勒索行為取得成功的概率。因此，企業應當合理建立并執行攻擊事件的報告和處理機制，以確保所有監管要求都得到恰當的滿足，并最大限度降低由勒索軟件攻擊帶來的風險。15四、四、勒索軟件家族更替勒索軟件家族更替(一)每月新增傳統勒索情況360 安全大腦監控到，每月都不斷有新的勒索軟件出現。以下是 2023 年每月新出現的傳統勒索軟件(僅通過加密文件對受害者進行勒索)的部分記錄信息，共計 66 款

42、：月份新增傳統勒索軟件2023 年 1 月Mimic、SickFile、Upsilon、BetterCallSaul2023 年 2 月Masons、DoDo、ESXiArgs2023 年 3 月Merlin、7262023 年 4 月CrossLock、UNIZA、RTM Locker2023 年 5 月OkHacked、Pwpdvl、TargetWare、TwoFactor2023 年 6 月Kann、ANUBIZ、Azadi、Udaigen、TUGA、Anti-us、Havoc2023 年 7 月XRED、Resq、DEADbyDAWN、Khronos、Architects、DumpLo

43、cker、Black Berserk、Lumar2023 年 8 月TrashPanda、Phas、Harward、S.H.O、Retch、FreeWorld、Payola、DontCryLol、Kuiper2023 年 9 月Rival、Alvaro、Grounding Conductor、AnonTsugumi、Lattice、NoBit、Eldritch、Days Locker2023 年 10 月NightCrow、Electronic、Byee、PepeCry、EarthGress、Jarjets、Mad Cat、BlackDream、CATAKA、Ran2023 年 11 月Lam

44、dba、Rec_rans、Blackoutware、WhiteHorse、DangerSiker、Janus Locker2023 年 12 月BlackLegion、Fun ransomware2023 年各月新增傳統勒索軟件家族針對以上新增勒索軟件家族，我們對其中幾個典型家族進行具體的說明：ESXESXi iArgsArgs2023 年 2 月 勒 索 團 伙 大 規 模 利 用 VMware ESXi 服 務 器 的 遠 程 代 碼 執 行 漏 洞（CVE-2021-21974）進行攻擊，部署新的 ESXiArgs 勒索軟件。早期版本的勒索攻擊受到虛擬機軟件的特性影響，多數受害用戶通過

45、ESXi 的恢復指南與恢復腳本免費重置了虛擬機并恢復了數據。但隨后勒索軟件的續版本很快修補了這一恢復方式。該家族采用 RSA 算法加密密鑰，Sosemanuk 流密碼算法加密文件。Sosemanuk 算法的運用與 Babuk 家族 ESXi 版本變種泄露的源代碼存在高度相似性，同時該源代碼已被其他同樣針對 ESXi 平臺的勒索軟件使用過，例如 CheersCrypt、PrideLocker 等勒索軟件。KannKannKann 勒索軟件家族最早出現于 2023 年 6 月，主要使用遠程桌面與數據庫弱口令攻擊進行投毒。擊目標主要為中國地區，并提供了中文的勒索信文檔。16Anti-usAnti-u

46、sAnti-us 勒索軟件家族最早出現于 2023 年 6 月，勒索信中留下了黑客郵箱的聯系方式?；謴蛿祿枰员忍貛偶用茇泿胖Ц?8000 美元以上的贖金，具體的贖金金額根據不同的病毒版本有所差異。S.H.OS.H.OS.H.O 勒索軟件家族最早發現于 2023 年 8 月，加密后對文件修改為 5 位英文字母大小寫隨機，且此病毒支持通過 USB 方式進行傳播。在勒索信中表示由于作者心情愉悅所以僅要求用戶支付 200 美金，并明確告知受害者即便付了款也不會進行解密。并要將重要數據被加密的痛苦永遠留給受害者。其在 10 月份的變種勒索信的口吻大致相似，除了留下比特幣錢包地址外，還留下了幣安智能鏈

47、地址。FunFun ransomwareransomwareFun ransomware 勒索軟件家族最早發現于 2023 年 12 月，加密后對文件進行重命名后綴為“.funny”。采用 RSA-2048 和 AES-256 方式進行加密，加密完成后會更改用戶桌面壁紙。勒索信中還表示如果受害者 3 天內不通過比特幣方式交納贖金的話，將在暗網出售被竊取的個人信息與文件。(二)每月新增雙重/多重勒索情況另經統計發現，2023 年各月也時常出現新的勒索軟件加入到雙重/多重勒索模式的行列中。僅 360 安全大腦監控到的此類雙重/多重勒索軟件家族在本年度就共計新增 36 個。具體家族名及出現時間分布如

48、下：月份雙重/多重勒索首次公開受害者時間2023 年 1 月Unsafe、Nokoyawa、2023 年 2 月Vendetta、Medusa、DarkBit2023 年 3 月DarkPower2023 年 4 月Money Message、Dunghill Leak、CipherLocker、Trigona、CrossLock、CryptNet2023 年 5 月Knight、RAGroup、MONTI、Akira、Rancoz、MalasLocker、8BASE、BlackSuit、CyCl0ps2023 年 6 月DarkRace、Rhysida、NoEscape2023 年 7 月C

49、actus2023 年 8 月INC Ransom、Metaencryptor、Peace Tax Agency、Cloak、RansomedVC2023 年 9 月CiphBit、ThreeAM、LostTrust2023 年 10 月Hunters International2023 年 11 月MEOW2023 年 12 月DragonForce2023 年各月新增雙重/多重勒索軟件家族針對以上新增雙重/多重勒索軟件家族，我們對其中幾個典型家族進行具體的說明：178Base8Base2022 年 3 月 8Base 勒索軟件團伙首次亮相，并在 2023 年 6 月開始活躍。持續對全球組織

50、發起雙重勒索攻擊，導致受害者不斷增加。8Base 使用的是 Phobos v2.9.1 勒索軟件的定制版本，通過 SmokeLoader 加載。Phobos 是一種針對 Windows 平臺的 Raas 模式的勒索軟件家族，于 2019 年首次出現，與 Dharma 勒索軟件手法有很多相似之處。8Base 的攻擊目標主要為針對中小型公司，受害者主要集中在美洲和歐洲。AkiraAkiraAkira 勒索軟件家族最早出現于 2023 年 3 月，采用多重勒索運營方式。Akira 團伙在他們的數據泄露網站上投入了大量精力，賦予其復古的黑底綠字的命令行操作外觀。該團伙索要的贖金范圍從 20 萬美元到數

51、百萬美元不等。在 2023 年 6 月該家族新增了 Linux 版本，針對 VMware ESXi 虛擬機進行勒索加密。2023 年 8 月起該家族積極利用思科 Cisco 的 VPN漏洞 CVE-2023-20269 發起勒索投毒攻擊。被該組織勒索的知名廠商包括雅馬哈音樂、日產Nissan、美國能源公司 BHI Energy。INCINC RansomRansomINC Ransom 于 2023 年 8 月浮出水面，針對醫療保健、教育和政府等各個部門的組織進行雙重勒索攻擊。該家族的攻擊方式主要通過魚叉式網絡釣魚電子郵件訪問目標網絡，同時也會利用漏洞與橫向移動進行攻擊。典型的漏洞利用例如 C

52、itrix 平臺的 CVE-2023-3519漏洞。目前已知被該組織勒索的知名公司有雅馬哈汽車。KnightKnight2023 年 5 月 CyCl0ps 勒索家族首次亮相，并于 2023 年 9 月更名為 Knight（別名 CyCl0ps2.0）。此家族的勒索軟件采用 Golang 語言編寫，運用 ChaCha20+AES256 算法進行加密。支持主的操作系統包括 Windows、Linux、macOS、ESXi、Android 平臺。Knight 勒索家族區別與其他同類型的勒索家族的一個顯著特色是提供了高度的定制化支持，包括為每個特定目標使用不同的 TOR 域，用于更新錢包支付的自動系

53、統等。Knight 自稱是一支來自俄羅斯和歐洲的四人團隊，他們與其他勒索團隊如 Lockbit 和Babuk 有聯系。此勒索組織正積極招募新成員加入他們的勒索軟件開發與分發團隊。HuntersHunters InternationalInternationalHunters International 勒索軟件家族出現于 2023 年 10 月，聲稱其購買了被警方抓捕的 Hive 勒索軟件組織的源碼后進行重新編寫，同時修正了原始代碼中在部分場景下會導致無法解密的 Bug。目前已知被該組織勒索的典型受害者包括美國海軍承包商 Austal USA、臺灣醫療美容與保健品制造商 TCI、美國癌癥研究和

54、患者護理與治療中心 Fred Hutch 等。18第二章 勒索軟件受害者分析基于 360 反勒索服務，求助用戶所提供的信息，我們對 2023 年全年遭受勒索軟件攻擊的受害人群做了分析。在地域分布方面并沒有顯著變化，依舊以數字經濟發達地區和人口密集地區為主。而受感染的操作系統、所屬行業則受今年流行的勒索軟件家族影響，與以往有較為明顯的變化。一、一、受害者所在地域分布受害者所在地域分布以下是對 2023 年攻擊系統所屬地域采樣制作的分部圖，總體而言地區排名和占比變化波動始終均不大。數字經濟發達地區仍是攻擊的主要對象。19下圖為根據全球地區分布數據所繪制的更加直觀的地區分布圖：二、二、受攻擊系統分布

55、受攻擊系統分布對 2023 年受攻擊的操作系統數據進行統計，位居前三的系統為 Windows 10、WindowsWindows Server 2008 和 Windows Server 2012。這也是目前市面上較為主流的操作系統，可見系統本身的“安全性”對攻擊的防護起到的作用并沒有那么顯著整體數據反應出的情況依然是使用更廣泛的系統所受攻擊也更多。從操作系統類型的角度看，總的占比于 2022 年相似，桌面 PC 與服務器的占比在總體上依舊保持相當比例。但與以往不同的是，2023 年各類勒索軟件在針對服務器類設備發起攻擊的時候出現了較為明顯的進一步精細化操作。這也導致我們本次對操作系統類型的分

56、類也20首次對 Windows 服務器和 Linux 服務器進行了區分。近年來，勒索軟件對服務器系統的青睞主要由于針對此類系統的攻擊往往具有更高的價值目標、更強的支付能力、更大的攻擊規模、更專業的攻擊方式、更廣的攻擊面。而在這一大趨勢的前提下，2023 年的勒索攻擊進一步細化了各不同類型的服務器類型，對 Linux 服務器和與之類似的 NAS 設備的勒索攻擊量有著明顯的提高。同時，這類攻擊也有著更加明顯的“針對性”，不再是過去那種攻擊 Windows 服務器時的“順帶”行為。這也與各勒索家族的團伙專業性的不斷提高有關顯然，對不同操作系統的專注能較為顯著的提升其獲利的成功率。三、三、受害者所屬行

57、業受害者所屬行業對來自反勒索服務申訴的受害者所屬行業進行統計，發現：科研技服、貿易零售（批發零售）、制造業分列受影響最為嚴重的前三類行業。而能源行業，首次進入國內前 10 排名?？蒲屑挤闹饕歉黝惣夹g研發及提供配套服務的企業，并且與占比排名第 5 的通信網絡行業也有著較為緊密的聯系。貿易零售與制造業則多為數量龐大的中小型企業，也是國內受勒索威脅最為嚴重的群體。這一分布狀況也充分說明了國內當前面對勒索攻擊的主要態勢，中小型企業在研發、生產、銷售的各個環節已經具備較高的信息化智能化水平，但在網絡安全上的投入和專業化水平上仍有明顯短板。兩相對比之下，我國中小型企業所面臨的安全威脅問題也勢必日益

58、突出。212023 年的數據顯示，受勒索軟件攻擊影響較大的行業普遍具有較大的機構規模和網絡規模。教育行業遭受的勒索攻擊相比 2022 年有顯著下降。我們在 2022 年的報告分析中指出，教育行業受攻擊影響增加主要是由于新冠疫情引發的線上教育產業的蓬勃發展。而隨著2023 年新冠疫情管控政策的放寬，線上教育產業的發展勢頭也隨之減緩，相應地，教育行業對于網絡安全的需求逐漸回歸正常。然而，需要明確的是，即便教育行業受到的勒索攻擊有所降低，其占比仍然處于不可忽視的第六位。這意味著網絡安全形勢仍然相當嚴峻，教育機構在網絡安全防御方面不可掉以輕心。22四、四、受害者支付贖金情況受害者支付贖金情況通過分析受

59、害者反饋的調查問卷，我們發現受害者在遭遇勒索軟件后的反應并沒有太大的變化，大多數受害者依然并未支付勒索軟件所提出的贖金，并且不支付贖金的理由也依舊是不相信黑客或不想縱容黑客。當然，贖金金額過高也是一個重要的因素。不過，支付贖金的占比也延續了 2022 年的上漲勢頭，有了進一步的顯著提升。經分析，這與勒索軟件進一步的側重于針對政企相關單位的攻擊有著密切關系。此類受害者通常更愿意為了減小損失而支付贖金，同時也更有經濟實力來承擔高額的贖金。五、五、對受害者影響最大的文件類型對受害者影響最大的文件類型根據 2023 年的問卷統計，數據庫一躍成為受害者最“在乎”的被加密數據類型。與 2022年相比，數據

60、庫的占比直接提升了接近 16%；而在數據庫占比飆升的此同，辦公文檔占比并沒有發生明顯變化。這倆類數據的占比相加就超過了 75%。23產生這一情況的主要原因是受到了 2023 年勒索攻擊的受害者身份及攻擊者入侵手段的雙重影響。受害者方面，相較于個人，各類政企單位顯然會更多的應用到數據庫應用，同時也更在乎數據庫中的數據安全性與完整性；而入侵手段方面，2023 年各類漏洞的利用以及數據庫弱口令攻擊的加持，也讓數據庫成為了大量勒索攻擊案例的入侵突破口。兩相呼應，更多的數據庫遭到加密并且受害者也更看重數據庫中的數據，也就造就了這一結果的形成。六、六、受害者遭受攻擊后的應對方式受害者遭受攻擊后的應對方式與

61、 2022 年情況相同，殺軟查殺、斷開網絡以及求助于技術人員依然是受害者最先采取的應對手段。包括重裝系統也依舊是一個較為“主流”的措施。24正如我們以往不斷強調的，重裝系統這類操作對于勒索軟件這一特殊的攻擊類型而言往往作用并不十分明顯，反而可能對技術人員的事后處置及分析復盤帶來一定阻礙。誠然，我們不該苛求受害者在安全領域都具有較高的知識和處理能力，但必要的宣傳和科普工作依然是有必要的尤其是在政企單位內部。七、七、受害者提交反勒索服務申請訴求受害者提交反勒索服務申請訴求根據問卷反饋的統計數據來看，提交反勒索服務申請的用戶中，大多數用戶主要還是為了能夠恢復被加密的數據。這一情況也符合我們在設立該服

62、務之初的基本預判。但令人感到遺憾的是，目前仍有大量被勒索軟件加密的數據難以通過技術手段進行恢復，這也是我們在今后的工作中需要積極尋求更有效解決方案的一個技術攻堅目標。25除此之外，與其他傳統惡意軟件相似：尋求防護建議、清除病毒、排查原因以及了解防毒知識也都是受害用戶較為關心的方面與主流訴求。而我們也正在基于以上這些訴求積極的展開相關溯源工作并建立知識庫，以滿足廣大用戶的需求。26第三章 勒索軟件攻擊者分析2023 年的勒索軟件攻擊數據分析揭示，盡管針對遠程桌面協議的弱口令攻擊依然普遍，但通過漏洞利用和網頁掛馬的手段同樣見勢利導地大幅增長，這類通過技術漏洞發起的攻擊比例增長了超過 13%，成為最

63、主要的攻擊方式之一。這種變化反映出攻擊者正在適應和探索更有效的入侵手段，并且企業對于弱口令的防護意識相對提高。此外，黑客們為了與受害者溝通贖金事宜，更頻繁地使用電子郵箱、自行搭建的贖金談判網頁，以及諸如洋蔥網絡、Jabber、Telegram 和 Tox 等匿名聊天工具，顯示了他們在隱匿性和持續威脅置于受害者面前的雙重目的。一、一、黑客使用黑客使用 IPIP遠程桌面弱口令攻擊和漏洞攻擊依舊是勒索軟件入侵的最流行方式，但 2023 年的數據庫弱口令攻擊數量有著顯著提升。對于各類入侵方式的攻擊來源 IP 進行分析發現，其歸屬最多的是俄羅斯地區，其次則是德國和美國（此數據僅反應攻擊者發起攻擊的 IP

64、 地址，并不代表攻擊者所屬國家，攻擊者往往會使用代理服務器來隱藏其真實 IP 地址）。二、二、勒索聯系郵箱的供應商分布勒索聯系郵箱的供應商分布2023 年，勒索軟件主流的聯系方式依然是自建聊天室、第三方通信工具和郵箱三種。其中：自建聊天室的方式通常見于雙重/多重勒索模式中，部分家族還需受害者注冊或使用黑客勒索提示信息中提到的賬戶和密碼或唯一的 ID 進行登錄才能進行對話。27第三方通信工具則主要以 Jabber、Telegram、Tox 等匿名聊天工具為主。攻擊者與受害者會通過這些軟件進行贖金談判，以 phobos 為代表的勒索家族主要采用此類方式。最為常見的則是電子郵件的方式。通常為了能被受

65、害者正常聯系到，攻擊者一般會留下至少 2 個郵箱并定期進行更換。也存在同一個家族有多個傳播者的情況，這種情況下不同傳播者也會使用不同的郵箱。這也導致我們捕獲到的活躍郵件地址相對前兩種會多很多。通過對 2023 年收集到的黑客郵箱進行數據分析,我們發現最受勒索軟件作者歡迎的依舊是 Tutanota，但 ProtonMail 和 OvOConsulting 占比卻有所下降，取而代之的是 OnionMail和 Gmail。根據分析推測，出現這一情況的主要原因是 OnionMail 專注于加密和匿名這兩大屬性所致，而 Gmail 則主要以其加密屬性著稱，這顯然都獲得了勒索軟件作者的認可與青睞。針對 T

66、OP10 郵件服務商提供的郵箱屬性進行研究發現，其中匿名郵箱占到了總量的 76.02%，這一比例的顯著下降與 Gmail 的使用量提升有直接關系。三、三、攻擊手段攻擊手段本節，我們將介紹一些常見的攻擊手段，幫助讀者更好地了解勒索軟件，并提供防治措施。(一)口令破解攻擊口令破解類攻擊可以說是網絡攻擊手段中歷史最為悠久的一類，同時也是國內勒索軟件傳播的最普遍原因。雖然目前已經有多種解決口令脆弱性問題的技術手段，但“弱口令”問題仍然成為困擾企業和用戶的一大問題，需要被不斷強調，這個問題的原因也是多方面的。在過往處置的案例中，口令暴破問題不只發生于個人用戶、中小企業與缺乏安全運營管理的企業，在大型企業

67、與管理相對嚴格規范的企業，“弱口令”問題同樣存在。這里首先需要糾正一個誤區，“弱口令”不僅僅局限于大眾通常認為的“過分簡單的口令”，一些看似足夠復雜的口令，也可能是“弱口令”。常見的“弱口令”情況包括：過于簡單的口令，常見的口令字典詞匯（比如：888888，qwerty 等），帶有身份信息的口令等。28但還有一類弱口令，容易被大家忽視：產品內置的默認賬戶，統一運維賬戶的默認口令，第三方運維人員設置的統一口令，已經失竊的口令（通常在發生網絡攻擊后，應該棄用之前使用的所有賬戶口令，默認這些賬戶已經失竊），信息泄露（比如管理員把后臺的賬戶信息記錄到了維護日志中）。勒索攻擊事件中，最長見到的“弱口令”

68、問題，主要出現在“遠程桌面弱口令”、“數據庫弱口令”，“Nas 設備弱口令”之中。其共同點在于，這類設備和環境，直接會將認證接口暴露于公網之上。一但掌握這些設備的賬戶口令信息，就可以直接登錄設備，成為對內網進一步攻擊的攻擊入口。而掌握信息，又關聯有相應的權限，一旦一個高權限賬戶失陷就為攻擊提供了方便之門，可以暢通無阻的實施對其他設備的控制和數據的竊取。在和用戶的交流中，說就是寫到“小本本”上，貼機箱上，也比存在“password.txt”文檔中安全一萬倍，玩笑歸玩笑，也說明了密碼管理與密碼存儲的無奈。常規的口令安全宣教，大家應該都已經清楚，比如定期更新密碼，不使用簡單密碼，不使用相同密碼登。但

69、在這些安全措施的落實上，卻困難重重。我們有下面幾條建議，可以用于加強對口令的管理。1.避免在一臺設備中存儲大量的口令或者登錄憑證信息，不要認為攻擊者不會注意到，不會發現。黑客對一臺設備的信息發掘，首要發掘目標，就是這臺設備中保存的各類賬戶憑證信息。2.賬戶驗證策略工具，比如設置管理頁面的訪問 ip 白名單，密碼驗證次數上限等措施，可以輕松而簡單的緩解很大一部分刺探攻擊。另外一些老舊系統，缺乏必要的安全保護措施，無法應對口令暴破攻擊，也應該避免使用。3.有條件的情況下，盡量開啟多因素認證（MFA），使用多因素認證，可以極大的增加口令暴破的難度，是緩解此類問題的一個簡單有效的成熟方案。4.密碼管理

70、工具與單點登錄認證（SSO），有人可能懷疑，使用單點登錄認證這次統一認證方式，難道不是風險更高么。其實不然，當使用的系統越來越多，維護多個認證系統以及多組認證信息，是比較困難的。尤其是讓員工記住多個復雜口令，并定期更新的管理難度很大。而管理好一套認證系統與一套口令，對單個人員來說，更具可操作性。同時 SSO可以與 MFA 相結合，對重點設備可以加強認證。密碼管理工具，可以幫員工生成高強度的密碼，減少人為設定“弱口令”的可能性，也減小明文存儲密碼的情況。(二)漏洞利用攻擊漏洞問題在全球范圍內的勒索攻擊中占有重要地位，常作為攻擊的初始入口或在橫向移動中被利用。首先需要明確的是，漏洞是隨著信息系統的

71、發展而產生的，系統復雜度增加后，漏洞不可避免地會出現。存在多種類型的漏洞，包括硬件漏洞、操作系統漏洞、應用軟件漏洞、第三方組件漏洞等。在勒索軟件攻擊案例中，應用軟件漏洞尤其常見，涉及 Web 服務程序（如 OA、ERP 系統）、域控服務器、網絡邊界服務（例如 VPN 服務器）。根據漏洞是否已被修補，分為 0day 漏洞（還未被廠商修復）和 nday 漏洞（已被廠商修復）。對過去一年的案例進行分析，發現大量勒索攻擊活動中，最常被利用到的還是 nday 漏洞。29下圖是一個典型的 Web 服務漏洞攻擊的攻擊過程展示：典型 Web 服務漏洞攻擊流程漏洞的復雜性常常讓管理者不知從何下手。為此，我們從不

72、同視角幫助讀者理解漏洞攻擊問題：黑客視角黑客視角黑客發起攻擊，從來不是“徒手”進行的，他們使用眾多“武器”來實現攻擊目的。攻擊發起的前夜，黑客通常使用掃描工具對潛在目標進行偵查，來發現開放的服務和潛在漏洞。經常是整個網段或對某個機房集中掃描，也會根據前期收集的服務器信息，對特征服務器發起掃描。這個掃描過程一般通過租用的服務器，或通過“肉雞”，或第三方開放平臺來完成。這個掃描過程每時每刻都在互聯網上進行著，只要對互聯網公開的服務，都會很快被探測發現。所以，不要心存僥幸，認為部署的服務沒太大經濟價值，沒什么人用，不會被黑客發現等等。準備攻擊武器，并不是所有“黑客”都有能力來發掘漏洞，編寫完整攻擊代

73、碼。絕大多數黑客，都是使用的知名的 Exploit kits 工具集來完成攻擊的。最受黑客青睞的是，各種有可利用 EK 或 POC（Proof of Concept）代碼的 1Day 漏洞（廠商剛修復不久的漏洞）。有工具可用，意味著黑客不需要自己來實現漏洞攻擊代碼，可能只需替換 payload（攻擊載荷）就可以完成利用。而 1Day，意味著有大量沒有打補丁的設備，如果這個漏洞本身權限較高，比較好用。同時出現漏洞的平臺又比較流行，那么一場黑客盛宴就開始了。發起攻擊，在勒索攻擊中，黑客們更樂于選擇非工作時間，尤其是周五晚上來發起攻擊。這樣他們有足夠時間來解決各種遇到的問題，而不被管理員發現。攻擊往

74、往是自動化進行的，偶爾需要一些半自動化的操作來輔助，所以一個黑客團伙，可以在一晚上完成對幾千上萬臺服務器的攻擊。所以管理員需要理解，在這種大規模的黑客攻擊面前，只要對外開放了服務，就要準備應對此類攻擊，不存在僥幸的可能。30軟件供應商視角軟件供應商視角目前主流操作系統供應商，自身對安全問題普遍較為重視，對產品的安全測試比較充分，出現問題后能夠及時修補。用戶只要及時更新補丁，可以避免絕大多數操作系統漏洞帶來的勒索風險。但第三方軟件供應商，對漏洞問題的態度與能力，就存在巨大差別了。有表現積極的大廠，也有不少廠商對漏洞問題比較避諱，認為產品的漏洞問題是產品的負面信息，不愿意過多公開。也有認為，我們提

75、供的是產品功能，至于漏洞與網絡攻擊，那是安全廠商與黑客的事情，與己無關，對安全問題不重視，不積極修改等。發布的補丁遮遮掩掩，難以獲取。另外部分廠商對于盜版用戶，或者沒有續費訂閱的用戶，也不提供相應的補丁服務，事實上也造成了問題的加劇。另外，第三方組件的安全性問題，也是各家廠商的一大痛點?，F在的軟件系統，通常會引入大量第三方組件，當一個組件被引入后，有些廠商會選擇不斷適配更新，但這會增加維護成本。還有不少廠商，從引入開始就不再更新維護這個組件。當這個組件出現問題時，就很難發現與修復。而當一個大量被使用的第三方組件出現問題時，往往就會產生“核彈級”的攻擊效果。就比如 log4j2 漏洞帶來的影響。

76、安全公司視角安全公司視角安全公司在維護系統安全方面面臨著漏洞問題的挑戰。對于操作系統的漏洞，大多可以通過安裝補丁來解決。然而對于第三方應用，由于存在版權和技術多樣性問題，安全公司難以為每個應用安裝對應的補丁。通常，他們采取如熱修復（hotfix）和通用漏洞緩解措施（比如輸入審查，內存監控，行為分析等）以提供一定的保護，但這些措施也不是萬能的，更多的是用來應對一些通用性常見漏洞，為無法打補丁或者沒有補丁的環境來提供保護。用戶視角用戶視角前文大量的敘述，我們最終希望讓用戶清楚認識到，不應抱有僥幸心理任何對外公開的服務都可能成為黑客的攻擊目標。不要相信什么“補丁無用論”的論調，應摒棄那些質疑補丁有效

77、性的錯誤觀點，譬如認為安裝補丁會導致系統響應變慢、產生兼容性和穩定性問題等。即使部分用戶因未支付相應服務費用而無法獲得補丁，也應尋求其他方式來保護系統安全。還有一些用戶由于擔心補丁可能的不穩定性和對業務運作的潛在影響，而選擇不安裝更新。然而，必須認識到，安全補丁是防御和修復漏洞中最有效的手段之一，應當作為安全實踐的常規部分來定期執行。最后關于漏洞治理，我們提供以下幾條建議：1.定期更新與進行補丁管理，這是目前解決漏洞問題最可靠的手段。2.安裝安全防護軟件，如前文介紹，安全軟件能夠提供大量漏洞防御與緩解機制，來降低一些通用漏洞造成的危害。3.減少對外暴露的服務，非必要不對外提供服務。使用反向代理

78、等措施，降低被探測發現31的可能性等。漏洞與工具漏洞與工具我們總結了在 2023 年的勒索攻擊活動中經常被使用到的漏洞。其中主要的漏洞基于CVE/CNVD 編號的歸類匯總如下：勒索傳播中經常使用到的漏洞（基于勒索傳播中經常使用到的漏洞（基于 CVE/CNVDCVE/CNVD 編號）編號）漏洞編號漏洞編號涉及產品涉及產品/應用應用/服務服務/設備設備相關關鍵詞相關關鍵詞CVE-2017-0143CVE-2017-0143針對 SMB 服務發起攻擊永恒之藍、WannaCry、共享、445 端口CVE-2017-0144CVE-2017-0144CVE-2017-0145CVE-2017-0145C

79、VE-2017-0146CVE-2017-0146CVE-2017-0148CVE-2017-0148CVE-2020-1472CVE-2020-1472域控 Netlogon 特權提升漏洞ZeroLogon、域控漏洞、橫向移動CVE-2023-28252CVE-2023-28252Windows 提權漏洞通用日志文件系統驅動程序漏洞CVE-2021-1675CVE-2021-1675Windows 打印服務打印高危漏洞、PrintNightmareCVE-2021-34527CVE-2021-34527CVE-2021-36958CVE-2021-36958CVE-2021-34473CVE

80、-2021-34473針對 Exchange Server 服務提權或遠程代碼執行漏洞CVE-2021-34523CVE-2021-34523CVE-2021-31207CVE-2021-31207CVE-2022-41040CVE-2022-41040CVECVE 20222022 4108241082CVE-2021-40444CVE-2021-40444微軟 MSHTML 漏洞遠程代碼執行漏洞CVE-2021-36942CVE-2021-36942NTLM 協議攻擊PetitPotam、Windows LSA 欺騙漏洞CVE-2021-26411CVE-2021-26411針對 IE 瀏

81、覽器IE 瀏覽器漏洞CVE-2021-44228CVE-2021-44228Apache 組件漏洞Log4j2 漏洞、Log4jShellCVE-2023-46604CVE-2023-46604ActiveMQ 漏洞CNVD-2022-60632CNVD-2022-60632暢捷通軟件漏洞T+任意文件上傳及遠程代碼執行漏洞CNVD-2023-48562CNVD-2023-48562CNVD-2022-05486CNVD-2022-05486CHANJET_Remote 注入漏洞CNVD-2023-93600CNVD-2023-93600?？低暪芾砥脚_漏洞?？低暠O控產品管理平臺漏洞CNVD-

82、2023-53133CNVD-2023-53133CVE-2023-6608CVE-2023-6608通達產品漏洞通達 OA 產品 SQL 注入漏洞CVE-2023-6611CVE-2023-6611CVE-2023-22518CVE-2023-22518Atlassian Confluence 漏洞Confluence 權限及注入漏洞CVE-2022-26134CVE-2022-26134CVE-2021-21972CVE-2021-21972VMware vSphere 套件漏洞vSphere Client 漏洞CVE-2021-21985CVE-2021-21985CVE-2021-21

83、974CVE-2021-21974ESXi 漏洞CVE-2CVE-20 021-2197421-21974CVE-2020-3992CVE-2020-399232CVE-2021-22005CVE-2021-22005vCenter 漏洞CVE-2023-20887CVE-2023-20887VMware Aria 漏洞Operations for Networks 命令注入漏洞CVE-2018-13379CVE-2018-13379Fortinet FortiOS 漏洞FortiOS VPN 相關產品漏洞CVE-2020-12812CVE-2020-12812CVE-2023-27350CV

84、E-2023-27350PaperCut NG/MF 安全漏洞PaperCut 漏洞CVE-2023-06CVE-2023-066 69 9Fortra 產品漏洞GoAnywhere 托管文件傳輸(MFT)RCE 漏洞CVE-2023-34362CVE-2023-34362MOVEit 產品漏洞MOVEit Transfer SQL 注入漏洞CVE-2023-35036CVE-2023-35036CVE-2023-35708CVE-2023-35708CVE-2023-20269CVE-2023-20269Cisco 產品漏洞Cisco ASA&FTD VPN 未授權訪問漏洞CVE-2023-

85、4966CVE-2023-4966Citrix 產品漏洞Citrix Bleed 信息泄露漏洞勒索軟件傳播中所利用的漏洞編號此外還有一些漏洞是由各廠商自行發布并修復的，我們根據其對應的廠商或產品進行了分類匯總，數據如下：勒索傳播中經常使用到的漏洞（其他無漏洞編號）勒索傳播中經常使用到的漏洞（其他無漏洞編號）相關產品相關產品涉及產品涉及產品/應用應用/服務服務/設備設備用友網絡用友網絡用友 NC Cloud Java 反序列化遠程命令執行漏洞用友 NC Cloud SQL 注入漏洞用友 NC Cloud 文件上傳漏洞用友 NC Cloud 遠程命令執行漏洞用友 NC JNDI 遠程代碼執行漏洞用

86、友 NC SQL 注入漏洞用友 NC-IUFO 報表系統 SQL 注入漏洞用友 NC 命令執行漏洞用友 NC JAVA 反序列化代碼執行漏洞用友 NC 遠程代碼執行漏洞用友 TurboCRMSQL 注入漏洞用友 U8 Cloud 反序列化漏洞用友 U8 Cloud 命令執行漏洞用友 U8 SQL 注入漏洞用友 Yonyou UAP/NC 任意文件下載漏洞用友文件服務器配置管理系統 SQL 注入漏洞用友移動系統管理任意文件下載漏洞用友移動系統管理文件上傳漏洞用友友空間 APPFastjson 反序列化漏洞致遠互聯致遠互聯致遠 OA 命令執行漏洞致遠 OA 系統文件上傳漏洞致遠 OA 文件上傳漏洞

87、致遠 OA 任意文件下載漏洞致遠 OA-A8 系統任意文件讀取漏洞33致遠 A8-V5 協同管理軟件任意文件讀取漏洞致遠 A8+協同管理軟件遠程命令執行漏洞金蝶軟件金蝶軟件金蝶 KIS 專業版提權漏洞金蝶 EAS Cloud 文件上傳漏洞金蝶 k3wise 創新管理平臺命令執行漏洞金蝶 GSiS 政務服務平臺表達式注入漏洞金蝶星空云文件上傳漏洞恩特軟件恩特軟件浙大恩特客戶資源管理系統任意文件上傳漏洞廣聯達廣聯達廣聯達 Linkworks SQL 注入漏洞泛微網絡泛微網絡泛微 OA 任意文件上傳漏洞泛微 E-Cology SQL 注入漏洞泛微 E-office 遠程代碼執行漏洞泛微云橋 SQL

88、注入漏洞億賽通億賽通億賽通電子文檔安全管理系統遠程代碼執行漏洞速達軟件速達軟件速達全系軟件任意文件上傳漏洞通達信科通達信科通達 OA SQL 注入漏洞通達 OA命令執行漏洞IBMIBMIBM WebSphere 注入漏洞時空智友時空智友時空智友 SQL 注入漏洞時空智友文件上傳漏洞勒索軟件傳播中所利用的產品漏洞黑客集團的攻擊行為往往帶有鮮明的個性化特征，他們使用一些習慣性的攻擊技巧和策略。在利用漏洞攻擊（Exploit Kit，簡稱 EK）工具的使用上，過去流行的如 RIG EK 和 SundownEK 等，隨著其背后的攻擊集團逐漸隱匿，已經逐步退出了安全專家們的視線。然而，當前仍有一些 EK

89、 工具在不斷地被應用，如 Magnitude EK，它正被 Magniber 勒索團伙所采用。同時，黑客也在不斷追求能夠迅速利用新漏洞的手段，以達到更為有效的攻擊結果，EK 工具可能不能滿足黑客的這些需求。(三)橫向滲透攻擊橫向滲透是企業內網和大型內部網絡在網絡安全方面經常遭遇的挑戰，在針對中大型企業的勒索攻擊場景中尤其常見。典型的攻擊模式下，攻擊者常首先通過一個受感染的終端或節點，然后使用各種手法探索內部網絡并向其它設備擴散，最終可能導致大規模的設備感染，甚至完全癱瘓整個網絡。企業的域控制服務器和管理服務器是黑客的優先攻擊目標，因為一旦控制了這些核心資產，黑客便能夠在網絡中隨意橫行。此外，企

90、業內網中許多設備常有著統一或相似的軟件配置和口令設置，這為黑客提供了利用一個設備來威脅整個網絡的可能。設備的安全性很大程度上取決于是否及時應用系統補丁。內網中的一些設備可能會因為缺乏及時更新而變得特別脆弱，成為黑客首選的目標?，F代黑客通常使用集成了眾多漏洞利用工具的攻擊工具包，對未打補丁的設備進行攻擊，使它們輕易受到損害。34我們提供的勒索預警服務，也有很大一部分來自于對橫向滲透攻擊的發現。在橫向滲透到勒索投毒的短暫時間差，來提醒企業進行應急阻斷，以降低攻擊產生的損失。下圖展示了，橫向滲透攻擊，如何在內網中滲透活動。典型橫向滲透攻擊流程下面整理了一些勒索家族在橫向滲透中常用的攻擊工具，包括進程

91、查看器，端口掃描工具，口令提取工具，各種內網滲透工具。黑客通過這些工具大大簡化了攻擊過程，降低了黑客的攻擊門檻。其中有部分工具是通用工具，被幾乎所有黑客團伙使用，最為常見的通用工具有如下這些：RootkitRootkit 工具工具：PChunter、Process Hacker、Process Explorer密鑰竊取工具密鑰竊取工具：Mimikatz資源收集與數據竊取工具資源收集與數據竊取工具：Everything、NetworkShare（值得一提的是：Everything 除了被用來搜集文件外，還被黑客用來批量竊取文件。Everything 可被部署為文件服務器，攻擊者利用這一特性，在被

92、攻擊設備中暗中植入everything 做為后門使用。）遠程控制工具遠程控制工具：AnyDesk35除以上工具外，下面也總結了當前流行勒索家族所使用的其它一些工具：勒索家族勒索家族使用的黑客工具使用的黑客工具BeijingCryptBeijingCryptNetPass、PEview、KPortScan、NaspBlackBitBlackBitNetPass、WebBrowserPassViewBuranBuranAZORult、Vidar、RigEK、dfcontrol、YDArkLockBitLockBitMEGAsync、CrackMapExec、PsExec、GMER、FileZill

93、a、ScreenConnect、LaZagne、Cobalt Strike、Exfitrator-22、KPortScan、NetScan、PowerTool、Rclone、PuTTY、Chocolatey、Impacket、NgrokMakopMakopNetScan、dfcontrol、NetPass、mouselock、Exploit、Advanced Port Scanner、ARestore、PuTTY、PsExec、YDArk、PuffedUp、KPortScan、NLBrute、denfendercontrl、ydaykMalloxMalloxFscan、powercat、lcx

94、、sqlck、DefinderControl、NetScanphobosphobosDataBase、DefinderControl、accountrestore、denfendercontrl、NetPass、pyark、frp、frpc、KPortScan、luciroot、NetScan、Nasp、YDArk、PuTTY、dfcontrol、GMER、HrWord、NLBrute、ydayk、WebBrowserPassViewPlayPlayAdFind、Bloodhound、GMER、IOBit、PsExec、PowerTool、PowerShell、Cobalt Strike、Wi

95、nPEAS、WinRAR、WinSCP、Microsoft Nltest、Nekto、PriviCMD、Plink、GrixbaRhysidaRhysidaPsExec、PuTTY、PortStarter、secretsdump、PowerViewAvosLockerAvosLockerSplashtop、Streamer、Tactical RMM、PuTTy、PDQ Deploy、Atera Agent、PsExec、Nltest、Ligolo、Chisel、Cobalt Strike、Sliver、Lazagne、FileZilla、RcloneCl0pCl0pSDBot、FlawedGr

96、ace、DEWMODE、FlawedAmmyy、Truebot、Cobalt Strike、LEMURLOOTBianLianBianLianTeamViewer、Atera Agent、SplashTop、SharpShares、PingCastle、SoftPerfect Network Scanner、Impacket、Rclone、MegaRoyalRoyalZeon、Chisel、Qakbo、PsExec、LogMeIn、Atera、Cobalt Strike勒索軟件傳播中所使用的黑客工具(四)共享文件加密共享文件在一定程度上并不直接屬于勒索軟件的傳播手段，但從實際用戶反饋與安全事件

97、處置情況來看，它是我們常遇到的一個問題。因此，我們特別對此問題進行說明，以幫助用戶更好地理解并采取適當的防護措施。在共享文件夾加密的事件中，通常不是存儲這些文件的服務器或存儲設備本身遭到了入侵，而是其他有權限訪問這些共享文件夾的設備被感染了，導致了共享文件夾內文件的加密。當前廣泛流行的勒索軟件往往集成了掃描和枚舉病毒可以訪問的網絡資源的能力，其中包括對網絡共享數據的掃描。在實際投遞的勒索軟件中，加密共享文件夾的功能通常默認為啟動狀態。36此外，許多用戶為了便于訪問共享文件，可能會設定相對寬松的權限管理，甚至允許具有寫權限的訪客用戶訪問。這增加了勒索軟件通過這些點獲取并加密文件的可能性。對于這一

98、問題的有效解決方法相對直接：1.實行更嚴格的權限管理，限制普通用戶對于關鍵共享文件的寫入權限。2.創建網絡分隔（VLAN）和更細粒度的訪問控制策略，以減少跨區域的網絡訪問可能性。3.定期進行用戶訪問權限審計，及時撤銷不必要的權限設置。4.對共享文件夾執行定期備份，以確保數據可以在攻擊發生后迅速恢復。(五)僵尸網絡投毒僵尸網絡，或稱為僵尸網絡，是網絡攻擊者執行各種惡意行為最喜愛的工具之一。攻擊者通常會利用木馬病毒、蠕蟲、以及利用安全漏洞的工具來劫持大量的未防護設備，將其轉化為“肉雞”以加入其龐大的僵尸網絡中。一旦網絡建立，攻擊者可隨時通過遠程控制命令，操控這些“肉雞”計算機或設備發動分布式的攻擊

99、活動。舉例來說，國內知名的“匿隱”僵尸網絡就是僵尸網絡的一個典型案例，它曾多次被用于傳播勒索軟件。盡管在過去一年的勒索軟件攻擊事件中，僵尸網絡并非主要手段，但其對個人電腦和普通家庭網絡的威脅依舊不小。下圖呈現的是僵尸網絡實施攻擊的一般流程，以及攻擊團伙如何構建并利用該網絡。該過程往往開始于誘使用戶從非官方或第三方來源下載并安裝免費軟件，這些軟件可能是常見的工具，如 BT 下載器、系統激活工具、或破解版軟件，但內含惡意代碼。37安裝了這些帶有惡意負載的軟件后，受害者的設備會被植入各類病毒和木馬。黑客接著通過這些已經攻陷的設備，執行一系列網絡內侵犯行為，包括使用 EternalBlue 和Doub

100、lePulsar 等著名漏洞，或者通過遠程服務、計劃任務和 wmic 命令進行攻擊，以實現在內網中的橫向移動。典型僵尸網絡入侵流程(六)其它攻擊因素以上對國內勒索軟件最常見的傳播手法進行了詳細介紹解讀，其它的傳播因素，還包括：網頁掛馬、激活破解類軟件、游戲外掛、釣魚郵件、IM 傳播、供應鏈攻擊等。這些攻擊手法在往年的報告中均有詳細介紹，在此不再一一贅述，勒索軟件攻擊所采取的策略和傳播渠道已經非常多樣化了，幾乎涵蓋了所有既往傳統病毒和木馬曾經采用的手段。然而，其最核心的差異在于攻擊的目標：勒索軟件專注于對數據的劫持，這區別于過去傳統惡意軟件主要以破壞功能或盜取信息為主要目的。38第四章 勒索軟件

101、發展新趨勢分析在 2023 年，勒索軟件威脅毫不意外的再次成為年度最熱門的網絡安全話題。個人、企業和政府都無法逃脫勒索軟件帶來的影響。不管是在國際紛爭、商貿活動還是個人社會生活中，勒索軟件威脅都無處不在。短短幾年的時間里，勒索軟件已經從一個新興威脅發展成為網絡世界最受關注的威脅之一。我們通過回顧今年發生的重大勒索事件，來探索勒索軟件的發展趨勢，并從我們為應對勒索軟件威脅所做的努力中，探討未來的勒索防御模式。一、一、勒索軟件攻防發展情況勒索軟件攻防發展情況(一)規?；到y化攻擊頻發在過去一年里，中小企業面臨的規?；?、系統化的勒索軟件攻擊事件顯著增多。以tellyouthepass 為代表的勒索團

102、伙，在過去一年中，發起了數十次攻擊事件。針對各類業務應用系統的攻擊已發生數百起，規模往往數千臺之多。這類攻擊的贖金要求一般不高，通常在等價二到五萬元人民幣的虛擬貨幣，但頻發的事件對中小企業構成了嚴重的網絡安全挑戰。雖雖然遠程桌面協議（RDP）的口令破解仍是最普遍的攻擊形式，但安全漏洞是這些攻擊頻發的主要原因。針對這一問題的解決策略，關鍵在于安全管理。對于中小企業來說，服務器的安全運維是一項現實挑戰。他們資源有限，通常將服務器安全管理任務委托給 IT 部門或外部供應商。當服務由知名的大型供應商管理時，安全問題一般得到有效控制。然而，許多小型代理商缺乏必要的安全管理經驗，僅能完成基礎的產品安裝部署

103、，對安全運維知之甚少。中小企業的IT 部門也以運營內部信息系統為重點，安全運營能力參差不齊。在我們協助調查的中小企業勒索事件中，經常出現多次被勒索攻擊的情況。同時在沒有專業安全團隊介入的情況下，企業自己的故障排查很難查清真正的問題原因。只能恢復系統，“一刪了之”。因為找不到問題原因，漏洞一直得不到修復，也造成反復中，反復修的問題發生。面臨這類問題，中小企業可以考慮利用專業的第三方托管服務來提高其安全實力。許多安全產品現在提供了作為服務（SaaS）的第三方托管解決方案。通過專業的安全團隊與本地IT 運維人員的協同工作，企業可以在較低的成本下提高其安全運維能力。(二)AI 或成為未來勒索對抗關鍵點

104、2023 年被譽為生成式 AI（人工智能）的元年，以 GPT 為代表的聊天機器人相較于傳統對話系統展現了碾壓式的能力優勢。隨著越來越多的 AI 產品走出實驗室，它們不斷被集成到各類生產和業務環境中，在安全領域的紅黑對抗中也呈現出新的嘗試和應用。在安全應用方面，安全企業已經開始探索將 AI 技術融合進其安全產品的可能性。以微軟為例，其推出的 Security Copilot 就是利用 AI 技術為安全運維人員提供輔助的一大步。39該系統能夠智能地進行風險排查，從而降低了安全運維的專業門檻。在國內，也有多家安全公司正在積極地進行類似探索，預計在不久的將來將涌現出更多 AI 輔助的安全運維產品?？梢?/p>

105、預見，AI 技術將逐漸成為未來企業安全產品的標準配置。同時，AI 的應用不僅限于提升產品的用戶體驗和易用性，還有助于增強安全產品的“內功”。AI 技術正在被用來輔助清洗和處理數據，解析安全日志，識別潛在的風險行為。AI正在逐步替代現有的安全運營流程與工具。這樣的進步不僅提高了安全分析人員的工作效率，而且增強了整個安全團隊的防御和響應能力。在勒索軟件防御領域，安全研究人員也在嘗試發揮 AI 的優勢，目標是實現對惡意軟件威脅的更早發現和更迅速的應對。及時識別和響應在應對勒索攻擊中至關重要，因為它直接關系到將攻擊造成的潛在損失降至最低，甚至完全避免。當下勒索軟件的防御多依賴于事先設定的防御策略和安全

106、專家的分析研判，這些方法在處理日新月異的威脅時可能面臨挑戰，。與之相比，AI 技術在處理這些問題時展現出諸多優勢。它可以快速處理大量數據，通過機器學習模型識別出攻擊模式，能夠不間斷快速處理響應，都為勒索應對帶來了新的可能。比如利用 AI 深度學習算法，安全系統可以在沒有人類直接干預的情況下自動調整防御策略，更快地響應安全事件。AI 在勒索軟件防御方面的應用，不僅是技術挑戰，還是一個機遇。隨著 AI 技術的持續發展，它將更加成熟并最終成為網絡安全保障體系中不可或缺的一部分。在灰黑產方面，AI 技術已經開始被灰黑產業所利用。在近期國內偵破的一些勒索攻擊、網絡攻擊案例中，已經發現有黑產團伙使用 Ch

107、atGPT 來輔助修改攻擊代碼，幫助完善攻擊工具的案例。當前，雖然各大 AI 廠商對 AI 的應用都做了一定程度的限制，避免其用于發起網絡攻擊和各種破壞性行為，但還是很難避免新技術被濫用的問題。例如自動生成的惡意軟件和釣魚電郵，發起社會攻擊。對攻擊者而言，AI 減少了獲取和部署攻擊資源的成本和難度。通過利用自動化工具和算法，攻擊者現在能夠以前所未有的速度和規模發起勒索軟件攻擊，造成廣泛的破壞。因此，對安全產品的未來挑戰不再僅僅是與傳統的惡意軟件和攻擊策略對抗，而是需要在不斷進化的 AI 安全競賽中，保持警惕性和應對能力，如何有效地對抗由 AI 生成的威脅，將成為衡量其能力的重要指標。這將是一個

108、長期對抗演化的過程?？偠灾?，生成式 AI 的崛起代表了網絡安全領域的一個轉折點。隨著技術進步，AI 既是網絡安全的有力輔助工具，也可能成為未來安全威脅的催化劑。必須承認，僅依靠技術手段是不夠的。全面的安全策略需要結合法律、政策和教育手段，以形成對破壞性 AI 應用的防御。它需要的是一個綜合的技術和社會響應策略。有效管理這股力量，實現其在提升網絡安全中的正面作用，也將是未來研究和實踐的重點。(三)大型企業面臨新常態：雙重勒索與日益嚴重的數據竊密雙重勒索自 2019 年出現以來，每年都會是年度熱門話題，過去一年的勒索攻擊案例顯示，雙重勒索攻擊已成為網絡黑客針對大型企業攻擊的優選策略。這種攻擊不僅

109、加密受害企業的數據，還威脅要公開竊取的信息，從而迫使企業支付贖金。即使是大型企業也發現，僅依靠數據備份和恢復的常規手段并不充分，無法免受這種勒索攻擊的影響，因為即使可以恢復數據，被竊取的信息仍可被用來進行二次勒索或在暗網上交易。而持續的安全運維防護被證明是防御這類威脅的最有效方法。大型企業的核心數據通常采用多重數據備份策略，傳統勒索軟件對其的加密破壞，雖然40短期內會對業務造成影響，但企業還有一定技術應對手段來恢復業務。然而，雙重勒索攻擊通過額外的數據竊取和威脅公開敏感信息來破壞這種恢復能力。勒索要求往往涉及巨額贖金，并且數據泄密的后果是長期且無法挽回的，雙重勒索攻擊還對企業的聲譽和客戶信任造

110、成嚴重打擊，尤其是當涉及敏感數據時，如財務信息、知識產權、員工信息以及客戶的個人數據。對企業而言，除了直接的財務損失，這種攻擊還可能引發合規性問題，比如 Blackcat 就曾向監管機構舉報被其攻擊的企業，這些問題導致企業被迫考慮支付贖金以減少損害。近年來，大型企業遭受數據勒索攻擊的威脅明顯上升。例如 Cl0p 團伙在 2021 年底消失后于今年 5 月復出，僅用半年時間便成功攻擊了近 400 家企業。盡管 REvil 因打擊行動而名存實亡，Darkside 因被迫品牌重塑，Conti 因俄烏戰爭導致分裂，Babuk 因處理竊取到的警方數據意見不一導致解散等，但不僅有不斷的新的勒索軟件團伙在崛

111、起，還有傳統老牌勒索軟件不斷涌入到雙重勒索方向，例如 Medusa、Mallox 以及 Trigona 等。2023 年發起數據勒索的團隊數量已接近 70 個，使得企業面臨的雙重勒索風險進一步加劇。在分析針對大型企業和關鍵基礎設施的勒索軟件攻擊過程中，我們注意到一些具有政治動機的攻擊案例，如旨在破壞目標國家或組織的運營管理能力。但當下，絕大部分針對企業和基礎設施的勒索軟件攻擊還是以經濟利益為主要驅動力。在攻擊技術方面，盡管少部分針對企業的攻擊案例涉及復雜的攻擊手段，例如供應鏈攻擊和高級持續性威脅（APT）攻擊，但大多數攻擊仍然起始于企業常規的安全管理缺失，比如配置不當的網絡邊界設備、未打補丁的

112、老舊系統、以及存在弱口令的服務。因此，強化日常安全運維和防護措施是有效防御這些攻擊的必要手段。任何僥幸心理或小的失誤都可能給黑客提供入侵的機會，一個邊緣設備的失陷，往往是企業核心資產被竊取的先兆。二、二、勒索軟件的防護、處置與打擊勒索軟件的防護、處置與打擊(一)以創新驅動反勒索技術發展安全技術新突破在于勒索軟件攻擊的對抗過程中，創新始終是打破平衡，實現突破的關鍵方法。2023年 360 也在這方面做了大量努力。正式推出勒索預警服務，依托全網探針能力，在經過一年多的摸索嘗試后，我們正式推出了勒索預警服務。勒索軟件攻擊的事前發現和預警對于降低攻擊的破壞程度非常重要。事前的防御措施效果遠優于事后的補

113、救。目前，針對企業的勒索攻擊主要分為兩類。第一類是通過單點攻擊獲取少量設備權限后，對內網進行橫向滲透，最終在合適的時間點投放勒索軟件。從獲得單個設備權限到整個網絡受到感染，一般需要 1 至 3 天的時間，而在一些大型網絡中可能會有更長的潛伏期。這個潛伏期提供了發出預警并爭取提前阻斷的機會。360 安全大腦利用全網的探針以及對各個勒索攻擊團伙行動特征的了解，能夠快速發現早期的勒索攻擊跡象，并向潛在的受害用戶發出預警，以避免進一步的損失。另一類常見的企業攻擊是針對企業的服務器發起的攻擊，常見的方法包括利用 Web 漏洞對相應的 Web 服務器進行攻擊。攻擊者通常會選擇特定的時間點，例如周五晚上，集

114、中對進行事前踩點的服務器發起攻擊。對于這類攻擊，360 安全大腦依靠全網大數據能力，在0號病例發生時就能快速感知。一旦攻擊事件擴大，可以迅速向企業用戶發出預警，以避免進一步的損失。41依托攻擊時間差，我們除了實現勒索阻斷外，也想用戶提供勒索攻擊預警。我們還推出了勒索急救模式，為設備感染勒索軟件的用戶，提供事后排查處置方案，將以往的處置建議，轉化為了處置工具與能力。在勒索解密方面，嘗試使用創新專利技術，識別勒索軟件對數據的加密，并在之后，實現對被破壞文件的恢復。在漏洞防護方面，加入了通用 webserver 漏洞防護能力，對無法打補丁或者沒有及時打補丁的 web 服務器，提供對 java，.ne

115、t 類漏洞攻擊的通用攔截能力。還有大量創新舉措，在不斷應用于 360 終端安全能力服務中，在此就不再一一列舉，通過新技術手段的應用，我們在不斷加固防御堡壘，使得勒索攻擊愈發困難，保障更多用戶的安全。(二)制度建設與完善過去一年，國內外政府與監管機構，均出臺了大量措施，用于緩解勒索軟件對社會造成的危害。美國牽頭的反勒索聯盟進入第三個年頭，它通過信息共享、協調打擊犯罪團伙、提升公共和私人部門的防護能力等方式，增強對抗勒索軟件的全球性努力。反勒索聯盟還在努力制定統一的應對措施，并促進跨國警務合作，以追蹤和打擊國際勒索軟件犯罪活動。在今年11 月舉行的會議中，各國政府和企業代表在會議中簽署“拒絕向黑客

116、支付贖金”的承諾，意在削弱勒索軟件操作的經濟基礎，破壞其獲利模式。在國內法規和政策方面，國家網信辦發布的 網絡安全事件報告管理辦法（征求意見稿）強調了對于勒索軟件攻擊事件的報告要求，旨在及時識別、反應并減少這些攻擊造成的損害。政策鼓勵透明地報告勒索事件，隱藏勒索攻擊事件，掩蓋攻擊后果，只會進一步加劇勒索攻擊問題。造成更大范圍的傷害，而及時有效的制度性通報，也能降低企業的社會壓力，避免被黑客要挾。技術支持和資源共享方面，國家互聯網應急中心（CNCERT/CC）聯合國內頭部安全企業成立“中國互聯網網絡安全威脅治理聯盟勒索軟件防范應對專業工作組”，從勒索軟件信息通報、情報共享、日常防范、應急響應等方

117、面開展勒索軟件防范應對工作，并定期發布勒索軟件動態。我們也是該工作組成員，為企業提供勒索軟件攻擊救援支持。42第五章 安全建議面對嚴峻的勒索軟件威脅態勢，我們分別為個人用戶和企業用戶制定了以下安全建議。希望能夠幫助盡可能多的用戶全方位的保護計算機安全，免受勒索軟件感染。一、一、針對企業用戶的安全建議針對企業用戶的安全建議(一)發現遭受勒索軟件攻擊后的處理流程1.發現有設備中招，不要驚慌，及時有效的處置，能夠降低損失，減少再次被攻擊可能性。2.對被攻擊設備及時進行隔離，切斷網絡連接。如果同一子網下多臺設備中招，可切斷整個子網對外連接。3.企業面臨最常見入口攻擊包括：遠程桌面弱口令，Web 服務漏

118、洞，數據庫弱口令。企業內網設備常由于內部設備發起的橫向滲透，而遭受攻擊。因此，在發現攻擊的第一時間，可通過防火墻先切斷除管理員外，其它外部對遠程桌面的訪問。關閉服務器 web 服務端口，關閉服務器數據庫外部訪問端口，作為應急保護手段。4.盡快聯系安全廠商或其它安全團隊，對內部網絡進行排查處理。如果自行排查，也需查清具體入侵入口，攻擊路徑以及受影響資產情況，避免留下安全隱患。5.根據排查發現的問題，對風險點位做加固修復。公司內部涉及的所有設備、服務的口令都應進行更換，應假設黑客已經竊取了所有涉及設備中存儲的憑證，做最壞打算。6.目前主流勒索軟件均無法技術破解，因此，面對勒索攻擊，預防是最有效的方

119、式。通過弄清楚被攻擊的原因，我們可以避免再次成為攻擊目標。忽視事故原因，盲目重置系統，會帶來更嚴重安全隱患！(二)企業安全規劃建議對企業信息系統的保護，是一項系統化工程，應在企業信息系統建設初期就加以考慮，但對現有環境的改善提升，也能提升企業應對網絡攻擊風險的能力。以下從最關鍵的網絡建設，資產管理，人員管理方面進行介紹。1.網絡建設網絡架構，業務、數據、服務分離，不同職能部門與區域之間通過 VLAN 和子網分離，減少因為單點淪陷造成大范圍的網絡受到攻擊。內外網隔離，合理設置對外開放區域，對外提供服務的設備要做嚴格管控。減少企業被外部攻擊的暴露面。安全設備部署，在企業終端和網絡關鍵節點部署安全設

120、備，并日常排查設備告警情況。權限控制，包括業務流程權限與人員賬戶權限都應該做好控制，如控制共享網絡權限，原則上以最小權限提供服務。降低因為單個賬戶淪陷而造成更大范圍影響。43數據備份保護，對關鍵數據和業務系統做備份，如離線備份，異地備份，云備份等，避免因為數據丟失、被加密等造成業務停擺，甚至被迫向攻擊者妥協。敏感數據隔離，對敏感業務及其相關數據做好網絡隔離，如有必要甚至建議做好設備之間的物理隔離。避免雙重勒索軟件在入侵后輕易竊取到敏感數據，對公司業務和機密信息造成重大威脅。2.安全管理賬戶口令管理，嚴格執行賬戶口令安全管理，重點排查弱口令問題，口令長期不更新問題，賬戶口令共用問題，內置、默認賬

121、戶問題。補丁與漏洞掃描，了解企業數字資產情況，將補丁管理作為日常安全維護項目，關注補丁發布情況，及時更新系統、應用系統、硬件產品安全補丁。定期執行漏洞掃描，發現設備中存在的安全問題。權限管控，定期檢查賬戶情況，尤其是新增賬戶。排查賬戶權限，及時停用非必要權限，對新增賬戶應有足夠警惕，做好登記管理。內網加固，進行內網主機加固，定期排查未正確進行安全設置，未正確安裝安全軟件設備，關閉設備中的非必要服務，提升內網設備安全性。3.人員管理人員培訓，對員工進行安全教育，培養員工安全意識，如識別釣魚郵件、釣魚頁面等。行為規范，制定工作行為規范，指導員工如何正常處理數據，發布信息，做好個人安全保障。如避免員

122、工將公司網絡部署，服務器設置發布到互聯網之中。設備、網絡使用規范，不共享企業內網，辦公設備不安裝來路不明的軟件，等。(三)遭受勒索軟件攻擊后的防護措施1.比照“企業安全規劃建議”中的事項，對未盡事項進行及時更正或加強。2.檢測系統和軟件中的安全漏洞，及時打上補丁。是否有新增賬戶Guest 是否被啟用Windows 系統日志是否存在異常殺毒軟件是否存在異常攔截情況3.檢查登錄口令要有足夠的長度和復雜性，并更新安全度不足或疑似已經泄露的登錄口令。4.對尚未被加密的重要文件進行及時備份，避免依然存在活躍的勒索軟件對重要數據進行新一輪加密。5.加強對敏感數據的隔離，如可行，盡可能完全斷開敏感數據與外界

123、的一切連接。避免具有多重勒索功能的病毒進一步獲取更多的重要信息作為勒索籌碼。44二、二、針對個人用戶的安全建議針對個人用戶的安全建議對于普通用戶，我們給出以下建議，以幫助用戶免遭勒索軟件攻擊。(一)養成良好的安全習慣1.電腦應當安裝具有高級威脅防護能力和主動防御功能的安全軟件，不隨意退出安全軟件或關閉防護功能，對安全軟件提示的各類風險行為不要輕易采取放行操作。2.可使用安全軟件的漏洞修復功能，第一時間為操作系統和瀏覽器，常用軟件打好補丁，以免病毒利用漏洞入侵電腦。3.盡量使用安全瀏覽器，減少被掛馬攻擊、釣魚網站攻擊的風險。4.重要文檔、數據應經常做備份，一旦文件損壞或丟失，也可以及時找回。5.

124、電腦設置的口令要足夠復雜，包括數字、大小寫字母、符號且長度至少應該有 8 位，不使用弱口令，以防攻擊者破解。(二)減少危險的上網操作1.不要瀏覽來路不明的色情、賭博等不良信息網站，此類網站經常被用于發起掛馬、釣魚攻擊。2.不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。也不要輕易打開擴展名為 js、vbs、wsf、bat、cmd、ps1 等腳本文件和 exe、scr、com 等可執行程序，對于陌生人發來的壓縮文件包，更應提高警惕，先使用安全軟件進行檢查后再打開。對微信群發來的文件，不要盲目打開。3.電腦連接移動存儲設備（如 U 盤、移動硬盤等），應首先使用安全軟件檢測其安全性。4.對于

125、安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬對實際系統的破壞。(三)采取及時的補救措施1.安裝 360 安全衛士并開啟反勒索服務，一旦電腦被勒索軟件感染，可以通過 360 反勒索服務尋求幫助，以盡可能的減小自身損失。三、三、不建議支付贖金不建議支付贖金最后無論是個人用戶還是企業用戶，都不建議支付贖金！支付贖金不僅變相鼓勵了勒索攻擊行為，而且解密的過程還可能會帶來新的安全風險?？梢試L試通過備份、數據恢復、數據修復等手段挽回部分損失。比如：部分勒索軟件只加密文件頭部數據，對于某些類型的文件（如數據庫文件），可以嘗試通過數據修復手段來修復被加密文件。如果不得不支付贖金的話

126、，可以嘗試和黑客協商來降低贖金價格，同時在協商過程中要避免暴露自己真實身份信息和緊急程度，以免黑客漫天要價。45四、四、勒索事件應急處置清單勒索事件應急處置清單在此，我們準備了一份勒索軟件事件的應急排查處置清單，遇到此類問題的管理員，可對照下面清單，完成事件的初步處理，之后再由專業團隊，詳細排查事故原因。46勒索軟件應急處置清單勒索軟件應急處置清單檢查中招情況檢查中招情況檢查有哪些設備被攻擊，常見被攻擊特征有：文件后綴為被改，文件夾留下勒索信息，桌面背景被修改，彈出勒索提示信息。公網服務器域控設備與管控設備內網共享服務器辦公機（檢查是否僅是共享文件夾被加密）控制勒索蔓延控制勒索蔓延根據現場情況

127、，對已經發現的被攻擊設備或者存在風險的設備與網段進行臨時管控，常見管控方法包括：訪問控制訪問控制網絡隔離/主機隔離端口訪問控制（常見端口包括：445、135、137、139、3389、22、6379、3306、7001）設置 IP 訪問黑白名單：禁止國外 IP 訪問/僅允許特定 IP 訪問 或 僅允許本地 IP 訪問控制重要設備的訪問權限，或對重要設備做臨時下線處理。物理隔離物理隔離關閉設備/設備斷電拔出網線/禁用網卡/禁用無線網卡/移除移動網卡密碼策略密碼策略修改全部管理員賬號密碼禁用歸屬不明賬號臨時停用非必要賬號，修改所有普通用戶賬號密碼排查關鍵節點排查關鍵節點在完成上述應急處置后，盡快確

128、認以下事項，并聯系安全團隊進行進一步排查。（注意：被加密的文件本身不是病毒。）確定機器感染勒索軟件時間收集可疑樣本、被加密文件（少量）、勒索提示信息（一份）收集中招設備系統安全日志與防火墻日志檢查存儲有敏感信息設備是否被異常訪問檢查設備中賬戶情況，包括第三方軟件賬戶，最近新增賬戶檢查數據庫賬戶，VPN 賬戶，NAS 賬戶，VNC 類軟件配置排查 Web 日志排查最近運行記錄臨時禁用發現的攻擊賬號使用安全軟件進行掃描完成后續安全加固工作，安裝補丁，修補存在的其它問題。47附錄 1.2023 年勒索軟件大事件一、一、ESXiArgsESXiArgs 勒索軟件針對全球勒索軟件針對全球 ESXiESX

129、i 服務器發動大規模攻擊服務器發動大規模攻擊2023 年 2 月，大量攻擊者對 VMware ESXi 服務器發起攻擊，利用兩年前被公布的 ESXi遠程代碼執行漏洞來部署新的 ESXiArgs 勒索軟件，此外新型勒索軟件 Royal 也加入到了這一輪針對 ESXi 服務器的攻擊當中。本輪攻擊所利用的漏洞為 CVE-2021-21974，該漏洞是由OpenSLP 服務中的堆溢出問題引起的，未經驗證的攻擊者可以在輕松利用該漏洞進入用戶的服務器系統。受此漏洞影響的 ESXi 版本為：ESXi versions 7.x prior to ESXi70U1c-17325551ESXi versions

130、6.7.x prior to ESXi670-202102401-SGESXi versions 6.5.x prior to ESXi650-202102101-SG因此，VMware 公司向其客戶發出安全警告，提醒用戶安裝最新的安全更新，并禁用OpenSLP 服務。此外，VMware 公司還補充說明此次攻擊并沒有利用未知的 0day 漏洞，而 2021之后發布的 ESXi 軟件版本則已經默認禁用了 OpenSLP 服務。另外，美國網絡安全和基礎設施安全局（CISA）也公布了針對此次攻擊的修復腳本，用于修復被破壞的 ESXi 虛擬機環境。ESXiArgs 勒索軟件腳本代碼片段48根據法國云服

131、務供應商 OVHcloud 發布的報告稱，僅在出現大規模攻擊的第一天，該供應商管理的服務器中就有約 120 臺 ESXi 服務器被攻陷導致數據遭到加密。但根據 VMware公司確認，該漏洞早已被修復，僅存在于舊版的 ESXi 當中，并非新出現的 0day 漏洞。而在此攻擊中遭到破壞的服務器均使用了，他們沒有升級 ESXi 版本，并在默認設置中啟用了 SLP功能?？傮w而言，雖然此輪遭到加密的設備數量眾多，但 Ransomwhere 勒索支付跟蹤服務僅發現了 88000 美元的贖金這意味著攻擊者可能僅收獲到了四筆贖金。如此低的支付比例可能與解密工具的快速推出有直接關系。二、二、MedusaMedu

132、sa 勒索軟件對中石油印尼公司發動勒索攻擊勒索軟件對中石油印尼公司發動勒索攻擊2023 年 2 月 15 日，中國石油天然氣集團公司印度尼西亞分公司遭到勒索攻擊。同時，Medusa 勒索軟件搭建于暗網上的信息公布頁面中發布了該公司的相關信息。該團伙要求受害者支付贖金用以刪除其竊取到的數據，并稱如果不接受贖金要求則會出售這些數據。Medusa 博客頁面公示49根據 Medusa 博客中的說法，勒索軟件的威脅要求限時僅有 7 天，受害者可額外支付10000 美元將截止日期延長一天，而徹底刪除所有數據的贖金金額則為 40 萬美元。當然，第三方也可同樣支付 40 萬美元來獲取這些被竊數據。勒索軟件贖金

133、訴求不過，中石油始終未對此次勒索軟件攻擊做出任何回應。而根據以往記錄，此次攻擊事件是 2023 年第二起針對石油天然氣公司的勒索攻擊。在此之前，LockBit 勒索軟件入侵了Grupo Albanesi 公司。而對于 Grupo Albanesi 的攻擊也對其位于阿根廷的 9 家發電工廠產生了直接影響。而在更早之前的 2021 年，還曾發生過當時震驚世界的 Pipeline 勒索軟件攻擊事件。起因是由于美國佐治亞州的 Colonial Pipeline 遭受勒索軟件攻擊所致。當時由于此事件對美國經濟的直接影響，美國總統甚至宣布全國進入緊急狀態。三、三、MoneyMoney MessageMes

134、sage 勒索軟件攻陷微星并勒索勒索軟件攻陷微星并勒索 400400 萬美元贖金萬美元贖金2023 年 3 月底，一款名為“Money Message”的新勒索軟件團伙出現在互聯網中，該勒索軟件針對全球受害者發動攻擊并要求支付數百萬美元的贖金以防止泄露數據以及換取數50據解密。該軟件問世僅 1 個月，攻擊者便在其勒索網站上列出了 6 名受害者，其中包括微電子制造商 MSI（微星）及航空公司 Biman Airlines。此外，攻擊者聲稱從受害公司竊取了文件，并附上了被訪問文件系統的屏幕截圖作為入侵證據。而在此之中，中國臺灣省PC零件制造商微星的CTMS和ERP數據庫以及包含軟件源代碼、私鑰以及

135、 BIOS 固件等文件的屏幕截圖均被發布至勒索頁面。Money Message 威脅要在五天內公布所有這些據稱是被盜的 1.5T 大小的數據文件，除非微星滿足其高達 400 萬美元的贖金要求。微星遭竊數據泄露圖4 月 7 日，微星方面證實了其網絡確實在攻擊時間中遭到破壞。并稱其 IT 部門已啟動信息安全防御機制和恢復程序，同時公司也已向相關政府部門報告了此次異常情況。但 MSI沒有進一步透露關于攻擊時間的任何細節，對是否有任何系統被加密或攻擊者是否在竊取了業務和客戶信息也是只字未提。51但微星卻明確表示了網絡攻擊沒有對運營和財務產生“重大”影響，并表示已實施了安全加固以確保存儲在受影響系統上的

136、數據是安全的。微星向臺當局上報的安全事件情況說明此外，微星還在同時發布了一份聲明，告知客戶確保他們必須要從官方渠道獲得 BIOS和固件更新。52四、四、Cl0pCl0p 勒索軟件利用勒索軟件利用 MOVEitMOVEit 漏洞發起大量勒索攻擊漏洞發起大量勒索攻擊2023 年 5 月開始，MOVEit Transfer 被暴出存在可被利用的重大漏洞（CVE-2023-34362）。而 Cl0p 勒索軟件團伙則表示他們是 MOVEit Transfer 數據盜竊攻擊的幕后推手，其攻擊利用 0day 漏洞破壞了“數百家公司”的服務器并竊取其數據。這一聲明也證實了微軟公司于6 月 4 日晚發布的一份報

137、告，該報告將此類攻擊歸因于他們追蹤的黑客組織“Lace Tempest”也被稱為 TA505 和 FIN11。暴露于公網的 MOVEit 服務器Cl0p 方面進一步表示，正如 Mandiant 先前披露的那樣，他們是于 5 月 27 日，即美國陣亡將士紀念日假期期間開始利用該漏洞發動攻擊的。而利用節假日進行攻擊是 Cl0p 勒索軟件行動的慣用策略，該組織此前曾在人員最少的節假日進行大規模的利用攻擊。例如 2020年 12 月 23 日圣誕節假期期間，他們就曾利用類似的 Accellion FTA 軟件 0day 漏洞進行數據盜竊攻擊。雖然 Cl0p 并未透露在 MOVEit Transfer

138、攻擊中遭到破壞的組織數量，但他們依然表示如果不支付贖金，受害者將被公示在他們的數據泄露網站上。此外，勒索軟件團伙確認他們還沒有開始勒索受害者，可能會利用這段時間來審查數據并確定其價值以及如何利用這些數據來向被入侵公司的贖金要求。而在此之后，多家大型公司相繼被爆出因 MOVEit Transfer 漏洞而遭到了 Cl0p 勒索軟件的攻擊。這其中比較知名的公司有：2023 年 6 月 16 日，美國俄勒岡及路易斯安那兩州共數百萬居民身份 ID 因 MOVEit 漏洞攻擊導致被盜。2023 年 6 月 23 日，Genworth、CalPERS 等公司受 MOVEIt 漏洞影響已泄露超 320 萬人

139、數據。2023 年 6 月 26 日，紐約市教育局稱黑客已利用 MOVEit 漏洞竊取了 45000 名紐約市學53生的數據。2023 年 6 月 27 日,西門子能源公司確認遭到 Cl0p 勒索軟件攻擊。2023 年 7 月 11 日，德意志銀行疑似受 MOVEit Transfer 漏洞影響被入侵。2023 年 7 月 14 日，在線零售和攝影制作平臺 Shutterfly 遭 Cl0p 勒索軟件的攻擊。2023 年 8 月 3 日，跨國外包公司 Serco 集團北美分公司 Serco Inc 被 Cl0p 入侵導致數據外泄。2023 年 8 月 9 日，密蘇里州政府警告稱大量醫療信息在

140、IBM MOVEit 攻擊中遭泄露。2023 年 8 月 14 日，科羅拉多州警告稱 IBM MOVEit 漏洞已導致超 400 萬條數據被盜。2023 年 9 月 26 日，醫療保健供應商 BORN Ontario 由于 MOVEit Transfer 漏洞導致數據泄露。2023 年 11 月 10 日，美國緬因州政府發布聲明，稱其于 5 月底遭 Cl0p 勒索軟件入侵，導致全州約 130 萬（幾乎是該州全部人口）個人信息被攻擊者獲取。2023 年 11 月 21 日，汽車零部件巨頭 AutoZone 稱遭 MOVEit 數據泄露。五、五、TellYouThePassTellYouThePa

141、ss 攻擊各類攻擊各類 OAOA、財務及、財務及 WebWeb 系統平臺系統平臺今年下半年“TellYouThePass”勒索軟件，對國內各類 OA、財務及 Web 系統平臺發起多輪攻擊。如 2023 年 8 月 27 日，針對某通財務管理軟件得勒索投毒攻擊。其單次范圍就有1000 多臺服務器，后續又發起多輪次攻擊。攻擊現場日志信息“TellYouThePass”勒索軟件家族是一種勒索軟件，最早于 2019 年 3 月出現。由于其背后始終是由單一黑客組織運營，因此該黑客組織也同樣被稱為 TellYouThePass。根據現有線索推斷，該組織為國內黑客團伙，其慣于在高危漏洞被披露后的短時間內利用

142、漏洞修補的時間差，對暴露于網絡上并存在有漏洞的機器發起攻擊。其曾經使用過的代表性漏洞有：“永恒之藍”系列漏洞、WebLogic 應用漏洞、Log4j2漏洞、用友 OA 漏洞、暢捷通漏洞等。而一旦攻擊成功后，便會投遞勒索軟件實施加密，并向被加密的文件添加后綴名為“.locked”。該家族在去年發動了幾輪攻擊后，已經逐漸銷聲匿跡。但今年 6 月初，TellYouThePass54再次卷土重來，利用某通 T+財務管理系統中存在的命令執行漏洞發起攻擊發起了一波較為強勢的攻擊。而本輪攻擊是今年其“重出江湖”后的第二次大規模勒索攻擊。希望廣大政企單位對各類網絡服務、OA 及財務類應用的安全問題提起重視，即

143、使修補漏洞并進行有效的安全監控和管理。而在2023年末時，再次爆出?？低暤漠a品漏洞被TellYouThePass利用發起勒索攻擊。此次攻擊事件所涉及的漏洞基本可以鎖定為?？低暡糠职卜拦芾砥脚_產品所帶有的安全漏洞。這些漏洞均為任意文件上傳漏洞。由于?？低暡糠志C合安防管理平臺對上傳文件接口校驗不足，導致攻擊者可以利用漏洞將惡意文件上傳到平臺，并最終獲取服務權限或引發服務異常。相關漏洞所影響的平臺產品及對應版本為：iVMS-8700（V2.0.0V2.9.2）和 iSecureCenter（V1.0.0V1.7.0）。相關產品漏洞?？低曇延?2023 年 6 月進行修復，并發布相關公告對其用

144、戶進行安全提示。六、六、香港數碼港遭勒索攻擊致香港數碼港遭勒索攻擊致 400GB400GB 數據泄露數據泄露安全內參 9 月 8 日消息，香港科創中心數碼港已就網絡安全漏洞向警方和香港隱私監管機構上報。勒索軟件組織 Trigona 聲稱，已從數碼港竊取超過 400GB 數據，要求支付 30 萬美元（約合港幣 235 萬元）才能歸還。香港數碼遭竊數據公示頁面周四，一位 IT 專家查閱了暗網相關材料，發現包括銀行賬戶信息和身份證復印件在內的被竊數據正在競價售賣，起價定為 30 萬美元。香港網絡安全公司 VX Research 的安全專家 Anthony Lai Cheuk-tung 分析稱，“假設

145、一個人的信息是 1GB，那就至少有 400 名受害者?！睌荡a港商業園區有 140 名員工，是 1900 家初創企業和科技公司的運營基地。警方表示，已將此案移交網絡安全及科技罪案調查科進行調查，目前尚未有人被捕。55數碼港在周三發布聲明，譴責未經授權的第三方攻擊者入侵其部分計算機系統，并表示他們在發現入侵后迅速采取了行動。但是，聲明并未點出誰是可能的肇事者。有關此事的新聞發布會視頻截圖56七、七、米高梅度假村遭勒索攻擊導致米高梅度假村遭勒索攻擊導致 ITIT 系統關閉系統關閉米高梅國際酒店集團（MGM Resorts International）于 2023 年 9 月 11 日披露該公司遭到網

146、絡攻擊導致其主要網站、在線預訂系統以及 ATM 機、老虎機和 POS 機等賭場內服務被迫關閉。Vital Vegas 在 X 上對此事的報道57該公司表示在發現問題后立即展開調查并立即采取行動保護其 IT 系統和數據這也包括關閉某些系統。米高梅度假村公告此次攻擊可能是從 9 月 10 日晚上開始的，度假村的計算機系統目前已關閉。有報道指出，該公司在遭到攻擊后便將大量業務轉為人工操作，而 ATM 機和 POS 機也都受到了不同程度的影響。受到影響的業務包括 MGM National Harbor、Empire City Casino、MGM Spingfield、MGM Grand Detroi

147、t、Beau Rivage 以及 The Borgata。這是自 2019 年以來米高梅度假村第二次確認發生網絡安全事件，此前該公司的一項云服務遭到破壞，黑客竊取了超過 1000 萬條客戶記錄。該公司在 2020 年時對被盜數據（包括客人的信息）進行存檔后才發現了此次數據泄露事件，而彼時，遭到泄露的客戶姓名、出生日期、電子郵件地址、電話號碼和實際地址都早已在黑客論壇上自由共享。八、八、遺傳學公司遺傳學公司 23andMe23andMe 稱用戶數據在撞庫攻擊中被盜稱用戶數據在撞庫攻擊中被盜當地時間 2023 年 10 月 6 日，美國生物技術和基因組學公司 23andMe 確認其用戶數據在黑客論

148、壇上流傳并將此次數據泄露歸因于網絡攻擊。582023 年 10 月 2 日，一名攻擊者公布了據稱從一家遺傳學公司竊取的數據樣本，并在幾天后提出出售這些屬于 23andMe 客戶的數據包。攻擊者發布數據的頁面最初公開的數據有限，攻擊者放出了其中德系猶太人的 100 萬行數據。而到了 10 月 4日，攻擊者提出以每個 23andMe 帳戶 1 至 10 美元不等的價格批量出售這些數據文件，具體價格取決于購買的數據量。23andMe 泄露數據售價頁面5923andMe 方面證實了這些數據的真實性，并稱攻擊者使用了撞庫攻擊的手段來入侵23andMe 網絡并竊取到了這些敏感數據。本次事件邪路的數據中包含

149、了客戶的如下信息：全名用戶名頭像性別出生日期遺傳血統結果地理位置九、九、多家大型機構遭遇多家大型機構遭遇 LockbitLockbit 勒索軟件攻擊勒索軟件攻擊據英國金融時報報道：市場參與者于 2023 年 11 月 9 日透露，勒索軟件對中國某大型國有銀行的金融服務部門展開攻擊，這次攻擊導致工銀金融服務公司代理的美國國債結算業務被阻斷，一些股票交易也受到影響。另據交易消息人士稱，包括對沖基金和資產管理公司在內的市場參與者因此次系統中斷而被迫改變了交易途徑。此次攻擊對美國國債市場的流動性產生了一些影響，但并未損害市場的整體運作。而以上消息也得到了證券業和金融市場協會的印證。安全研究組織表示“該

150、銀行目前無法連接到 DTCC/NSCC 系統。該問題正影響該銀行的所有清算客戶?！庇捎诖舜喂魧ζ湎到y造成影響，中國工商銀行無法代理其他市場參與者進行美國國債結算交易。有安全專家表示，被攻擊銀行的 Citrix 服務器在周一最后一次上線，并且未針對已被披露的 NetScaler 安全漏洞（又稱“Citrix Bleed”漏洞）進行修補，而該服務器現在已離線。目前，銀行方面回應稱遭受攻擊的是其金融服務業務，該業務獨立于集團主體業務之外。同時強調該行的總行及其他境內外關聯機構的系統沒有受到此次事件的影響，其在紐約的分行也沒有受到影響。十、十、德國南威斯特法倫州遭勒索攻擊致德國南威斯特法倫州遭勒索攻

151、擊致 7272 個城市網絡癱瘓個城市網絡癱瘓2023 年 11 月初，有消息稱德國 70 多個城市因勒索攻擊而停擺。綜合各方公開信息，攻擊發生于當地時間 2023 年 10 月 30 日。本次受到直接攻擊的實際上并不是當地政府部門，而是為其政府部門提供 IT 服務的供應商：Sdwestfalen IT（簡稱 SIT）。60而受到此次攻擊影響，SIT 的官網一度無法正常訪問。在其對外公布的“應急頁面”上有兩則公告。第一則公告發布于當地時間 11 月 6 日，主要是闡述其所遭受的攻擊事件。SIT 關于遭勒索攻擊的官方公告根據公告內容看：攻擊發生于當地時間 10 月 29 日夜間至 10 月 30

152、日的凌晨這一時段。而受到影響最大的是使用其 IT 服務的南威斯特法倫州 72 個成員城市，其中主要是Hochsauerlandkreis、Mrkischer Kreis、Olpe、Siegen-Wittgenstein、Soest 幾個地區以及 Rheinisch-Bergischer Kreis 和 Schwerte 下屬的幾個城市。而受到影響的業務則主要是三類：消防救援等應急事務部分地區的一些公共事務及證件（駕照等）的預約和辦理業務與政府部門的聯系通道61而第二則公告則主要是聲明目前已經對攻擊的取證工作取得一定進展，并逐步開始恢復服務。SIT 關于網絡恢復進度的公告62而根據明鏡周刊（Sp

153、iegel）轉述當地媒體齊格納報（Siegener Zeitung）的消息稱，本次攻擊事件的幕后黑手很有可能是一個名為 Akira 的勒索軟件團伙。而得到這個結論的依據則是該報社聲稱看到了 SIT 向政府提交的內部報告的相關內容。當地媒體關于此事件的相關報道63附錄 2.360 終端安全產品反勒索防護能力介紹一、一、遠控與勒索急救功能遠控與勒索急救功能360 在 2023 年下半年，新推出了遠控與勒索急救功能，用來解決用戶在已經感染或懷疑感染遠控木馬或勒索軟件的場景下，幫助用戶快速建議一個臨時的安全場景，我們的防護功能將運行在一個嚴格監控的模式下，阻止一切可能的破壞行為，避免系統和數據進一步被

154、攻擊活動破壞。作為一個后置方案，他還將一些排查處置策略、溯源方法制作成了一鍵排查功能，協助管理員快速應對勒索攻擊。遠控勒索急救功能界面遠程控制權限遠程控制權限：將對一些遠控的關鍵功能進行限制，如屏幕讀取，鍵盤記錄，鍵盤鼠標操作等，以及提供對一些重要敏感進程與文件的保護。訪問權限訪問權限：將對系統中，常見的文檔、數據庫、音視頻等數據文件提供保護，避免被篡改或刪除。對進程的運行，聯網也將進行嚴格的限制。64一鍵掃描功能，可以檢出是否存在高風險的啟動項、系統賬戶的弱口令、黑客工具、高危的遠控軟件并進行相應處理。遠控勒索急救掃描界面“被攻擊查詢”功能，可看到各類攻擊信息，其中“系統日志”的“遠程桌面登

155、錄”項完整記錄了成功登錄的 ip 與賬戶信息及時間信息。遠程桌面暴破記錄查詢界面65“數據庫登錄”可以查看數據庫暴破攻擊痕跡，用于輔助判斷是否存在數據庫弱口令這一高危風險。以及內網是否存在未經授權的數據庫登錄行為。微軟數據庫暴破記錄查詢界面“SMB 共享登錄”可以查看攻擊時段的異常 SMB 訪問行為，從而輔助判斷攻擊是否來源自文件共享。SMB 登錄記錄查詢界面66“痕跡清理記錄”可看查看系統中出現過的關鍵日志清理行為，用于輔助判斷是否存在黑客攻擊。痕跡清理記錄記錄界面“滲透痕跡記錄”可看查看攻擊時段中出現過的滲透行為，用于輔助判斷黑客的攻擊手法。滲透行為記錄界面67二、二、勒索預警服務勒索預警

156、服務2023 年，我們新推出了勒索攻擊預警服務，通過我們全網視野，監測勒索攻擊的多個環節，在勒索攻擊準備階段，以及病毒初始投遞階段，對企業與行業用戶提供勒索預警服務，希望在勒索攻擊成功前，進行阻斷，避免企業發生進一步損失。2023 年共發現并預警勒索安全事件 3818 起，涉及涉及 2084 家企業，針對 159 次安全事件出具安全預警報告。勒索攻擊預警服務三、三、弱口令防護能力弱口令防護能力弱口令攻擊一直是勒索軟件最重要的傳播手段，360 安全衛士自 2017 年開始提供弱口令攻擊防護，為億萬用戶提供了安全保護。在于勒索軟件對抗的過程中，產品也一直在提升安全能力，保證了可以應對最新攻擊手法，

157、為用戶提供更好的體驗。68下圖是 2023 年防黑加固功能每月所防御的攻擊量，2023 年，360 防黑加固共保護近 640萬臺設備免遭入侵，攔截各類弱口令入侵共計超過 88.6 億次。以下是 360 提供弱口令攻擊防護的重要更新時間軸：2017 年-2018 年：新增對遠程桌面弱口令防護支持。2018 年-2019 年：新增 SQL Server 暴破、VNC 暴破、Tomcat 暴破的防護支持。2019 年：新增 RPC 協議弱口令暴破防護SMB 協議暴破攔截優化版正式上線新增對金萬維、瑞友管理軟件的支持。對 MYSQL、SQL Server、Tomcat 等服務器常用軟件也加入了多方位的

158、攔截防護。2020 年：用戶登錄提醒：如果機器在未登錄階段受到攻擊，在用戶下次登錄時，會提醒用戶之前發生攻擊的概況，提醒用戶加強安全防護。弱口令提示：對正在使用弱口令的賬戶主動做出提醒，建議用戶及時修改口令。登錄 IP 黑名單：通過云端安全大數據，動態配置 IP 黑名單，保護用戶電腦免受攻擊。賬戶黑名單：由于各種條件限制，有部分設備無法修改內置賬戶和口令，造成設備被攻擊，360 安全衛士提供了賬戶黑名單功能，記錄了各類數據庫和應用系統的內置賬戶密碼和已經泄露的一些賬戶密碼。限制這類賬戶密碼組合使用的遠程登錄情況，保障用戶設備免受攻擊。2021 年：69支持攔截時間段控制來自風險地區的 ip 攔

159、截2023 年：增加暴破日志查詢企業安全云增加遠程接入策略，實現 IP 白名單功能遠程登陸記錄界面四、四、數據庫保護能力數據庫保護能力數據庫文件是勒索軟件攻擊的頭號目標，數據庫被加密，也是企業面臨的最嚴重勒索風險，一旦數據庫被攻破，會直接對用戶造成嚴重的數據泄露或損壞。70360 終端安全針對數據庫面臨的勒索風險問題，也推出了數據庫加強保護功能，在常規的勒索保護之外，增加了針對數據庫特有情況的專門保護。針對數據庫常見的 SQL 注入，數據庫爆破等攻擊，360 的數據庫防護功能，對惡意 SQL 語句進行識別和攔截。同時還加強了對數據庫服務的保護，避免勒索軟件對數據庫服務與文件本身的破壞。數據庫攻

160、擊防護彈窗71五、五、WebWeb 服務漏洞攻擊防護服務漏洞攻擊防護Web 服務類漏洞攻擊，是目前最常見的一類針對服務器的勒索攻擊手段。部署在服務器中的各類 Web 應用，如 OA 系統、財務系統經常成為勒索團伙的攻擊目標。在 2023 年，我們發布了十余次針對 Web 漏洞攻擊的預警。Web 漏洞攻擊，攻擊范圍廣，無需用戶參與，是最典型的網絡入侵手段。針對國內 Web 漏洞攻擊頻繁的問題，360 終端安全產品進一步加強了對 Web 服務器的保護。對常見的 java 漏洞，.net 漏洞，webshell 投放，增加了通用防護能力。使用運行時程序自我保護系統(RASP)技術，通過將具備安全能力

161、的代理模塊注入到運行時程序中，使得運行時程序也具備威脅識別和防護的能力，該技術不同于傳統 WAF 需要預設規則，RASP 具備更深度的監控和威脅感知能力。在面對未知漏洞、內存馬等高級攻擊時表現出更強的防護能力。同時 360 推出的 IIS 安全防護功針對.NET 底層架構進行運行時保護，對服務器漏洞，webshell 攻擊等進行有效攔截。Web 服務漏洞攻擊防護界面六、六、橫向滲透防護能力橫向滲透防護能力橫向滲透目前是針對企業內網攻擊的關鍵技術手段之一，而針對橫向滲透的防護能力則是 360 高級威脅防護體系中的一項重要能力。勒索軟件攻擊團伙，在對企業發起攻擊后，往往利用該技術擴大影響范圍，獲取

162、更多設備的控制權，乃至控制整個企業網絡。在我們處置的企業被攻擊案例中，幾乎都可以見到橫向滲透攻擊的身影。為此 360 安全衛士推出了體系化的橫向滲透防護方案，從攻擊源頭、攻擊方法、攻擊資源、技術素材等多維度入手，全方位的阻斷橫向滲透攻擊。下面列舉了其中部分防護能力：共享文件訪問控制遠程 WMI 執行控制遠程計劃任務控制遠程 MMC 控制遠程 DCOM 控制/遠程 RPC 調用防護72遠程服務創建控制遠程注冊表操作控制遠程 WINRM 監控遠程 PSEXEC 防護共享文件寫入監控域環境下的組策略攔截這些防護能力，結合對無文件攻擊防護和 LOLBAS（Living Off The Land Bin

163、aries andScripts）防護能力，有效阻斷了攻擊者在企業內網的刺探和攻擊擴散。360 安全衛士防護橫向滲透防護模塊73七、七、提權攻擊防護提權攻擊防護勒索軟件執行過程中，為了提升其權限，盡可能多的加密系統中的文件，會嘗試利用各種方法去提升程序的運行權限，針對這一攻擊方式，360 安全衛士對其進行了嚴格的行為側。360 安全衛士提權攻擊防護功能八、八、掛馬網站防護能力掛馬網站防護能力針對包括勒索軟件在內的各類木馬病毒攻擊，更早的防護往往能取得更好的效果。360安全衛士致力于在病毒木馬攻擊的早期就將其遏制，遏制傳播渠道便是早期防御的一個重要部分。掛馬網站是傳播勒索軟件的重要渠道之一，針對

164、這一情況 360 安全大腦能第一時間監控并識別該網站的惡意行為并做出攔截。360 安全衛士攔截掛馬站點74九、九、釣魚郵件附件防護釣魚郵件附件防護針對從郵箱中下載回來的附件，360 安全大腦精準識別郵件附件中潛藏的病毒木馬，替用戶快速檢測附件中是否存在問題。360 安全衛士攔截釣魚郵件附件75附錄 3.360 解密大師360 解密大師是 360 終端安全產品提供的勒索軟件綜合解密工具，是目前全球范圍內支持解密類型最多的一款解密工具。2023 年 360 解密大師依然繼續對最新出現的勒索軟件保持著持續響應，全年共進行了 8次重要版本迭代，新增了對 1 款新勒索家族的解密支持，增加了對 3 個已有

165、勒索家族新型變種的解密支持，還進一步加強了對 1 個勒索家族的解密能力。截止到 2023 年末，解密大師功能累計支持解密勒索軟件共計超過 360 種。2023 年全年服務用戶超 16474 臺次，解密文件近 1115 萬次，挽回損接近 4262.6 萬元美元*，以報告撰寫時的匯率進行換算，總金額超過 3 億元人民幣。對今年的解密大師數據進行分析，發現有如下特點：1.新增可解密家族下降新增可解密家族下降近年來，新增的主流勒索軟件家族在核心的加密功能上也越來越少的出現較為可用的技術缺陷。這一趨勢也勢必導致了對新家族的解密難度越來越大。正因如此，2023 年解密大師的解密數據來看，排在 Top 的依

166、舊是較為傳統的勒索軟件。新晉勒索軟件家族則罕有上榜。2.挽回損失金額大幅回升挽回損失金額大幅回升雖然可解密家族中的新家族并不多，但并不意味著對于傳統家族的揭秘量就變少。隨著大家的工作生活逐步回歸正軌，各類設備的運行量必然隨之上升，同時企業內部的網絡管理人員各項工作也會穩步展開。這也導致了 Crysis 一類當前在國內并不十分活躍的家族也有著較高的解密數量。下圖給出了 360 解密大師在 2023 年全年，成功解密被勒索軟件感染的文件和機器數量的 Top10。其中，解密量最大的是 Sodinokibi 勒索軟件家族，其次是 GandCrab。使用解密大師解密文件的用戶數量最高的是 Stop 勒索

167、軟件家族，其次是 Crysis 勒索軟件家族。*勒索金額估算標準（美元）：Stop 家族$490/筆；Coffee 家族$500/筆；其它家族$5000/筆。76附錄 4.360 勒索軟件搜索引擎該數據來源 的使用統計。（由于 WannaCry、AllCry、TeslaCrypt、Satan、GandCrab、WannaRen、Sodinokibi 等幾個家族在過去曾出現過大規模爆發，之前的搜索量較高，長期停留在推薦欄里，對結果有一定影響，故在統計中去除了這幾個家族）360 勒索軟件搜索頁面通過對 2023 年全年勒索軟件搜索引擎熱詞進行分析發現，搜索量排前十的關鍵詞情況如下：Devos/De

168、vos/faust/faust/e ekingking屬于 phobos 勒索軟件家族，由于被加密文件后綴會被修改為 devos 而成為關鍵詞。該家族主要的傳播方式為：早期在國外出現過利用激活工具破解軟件進行傳播，但在國內幾乎都是通過暴力破解遠程桌面口令成功后手動投毒。lockedlocked/l locked1ocked1locked 后綴經常被不同勒索軟件家族作為加密文件新增的擴展名，但今年在國內最為流行的是 TellYouThePass 勒索軟件家族。主要通過各種軟件漏洞、系統漏洞等進行傳播。360/360/halohalo屬于 BeijingCrypt 勒索軟件家族，由于被加密文件后綴

169、會被修改為 360 而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。Mallox/Mallox/m maloxalox屬于 TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為 mallox77而成為關鍵詞。該家族的傳播渠道通常有：暴力破解遠程桌面成功后手動投毒，暴力破解獲取到數據庫口令后遠程投毒，若在內網環境中，還會嘗試橫向移動。mkpmkp屬于 Makop 勒索軟件家族，由于被加密文件后綴會被修改為 mkp 而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。360 勒索軟件搜索引擎在 2023 年為用戶提供了近 4 萬次查詢服務，對這近 4 萬次關鍵詞的搜索結果進行詳盡分析后發現，與第一章勒索軟件攻擊形式的勒索家族分布相比，整體占比保持一致。然而，顯著的差異在于 Babuk 進入了 TOP10 的搜索結果中。Babuk 原本是一個涉及雙重勒索軟件的家族，但在處理華盛頓警方數據時內部產生分歧，導致該家族逐步分裂，最終以源碼公開而告終。正是由于源碼的公開，推動了 Babuk 家族的多樣化變種的出現，也導致了其家族查詢次數的上升。