1、2023勒索软件趋势分析报告2023 RANSOMWARE TRENDS ANALYSISREPORT千里目-深盾终端实验室目录概述年度勒索攻击态势重点行业勒索威胁分析制造业IT行业医疗卫生行业隐秘的角落：勒索背后的灰色产业链日渐顽固的勒索犯罪生态系统近六年暗网公布的受害者数量近六年暗网公布的受害者行业分布2023，这些勒索家族最活跃BeijingCrypt：“薄利多销”的勒索团队TargetCompany：MSSQL数据库攻击的“爱好者”Tellyouthepass：擅于利用多种高危漏洞进行入侵的低级别勒索团伙Trigona：擅于利用商业远控软件的新团伙Medusa：RaaS的商业模式，偏爱

2、大公司Makop：拥有GUI界面的Phobos分支，可以选择加密目录勒索赎金金额分析勒索攻击目标向中高端市场转移勒索赎金TOP榜2023年勒索软件攻击重要事件梳理2023年重要政策和举措009094920222023年勒索病毒之变更艰难的防御更低的攻击门槛更广的攻击目标更专业化的攻击手段更注重营销推广未来趋势：新技术应用中的攻与防攻击趋势基于AI的勒索软件攻击针对云基础设施的攻击针对工业控制系统的勒索软件攻击安全产品趋势基于AI的防御建设智能化安全解决方案应对威胁针对勒索病毒，如何构筑防御技术和应对策略？事前防御资产管理风险检查

3、合理备份风险兜底安全意识事后排查深信服勒索防护全周期解决方案方案介绍方案配置总结23232424252627272728282929293030303343536概述勒索病毒攻击数量的激增已经成为全球网络安全的一大难题，严重地影响了互联网的发展和用户对网络环境的信任。勒索病毒不仅对个人用户的数据安全构成威胁，还会对企业和政府机构的运营造成严重影响。根据美国网络安全公司 Cybereason 的研究，绝大多数组织因勒索软件攻击而经历了重大的业务影响，包括收入损失（66%）、组织品牌受损（53%）、计划外裁员（29%），甚至完全关闭业务（25%）。尽管勒索病毒的威胁日益严峻，

4、许多用户和组织在网络安全意识、防护措施的投入以及系统安全更新方面仍显不足，导致勒索病毒攻击能够轻易得逞。虽然目前已有许多安全软件和服务可供选择，但选择、部署、维护和更新这些软件仍然是一个难题。此外，攻击者不断演变的策略和技术也使得防御工作变得更加复杂。勒索病毒猖獗，但并非不可战胜。本报告将深入剖析 2023 年勒索病毒的根源、主要攻击路径和常见策略，同时指出用户和组织在网络安全防御上的薄弱环节。报告还将提出一系列切实可行的解决方案和建议，旨在指导读者如何加固其业务网络的安全防线，有效抵御勒索病毒的侵袭。通过这些措施，我们可以帮助用户和组织构建更为坚固的网络安全环境，确保数据和资源的安全。本报告

5、除明确注明来源的内容以外，数据均来自深信服千里目安全技术中心深盾终端实验室，目的仅为帮助客户及时了解中国或其他地区勒索软件的最新动态和发展，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。012023勒索软件趋势分析报告根据深信服千里目安全技术中心统计，作为全国 GDP 强省市，拥有着大量企业的广东省、上海市、北京市以及沿海的经济强省浙江省和福建省，都遭受了来自多个勒索家族的多次攻击。此外，江西省、湖北省的中部地区也遭受了不少次数的勒索攻击。2023，这些地区

6、受到大量攻击年度勒索攻击态势300002000050000600007000080000广东省浙江省北京江西省上海市江苏省湖北省 福建省 安徽省 山东省单位：次单位：次2023 年勒索软件攻击省份分布 TOP10 总体来看，2023 年的勒索攻击省份分布与 2022 年相比并没有太大变化，主要以沿海和经济强省市为主要目标。统计数据显示，整体攻击数量相较于 2022 年有一定幅度的提升，这与各企业计算机的广泛应用有关。2000000002500030000350004000045000广东省浙江省山东省江苏省北京市河北省上海市 湖北省 福建省 四川省2

7、022 年勒索软件攻击省份分布 TOP10022023勒索软件趋势分析报告根据深信服千里目安全技术中心统计，2023 年勒索相关攻击在 5 月、10 月和 11 月达到最高峰。这一现象可以解释为，5月和 10 月分别是国内劳动节长假和国庆节长假，攻击者利用节假日期间企业运转减缓，安全漏洞暴露增加；而 11 月则可能是由于临近年底，各行各业的资金款项回收大多于第四季度进行，攻击者便选择在这一时间节点进行大规模攻击。2023，这些时间段受到更多攻击根据深信服千里目安全技术中心统计显示，2023 年遭受勒索病毒攻击的行业仍然主要集中在制造业、互联网和医疗卫生行业。尤其是制造业遭受攻击次数显著增加，这

8、可能与该行业广泛应用计算机与信息技术，以及信息安全意识不足导致的勒索攻击成功率提升有关。与此同时，能源、服务、建筑和教育行业也逐渐受到攻击团伙的关注。这些受攻击的企业通常拥有大量敏感数据，对服务器稳定运行要求极高。勒索病毒选择这些企业作为目标，一旦成功，便能获得更大的利益，迫使受害者进行谈判。随着勒索攻击的不断演变，各行业都需要加强网络安全意识，做好防范工作，以保护自身数据和业务安全。2023，他们成为了攻击团队的目标单位：次2023 年勒索软件攻击态势分析50000000025000300003500020230032023042023052023

9、062023072023082023092023312032023勒索软件趋势分析报告单位：次制造业互联网医卫 教育政府服务 建筑能源 批发零售金融2023 年勒索软件攻击行业分布 TOP0000250000042023勒索软件趋势分析报告2023 年勒索受害者咨询行业分布 TOP10 纵观 2023 年，伴随着自动化、智能制造和工业 4.0 技术在制造业中的广泛应用，制造业受害者的数量大幅提升。未来，计算机以及网络设备仍将广泛地被传统制造行业应用于生产的各个过程中。因此，预计未来制造业可能成为勒索攻击者的重要目标。605040

10、3020100 制造业互联网医疗卫生能源服务建筑教育 批发零售政府钢铁冶金052023勒索软件趋势分析报告重点行业勒索威胁分析在当前的网络安全环境下，勒索软件攻击已经成为各行各业普遍面临的威胁。长期以来，制造业一直是勒索团伙偏爱的目标行业。随着自动化、智能制造和工业 4.0 技术的进步，越来越多的工厂设备由计算机和互联网连接控制。这使得制造业面临着严重的勒索攻击风险，一旦遭受攻击，生产线可能会严重中断，造成日常运营停滞，生产能力下降。制造商对停机时间的容忍度非常低。由于制造商必须准时交付产品，导致设施通常处于超负荷状态，所以勒索行为导致的生产时间损失是无法弥补的。此外，相对于其他行业，制造业在

11、网络安全方面缺乏监管和合规性要求，导致大多数制造商在网络投资方面滞后，许多组织甚至没有专门负责维护网络安全的人员。这使得制造业成为主要且容易受到攻击的目标。因此，制造业需要加强对网络安全的重视，提升网络防御能力，以保护生产线的稳定运行和企业的利益。2023 年 9 月，楼宇自动化和控制设备制造巨头江森自控（Johnson Controls International）遭遇了 Dark Angels 勒索软件攻击，导致公司及其子公司运营受到严重影响。攻击者声称已窃取超过 27TB 的公司数据，并加密了公司的 VMWare ESXi 虚拟机，被窃取的数据可能包含敏感的国土安全部（DHS）数据。攻击

12、者要求支付 5,100 万美元的赎金以换取解密工具和删除被窃取的数据。相关案例制造业062023勒索软件趋势分析报告IT 行业的防御方式较为完善，使一般攻击方式成功率较低。然而，考虑到 IT 行业通常为客户提供网络、云计算、存储和数据库管理等服务，一旦遭受攻击，可能会导致供应链攻击，给更多受害者带来损失。虽然 Nday 或 0day 的利用成本高，但攻击者可能获得更大收益，因此漏洞利用成为最常见的攻击方式。在这种情况下，勒索团伙会利用各种漏洞，如国内 OA、财务软件、ERP、企业管理平台等漏洞，以及国外 Progress Software 公司旗下的 MOVEit、GoAnywhere MFT

13、、Accellion FTA 等产品的漏洞，实施大规模的无差别勒索攻击活动。IT 行业应高度重视漏洞管理和安全防护措施，减少漏洞利用的机会，保护客户的数据和业务免受勒索攻击威胁。医疗卫生行业正遭受日益严重的勒索软件攻击威胁，这主要归因于其持有的大量个人敏感数据、关键基础设施的依赖、物联网安全漏洞、系统脆弱性、有限的IT资源、对风险的低容忍度、供应链安全缺陷以及全球性健康危机的频发。尤其在“新冠”疫情期间，以健康为主题的网络钓鱼活动成为主要的攻击载体。医疗机构的工作人员经常需要处理大量的电子邮件，攻击者常通过发送伪装成合法邮件的方式，诱使员工点击恶意链接或下载附件，从而获得初始访问权限。此外，由

14、于医疗机构可能缺乏专业的网络安全人员，可能导致如远程桌面协议（RDP）端口不当配置等安全失误，为攻击者提供了可乘之机。2023 年的全球勒索攻击事件分析显示，利用漏洞进行攻击的比例较高，特别是针对 Progress Software 的 MOVEit Transfer 的 0day 漏洞的大规模利用引起了广泛关注。这表明攻击者正不断探索新的入侵手段，以执行勒索软件攻击。医疗卫生行业必须更加重视患者个人信息的保护，因为一旦数据泄露，不仅会对患者隐私造成严重侵害，还会使医疗机构面临敲诈勒索的风险。攻击者可能会利用泄露的数据进行勒索，这使得医疗行业成为勒索攻击的主要目标，并凸显了加强网络安全的迫切性

15、。欧盟网络安全局（ENISA）的统计数据进一步证实了这一点，显示在 2021 年、2022 年以及 2023 年第一季度，勒索攻击是IT行业医疗卫生行业2023 年 5 月，Clop 勒索软件团伙利用美国 IT 厂商 Progress Software 的档案传输服务 MOVEit 的 SQL 注入漏洞，窃取了超六百家企业客户的 MOVEit 资料库，影响了超过 6200 万人。2023 年 2 月，ESXiArgs 勒索软件团伙利用 IT 厂商 VMware ESXi 服务器的一个 Nday CVE-2021-21974 在全球范围内大规模爆发，全球受影响服务器超过 3000 台。多国网络安

16、全组织机构对此发出警告。相关案例072023勒索软件趋势分析报告医疗卫生行业面临的最显著的网络安全威胁。这些数据强调了医疗行业在网络安全防御方面的脆弱性，并呼吁医疗机构提升对勒索软件攻击的防范能力。值得注意的是，欧盟网络安全局（ENISA）统计显示，21 年、22 年和 23 年第一季度，医疗卫生行业面临的威胁中，勒索攻击是最为突出的威胁类型。这一数据进一步印证了医疗行业在网络安全方面的脆弱性，也呼吁医疗机构加强应对勒索软件攻击的能力。2023 年 2 月，BlackCat 勒索软件团伙成功渗透了医疗卫生行业的 Lehigh Valley Health Network 计算机系统。这次事件涉及

17、用于放射肿瘤治疗的临床适用患者图像和其他敏感信息的系统。当受害者拒绝支付赎金后，该团伙泄露了乳腺癌患者的裸照，以及医疗问卷、护照和其他敏感患者数据。由于这次勒索软件攻击，Lehigh Valley Health Network 面临着诉讼的风险。相关案例2023 年 6 月，BlackCat 勒索软件团伙攻击了英国最大的医疗信托机构巴茨健康国民医疗服务信托（Barts Health NHS Trust），声称窃取了 7TB 的敏感数据，包括员工身份文件和标有内部文件的文件。05540455060RansomwareIntrusionDoS/DDoS/RDoSSupply

18、Chain AttackMalwareSocial Engineering ThreatsMisinformation/DisinformationCredential Stuffing AttackErrors,Misconfigurations,Poor Security PracticesData-relatedThreats4656547121注:一个事件可分为多个威胁类别。因此，本图中每种威助的事件总就大于研究样本(215 起公开报告的事件)。Year202120222023数据来源：欧盟网络安全局（ENISA）082023勒索软件趋势分析

19、报告在过去的一年中，勒索攻击呈现出多种新趋势和变化，给全球的个人用户和企业带来了巨大威胁。勒索病毒的传播方式和攻击手段不断演变，同时背后的灰色产业链也日益完善，构成了一个庞大而复杂的黑市经济体系。具体表现在以下几个方面：RaaS（Ransomware-as-a-service）模式的出现使得勒索犯罪活动更加灵活和普及化。攻击者可以租用勒索软件和相关服务，无需自己开发和维护勒索软件，从而降低了进入门槛，吸引了更多的参与者。RaaS 的兴起勒索犯罪活动已经形成了一个庞大而繁荣的黑市经济体系。在这个体系中，勒索软件运营商充当供应商的角色，提供各种勒索软件、开发新的变种，并提供技术支持和更新服务。而附

20、属机构则扮演着攻击者的角色，负责实施勒索攻击，入侵受害者系统并利用勒索软件加密受害者的数据。受害者则成为黑市经济的消费者，被迫支付赎金以恢复被加密的数据。这种相互交织的关系构成了一个完整的勒索犯罪生态系统，对整个网络安全形势构成了严重威胁。黑市经济的繁荣勒索犯罪活动小组不断创新和改进攻击方式。他们利用漏洞、社会工程、钓鱼邮件等手段进行入侵，并采用间歇性加密、窃取敏感数据、DDoS 等方式进行勒索。这些多样化的攻击方式使得防御者更加难以防范和应对。多样化的攻击方式攻击者根据目标攻击的复杂程度和支付赎金的可能性等因素来确定攻击目标的优先级，从而提高攻击的成功率。他们使用专业化的手段和工具，不断改进

21、攻击技术，使得勒索攻击更加隐蔽和有效。专业化的攻击者隐秘的角落：勒索背后的灰色产业链日渐顽固的勒索犯罪生态系统092023勒索软件趋势分析报告根据暗网公布的数据，近年勒索软件受害者数量呈现出明显的增长趋势。其中 2018 年至 2021 年间，受害者数量显著增加，至 2021 年更是激增至 3048 人。然而，2022 年受害者数量略有下降，但 2023 年再次上升，超过了前两年观察到的数量。这表明勒索软件攻击的威胁持续增加。需要注意的是，这些数据只是部分受害者，因为在泄密网站上公布的受害者通常不支付或延迟支付赎金。然而，有很大一部分受害者迅速支付了威胁者要求的赎金，因此并未在泄漏的数据中观察

22、到。（数据来源于 comparitech、darkfeed、cyfirma）年份2002120222023暗网公布的勒索软件受害者数量04826704459近六年暗网公布的受害者数量102023勒索软件趋势分析报告在过去的六年中，暗网上公布的数据显示，医疗卫生行业是受网络攻击最严重的行业。特别是从 2019 年下半年开始，该行业的受害者人数持续增加。到了 2021 年下半年，政府部门的受害者人数占比排在第二，可能是因为全球范围内网络攻击活动增加。同时，教育行业和服务业的受害者人数也有所上升，其中教育行业可能受远程教育普及和网络教育平台安全防护不足的影

23、响。然而，服务业在最近的时间里却呈现出下降趋势，这可能是因为该行业开始重视网络安全并采取了有效的防护措施。2018-2023年 勒索团伙数据泄漏站点公布的受害者所属行业05002220212023Sub-IndustryConstructionEducationFinanceFood and BeverageGovernmentHealthcareManufacturingOtherRetailServiceTechnologyTransport ationUtiltiesYearof Attacks近六年暗网公布的受害者行业分布数据来源：compa

24、ritech112023勒索软件趋势分析报告根据深信服千里目安全技术中心统计显示，国内勒索家族数量较少，它们在攻击手法和时间上有相似之处。其中，Tellyouthepass 勒索家族是国内最活跃的家族，其攻击数量占据了攻击家族总数中的最高比例。这可能是由于Tellyouthepass 家族拥有专门的漏洞挖掘团队及专门收购国内安全产品 0day 业务，利用广泛存在的 Web 应用漏洞对公网服务器进行了大规模的无差别攻击，导致了大量服务器被入侵。其次，TargetCompany(Mallox)家族、Phobos 家族以及 Lockbit 家族在我国也较为常见。这些家族的攻击行为给受害服务器和相应的

25、公司带来了灾难性的后果。，这些勒索家族最活跃Tellyouthe passTellyouthe pass 38%TargetCompanyTargetCompany23%10%LockBitLockBitMakopMakop2%BlackcatBlackcat 1%MedusaMedusa 1%CrysisCrysis 1%TrigonaTrigona 3%BeijingCryptBeijingCrypt 8%Phobos13%Phobos2023年国内流行的勒索软件家族分布122023勒索软件趋势分析报告BeijingCrypt：“薄利多销”的勒索团队该家族首次被发现是在 2020 年 7

26、月，主要攻击对象是国内中小型企业。被此家族攻击成功后，终端上被加密的文件扩展名会被修改为.beijing、.520、.360、.fc 等，并留下类似!_RECOVER.txt 或!_INFO.txt 的勒索信。勒索金额一般为数千美元等值的数字货币，体现了“薄利多销”经营策略的典型勒索病毒特征。该家族通常通过 RDP 暴力破解和 MSSQL 口令爆破后的 xp_cmdshell 扩展存储过程来入侵服务器。入侵成功后，会通过人工完成局域网渗透和勒索病毒的投放。TargetCompany：MSSQL数据库攻击的“爱好者”TargetCompany 家族在国内被称为 Mallox，其 2021 年 6

27、 月份被首次发现。研究表明，该病毒在加密文件时会附加受害者公司的名字，因此得名 TargetCompany。在国内，由于其首个变种会为被加密文件添加.Mallox 扩展名，因此被称为 Mallox 家族。此家族曾利用 CVE-2019-1069、CVE-2020-0618 以及 MSSQL 的 xp_cmdshell 存 储 过 程 来 执 行 恶 意 命 令，通 常 为 包 含 从 TargetCompany 的 C2 地 址 下 载 并 执 行 勒 索 病 毒 的 Powershell 脚本。132023勒索软件趋势分析报告Tellyouthepass：擅于利用多种高危漏洞进行入侵的低级别

28、勒索团伙自 2019 年以来，Tellyouthepass 家族已存在 4 年。它早期使用永恒之蓝漏洞进行攻击，从 2021 年开始，该家族开始利用 Log4j2(CVE-2021-44228)、用友 NC、畅捷通、亿赛通和海康威视等业务系统的反序列化漏洞和任意文件上传漏洞进行大规模攻击，成功加密大量业务服务器，给企业造成巨大损失。该家族还通过在受害服务器上部署的 Webshell 直接下发加密模块，使得加密行为看起来来自业务主进程，绕过常规终端安全软件的检测功能。尽管利用各种漏洞进行攻击，并且能够绕过终端安全软件的检测，但由于缺乏自己的公共博客和用于存储受害服务器数据的数据库，勒索信也只是简

29、单的告知联系邮箱和受害者的个人 ID，因此一直被认为是一款“低级”的勒索病毒。142023勒索软件趋势分析报告Trigona：擅于利用商业远控软件的新团伙Trigona 是一个于 2022 年首次发现的勒索软件家族。从发现以来，该家族组织成员始终保持着高活跃度并不断地改进和更新他们的勒索软件。该家族会将被加密文件的扩展名修改为._locked，同时在每个目录中留下 how_to_decrypt.hta 的勒索信。勒索信中直接强调了文件是被安全的 AES 算法加密且如果拒绝支付赎金，从受害终端上窃取的数据将会被直接拍卖。研究发现，该组织团伙主要攻击 MSSQL 服务器，利用口令暴力破解和漏洞 C

30、VE-2021-40639 获取初始访问权限，使用 Netscan、ScreenConnect、Anydesk 等工具进行内网渗透和远程控制并用 Luciroot、Ydrk 等工具和终端安全软件进行对抗，最后投放勒索病毒。152023勒索软件趋势分析报告Medusa：RaaS的商业模式，偏爱大公司该勒索家族在 2019 年被发现，通常使用勒索即服务(RaaS)的商业模式。受害主机上的文件被该勒索病毒加密后文件扩展名会变为.MEDUSA，并会在机器上留下名为!READ_ME_MEDUSA!.txt的勒索信。早期该家族主要利用 RDP 暴力破解、泄露的 RDP 凭据以及网络钓鱼的方式进行入侵。而自

31、 2023 年 3 月份起，其团伙的活动不断升级，并开通了专属的网络博客“Medusa Blog”，将受害者的数据发布到这个博客上。据研究发现，该家族还陆续使用过 CVE-2022-2294、CVE-2022-2295、CVE-2022-21999 以及 CVE-2018-13379 等漏洞进行攻击。2023 年 11 月，Medusa 成功地攻击了 Toyota Financial Services 并声称窃取了其大量的敏感数据，并要求 800 万美元作为赎金以删除这部分数据，同理第三方组织也可以支付此费用将数据直接购买，目前 Medusa 已将此部分数据公布。162023勒索软件趋势分析报

32、告Makop：拥有GUI界面的Phobos分支，可以选择加密目录Makop 是老牌勒索软件 Phobos 的分支变种，于 2020 年首次被发现，并在此后成功攻击多台服务器。与常见勒索病毒不同的是，Makop 具有交互功能，攻击者可以通过界面进行选择加密方式，堪称勒索病毒的一次“进化”。尽管该家族团伙并没有使用双重勒索威胁受害者，但对受害服务器文件的无差别加密已造成巨大损失。入侵手段主要包括 RDP 暴力破解和泄露的凭据获取初始访问权限，整个攻击过程完全由人工操作完成，使用专门工具包包括凭证窃取工具、端口扫描工具和内核管理工具等。在完成对内网渗透和控制后，才会执行勒索病毒加密被控终端文件。Ma

33、kop 具有简单的 GUI 界面，可选择特定目录进行针对性加密。文件被加密后会被添加上.makop 的扩展名，并留下勒索信文本，要求受害者使用 TOX 与攻击者进行协商。172023勒索软件趋势分析报告勒索赎金金额分析根据知名勒索软件数据恢复公司 Coveware 公布的数据显示，2018 年 Q3 和 2023 年 Q3 之间，勒索攻击受害者员工人数中位数总体呈现增长趋势，尽管在某些时期有所下降。同时，勒索攻击受害者赎金中位数呈现稳定增长趋势，而赎金均值则急剧增加。这些趋势表明勒索攻击目标正从中端市场向中高端市场转移。这种转变可能是因为中高端市场的大型公司通常拥有更多的财务资源和数据资产，因

34、此成为攻击者更具吸引力的目标。攻击这些公司可能会带来更高的赎金收益，提高了攻击者的回报率。此外，中高端市场的公司在面临勒索软件攻击时更倾向于支付高额赎金，因为他们更依赖数据和系统的正常运行及声誉，可以为攻击者带来更大回报。勒索攻击受害者赎金中位数及平均值（图片来源于 Coveware）Average Ransom PaymentMedlan Ransom Payment$250,000$0$500,000$750,000$1,000,000Q3 2018Q4 2018Q1 2019Q2 2019Q3 2019Q4 2019Q1 2020Q2 2020Q3 2020Q4 2020Q1 2021Q

35、2 2021Q3 2021Q4 2021Q1 2022Q2 2022Q3 2022Q4 2022Q1 2023Q2 2023Q3 2023勒索攻击目标向中高端市场转移182023勒索软件趋势分析报告勒索赎金TOP榜勒索攻击通常是出于经济利益的考量，最终目的是获取金钱收益。勒索团伙通常根据受害公司的上一年收入确定索要的赎金金额。尽管有些团伙可能索要高额赎金，但实际情况可能是，通过谈判，赎金金额可能在一个相当合理的范围内，或受害者可能选择拒绝支付甚至拒绝谈判。下表展示了勒索团伙索要赎金的排行榜，值得一提的是，大型组织在面对勒索攻击时更倾向于拒绝支付高额赎金。这表明大型组织拥有更多资源和能力来对抗勒

36、索攻击，同时更注重保护声誉和利益。因此，他们可能采取更坚决的立场，拒绝向攻击者支付高额赎金。勒索攻击受害者员工人数中位数（图片来源于 Coveware）00Q3 2018Q4 2018Q1 2019Q2 2019Q3 2019Q4 2019Q1 2020Q2 2020Q3 2020Q4 2020Q1 2021Q2 2021Q3 2021Q4 2021Q1 2022Q2 2022Q3 2022Q4 2022Q1 2023Q2 2023Q3 2023Median Company Size勒索软件团伙HiveREvilLockBitREvilLockBitLockBitYanl

37、uowangDark AngelsLockBitLockBitREvil受害者索要赎金MediaMarktAcerRoyal MailKaseyaTSMCPendragonWalmartJohnson Controls InternationalContinentalAccentureMediaMarkt$240 million$100 million$80 million$70 million$70 million$60 million$55 million$51 million$50 million$50 million$50 million192023勒索软件趋势分析报告勒索软件攻击重要

38、事件梳理英国知名餐饮集团 Brands,Inc.宣布遭受勒索软件攻击，导致一天内有将近 300 家餐厅暂停营业。ION Markets 的子公司 ION Cleared Derivatives 遭受了勒索软件攻击，导致其系统离线。这些系统对金融公司交易生命周期的自动化起着重要作用，因此使用 ION 的金融公司被迫手动确认交易。服务业金融1月3月Medusa 勒索软件团伙攻击了明尼阿波利斯公立学校（MPS），MPS 拒绝支付赎金，最终该团伙将窃取的100GB 数据发布在互联网上。BlackCat 勒索软件团伙攻击了 Lehigh Valley Health Network（LVHN），受害者拒绝

39、支付赎金后，该团伙泄露了乳腺癌患者的裸照以及医疗问卷、护照和其他敏感数据。LockBit 勒索软件团伙攻击了 Managed Care of North America(MCNA)Dental，MCNA 拒绝支付赎金，最后包括个人身份信息、健康保险信息、牙齿或牙套护理文件以及账单和保险索赔等数据被公布。泄露的数据影响了近 900 万患者，间接影响了一百多家医疗卫生机构。服务业医疗英国业务流程外包和专业服务公司 Capita 遭受了 BlackBasta 勒索软件攻击，该事件的恢复预计将耗资高达 2500 万美元。此次攻击导致客户、供应商和员工的数据泄露，公司股价下跌了 12%。服务业美国司法部

40、的一个执法机构遭受了勒索软件攻击，用于追捕逃犯的计算机系统在遭到黑客攻击 10 周后仍然无法运行。Play 勒索软件声称对奥克兰市进行了勒索攻击，政府宣布当地进入紧急状态。政府2月202023勒索软件趋势分析报告英国最大的私人物流集团之一 KNP 物流（KNP Logistics）被添加到 Akira 勒索软件团伙的受害者名单中。这次勒索软件事件影响了关键系统、流程和财务信息，严重影响了集团的财务状况和获得额外投资资金的能力。该公司最终被迫宣布破产。物流运输6月BlackCat 勒索软件团伙袭击了拉斯维加斯的凯撒娱乐公司，据报道，攻击者最初要求 3 千万美元的赎金，但凯撒公司最终将赎金金额谈判

41、降至 1,500 万美元。BlackCat 勒索软件团伙袭击了酒店巨头米高梅酒店（MGM Resorts）的 ESXi 服务器。酒店和赌场遭受了36 小时的停机，由于运营中断造成约 8000 万美元的收入损失，BlackCat 声称其附属机构 Scattered Spider 通过社交工程在 LinkedIn 上识别了一名 IT 员工，然后再打电话给前台，并于 10 分钟内发动了攻击。博彩9月LockBit 勒索软件团伙攻击了某金融大行美国子公司，导致美国国债交易业务瘫痪，对 26 万亿美元的美国国债市场造成冲击。金融Ardent Health Services 受到勒索软件攻击，波及旗下 3

42、0 家医院及逾 200 家医疗设施。IT 部门在发现攻击后迅速切断网络连接，以确保患者护理安全。此举导致部分医院必须转移救护车和急诊病人，其他医院则不得不取消了预定的诊疗和手术。医疗11月达拉斯市遭受了 Royal 勒索软件攻击，导致警察和消防部门等多个职能部门被迫关闭了一些 IT 系统。据悉，超过 2.6 万人受到此次攻击的影响。攻击者窃取的数据包括姓名、地址和医疗信息，其中一些政府雇员的子女的个人信息也被窃取。2023 年 8 月，达拉斯市议会宣布批准支付 860 万美元的费用，用于与这次攻击相关的服务。政府5月BlackCat 勒索软件团伙攻击了澳大利亚最大的律师事务所之一 HWL Eb

43、sworth，该公司拒绝支付赎金，最终 1.4TB 的数据被公开发布。此次事件影响了包括澳大利亚西太平洋银行（Westpac）、国民澳大利亚银行（NAB）、联邦银行（Commonwealth Bank）和澳新银行（ANZ）等多家公共和私营部门。服务业8月美国最大的医院网络之一 Prospect Medical Holdings 宣布遭受了一次勒索攻击，该组织立即将系统下线以保护其安全，并展开了调查。多家医院和附属机构都受到此次事件影响。医疗丹麦托管公司 CloudNordic 和 AzeroCloud 遭受了勒索软件攻击，导致大部分客户数据彻底丢失。攻击者关闭了这两家公司的系统，清除了公司和客

44、户的网站和电子邮件系统。备份数据和生产数据也受到了影响。IT 行业10月Lockbit 勒索软件团伙将美国波音公司添加进受害者名单，波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。波音公司拒绝支付赎金，11 月 10 日，LockBit 在其网站上发布了从波音公司窃取的超过 43GB 的数据。这些文件包括 IT 管理软件的配置备份以及监控和审核工具的日志。物流运输12月圣诞节前夕，知名品牌公司 VF Corp.确认部分信息技术系统存在未经授权的活动，导致公司被迫关闭了部分系统。公司股价于 18 日收盘时下跌了超过 9%。此次攻击影响了公司的线上业务运营，可能会出现在线订单延迟、交

45、付延迟等问题。快消212023勒索软件趋势分析报告年重要政策和举措2023 年 2 月 9 日美英对七名涉及 TrickBot BlackCat 勒索软件团伙的俄罗斯个人实施了制裁，这些个人在美国和英国的所有财产和资金均已被冻结。此外，禁止个人和公司与这些个人进行交易。该组织曾运营 Conti 和 Ryuk 勒索软件行动的攻击。2023 年 10 月 31 日至 11 月 1 日全球反勒索软件联盟在美国领导下召开第三届国际反勒索软件倡议年度峰会，共有 50 个国家参与。会议上签署了一份联合政策声明，承诺不支付任何与网络犯罪相关的赎金。这是有史以来首次有如此多国家政府共同宣布不应支付赎金，以阻止

46、勒索软件的蔓延，并以身作则。然而，并非所有国家都确认签署这一反勒索软件声明。2023 年 11 月 30 日公安部召开新闻发布会，通报山东、浙江警方打掉多个以篡改网站页面、清空网站数据、加密重要文件等方式进行敲诈勒索的犯罪团伙，查明被该犯罪团伙侵入勒索的网站平台 300 余个、民营企业 400 余家，涉案金额达 50 亿元。犯罪团伙有网络安防相关资质，且有供职大型网络科技公司经历。2023 年 12 月 19 日美国司法部宣布对 BlackCat 勒索软件团伙进行了一次打击行动，查封了 BlackCat 勒索软件团伙的暗网基础设施。通过前期监控缴获了大量解密密钥，FBI 开发了一种解密工具，可

47、以解密 500 多名受害者的系统。此外，FBI 还获得了 946 个与勒索软件基础设施相关的 Tor 密钥对、赎金谈判站点、数据泄露门户等。2023 年 12 月 18 日美国证券交易委员会(SEC)针对“重大”网络安全事件的披露规则生效，要求上市公司在四个工作日内向该机构披露“重大”网络安全事件。2023 年 11 月 21 日来自 7 个国家的执法机构与欧洲刑警组织和欧洲司法组织合作，在乌克兰成功逮捕了一起涉及 71 个国家的勒索软件组织的核心成员。这次行动中，他们成功抓获了该组织 32岁的主谋以及 4 名同谋。这些网络犯罪分子使用了LockerGoga、MegaCortex、HIVE 和

48、 Dharma 等多种勒索软件进行攻击。2023 年 6 月 17 日美国国务院的国家安全悬赏计划 RFJ 公开宣布提供最高1000 万美元的悬赏，征集与 Cl0p 勒索软件团伙或在外国政府资助下的针对美国关键基础设施的恶意网络行为者的信息。222023勒索软件趋势分析报告勒索对抗正在加强，越来越多的勒索组织拥有更强的手段来绕过、卸载或致盲 EDR（终端检测与响应）系统。2023 年 4 月，研究人员捕获到攻击者使用了一种名为 AuKill 的新型黑客工具，该工具在 BYOVD（Bring Your Own Vulnerable Driver）攻击中，用于在目标系统上禁用 EDR 软件，然后部

49、署后门和勒索软件。而在 2023 年 7 月，我们观测到 Lockbit3.0 滥用卡巴斯基开发的一款免费工具 TDSSKiller，通过命令行脚本或批处理文件终止防病毒和 EDR 软件。这表明，攻击者不断寻找新的方式来绕过甚至禁用安全软件，加剧了对抗勒索攻击的困难。随着勒索软件团伙的不断演进，研究发现他们从获取初始访问到部署和执行勒索软件的时间间隔变得更短。根据安全公司 Sophos 在 2023 年上半年的趋势报告显示，与 2022 相比，2023 年上半年勒索软件攻击事件的停留时间中位数从 9 天降低到 5 天。Sophos 公司的首席技术官切斯特 维斯涅夫斯基表示：有一次攻击从开始到结

50、束只用了 2 小时 12 分钟。勒索团伙想要在网络上加密系统，必须在防御者检测到入侵并试图阻止之前释放恶意软件。为了缩短从入侵到加密所需的时间，勒索软件团伙继续探索更快的策略，包括使用间歇性加密（只加密文件的部分内容）以及使用比常用的 AES 等加密速度更快的加密算法，如 curve25519 和 eSTREAM 密码 hc-128 算法，并通过高效的线程调度和编译器优化实现了快速加密。2020 年至 2023 年 1H 勒索攻击停留时间中位数（图片来源于 Sophos）年勒索病毒之变更艰难的防御6040200Dwell Time(days),2020-1H23 and

51、all-time2020202120222023AII Time232023勒索软件趋势分析报告更广的攻击目标研究表明，勒索团伙越来越多地开发跨平台勒索软件，特别是针对 Linux 操作系统上的服务。Linux 在超级计算机和服务器市场上占据主导地位，到 2029 年，Linux 计算市场预计将增长至 220 亿美元。根据趋势科技 2023 年中报告，2023 年上半年针对 Linux 的勒索软件增长超过 62%。分析显示，CentOS Linux 成为受到最多攻击的目标，其次是 CloudLinux、Ubuntu 和 Red Hat Enterprise。研究发现，至少有 10 个勒索软件家

52、族推出了针对 Linux 系统的版本。此外，从 2022 年上半年至 2023 年上半年，有 9 个勒索软件团伙使用泄露的 Babuk 勒索软件源代码创建了针对 VMware ESXi 服务器的 Linux 加密器。近期，更多大型勒索组织也开始瞄准 Linux 平台，尤其是 VMware ESXi 系统。ESXi 服务器通常托管多个虚拟机，保存着组织的重要数据和服务。因此，若 ESXi 服务器被成功加密，将对目标公司产生巨大影响，攻击者可以同时加密大量网络，使事件响应更加困难。更低的攻击门槛勒索软件攻击门槛持续降低，大多数勒索家族采用 RaaS（勒索软件即服务）模式。运营商提供软件、开发新变体

53、、获取入侵权限、泄露数据并进行谈判，附属机构负责实施攻击。这种模式使得非技术用户也能参与勒索攻击，扩大了攻击者范围。RaaS 模式使得攻击更隐蔽普遍，分工合作使得攻击更规模化和高效，降低了门槛。此外，勒索软件团伙还采取其他策略降低门槛。一些组织不再加密数据，而是窃取数据并以泄露威胁索要赎金，甚至拍卖数据，价值可能超过赎金。这种方式减少了技术复杂性，使攻击更高效简化。这种策略使得勒索软件攻击更灵活多变，对受害者构成更大威胁挑战。242023勒索软件趋势分析报告更专业化的攻击手段近三年来，我们通过调查国内客户遭受勒索病毒攻击数据并分析全球范围内 137 个勒索攻击案例的公开数据，发现当前勒索攻击正

54、越来越专业化和技术化。入口点也更多地利用高级手段，如针对企业网络的定向攻击、社会工程学或利用 Nday和 0day 等，而不再仅依赖弱口令爆破。具体而言，勒索攻击采用了多样化的高级手段，包括网络钓鱼、漏洞利用、购买凭据和伪造合法工具。虽然国内仍有较高比例的弱口令爆破案例，但近年来针对 IT 厂商的漏洞攻击也日益增多，这些漏洞往往导致大规模无差别攻击。近年来，勒索团伙已经开始将目光转向 Linux 系统，这意味着他们不仅认识到攻击 Linux 系统可能带来更大收益，而且拥有了对不同操作系统的专业知识和技能。针对 Linux 的攻击通常利用系统漏洞或服务缺陷（如 Web 服务器或电子邮件服务器）获

55、取初始访问权限，从而推动了对复杂和多样化漏洞利用攻击的增加。这种趋势进一步凸显了勒索攻击的专业化和技术化特点。同时，暗网市场、论坛和 Telegram 等渠道促进了 0day 漏洞的销售，也为这些攻击的增加提供了助力。2023 年，勒索团伙在攻击中广泛利用了如下漏洞：入口点国内全球3%32%钓鱼攻击34%27%漏洞利用57%19%弱口令/爆破5%15%购买凭据1%9%伪造合法工具CVE 编号受影响产品漏洞类型相关勒索家族CVE-2023-0669CVE-2023-47246CVE-2023-24880CVE-2023-28252CVE-2023-27350CVE-2023-27532CVE-2

56、023-34362CVE-2023-36884CVE-2023-3519CVE-2023-4966CVE-2023-35078CVE-2023-27532CVE-2023-20269CVE-2023-42793CVE-2023-22515SysAidMicrosoftMicrosoftPaperCutVeeamProgressMicrosoftCitrixCitrixIvantiVeeamCiscoJetBrainsAtlassianFortraLockbit、CL0PCL0PMagniberNokoyawaBl00dy、Buhti、ObsidianORB、Lockbit、CL0PCubaCL

57、0PUndergroundBlackCat/ALPHV、8BaseLockbit8BaseCuba、BlackCat/ALPHVAkira多个主流勒索家族TrigonaFortra GoAnywhere MFT 远程代码执行漏洞SysAid 服务器路径遍历漏洞Microsoft Windows SmartScreen 安全功能绕过漏洞Microsoft Windows Common Log File System(CLFS)驱动程序提权漏洞PaperCut MF/NG 不正确的访问控制漏洞Veeam Backup&Replication Cloud Connect 关键功能漏洞身份验证缺失Pr

58、ogress MOVEit Transfer SQL 注入漏洞Microsoft Windows Search 远程代码执行漏洞Citrix NetScaler ADC 和 NetScaler Gateway 代码注入漏洞Citrix NetScaler ADC 和 NetScaler Gateway 缓冲区溢出漏洞Ivanti Endpoint Manager 身份验证绕过漏洞Veeam Backup&Replication Cloud Connect 缺少关键功能的身份验证漏洞Cisco Adaptive Security Appliance 和 Firepower Threat Defe

59、nse 未经授权访问漏洞JetBrains TeamCity 身份验证绕过漏洞Atlassian Confluence Data Center 和 Server 访问控制漏洞252023勒索软件趋势分析报告更注重营销推广勒索软件团伙一直在不断加强技术能力和心理恐吓手段，并采用了新的策略：营销推广。为提高曝光度，他们与媒体或安全人员进行沟通。例如，LockBit 在加密通讯系统 Tox 上设立了专门渠道，用于与其他罪犯、记者和研究人员沟通；RansomHouse 和 8Base 团伙通过他们的“PR Telegram 频道”向记者分享关于受害者的信息，并承诺提前发布消息；其他团伙也会向记者报道。

60、这种与媒体的接触为勒索软件团伙提供了优势。在采访中，勒索团伙似乎很高兴深入了解勒索软件的“场景”，讨论他们的非法财富，并提供有关威胁形势和安全行业的“思想领导力”。这种行为提高了曝光度，可能是为了招募更多成员。研究人员和媒体记者应避免美化或宣传罪犯的行为，尽量客观叙述问题。除非符合公共利益或为保护者提供信息和情报，否则永远不要与这些团伙交流。我们应该保持警惕，不给予罪犯额外曝光和认可，将注意力集中在预防和打击勒索软件活动上，以保护受害者的利益和网络安全。CVE-2023-40044CVE-2023-46604CVE-2023-22518CVE-2023-41266CVE-2023-41265C

61、VE-2023-48365CVE-2021-33764CVE-2021-27876CVE-2021-27877CVE-2021-27878CVE-2020-1472CVE-2022-47986CVE-2022-41080CVE-2021-34527CVE-2021-40539CVE-2022-30190CVE-2018-13379CVE-2021-21974ProgressApacheAtlassianQlikQlikQlikMicrosoftVeritasVeritasVeritasZerologonIBMMicrosoftMicrosoftZohoMicrosoftFortinetVMwa

62、re ESXiLockbitProgress WS_FTP Server 反序列化未受信任的数据漏洞Apache ActiveMQ 反序列化未受信任的数据漏洞HelloKitty、TellYouThePassCerberCactusCactusCactusScarabMoneyMessage、BlackCat/ALPHVMoneyMessage、BlackCat/ALPHVMoneyMessage、BlackCat/ALPHVBianLian、BlackCat/ALPHVBuhti、ObsidianORBCubaBlackBastaAvosLockerBlackBastaLockbitESXi

63、ArgsAtlassian Confluence Data Center 和 Server 不正确的授权漏洞Qlik Sense 路径遍历漏洞Qlik Sense HTTP 隧道漏洞Qlik Sense 远程代码执行漏洞Windows 密钥分发中心信息泄露漏洞Veritas Backup Exec 代理文件访问漏洞Veritas Backup Exec 代理不正确身份验证漏洞Veritas Backup Exec 代理命令执行漏洞Netlogon 域内权限提升漏洞IBM Aspera Faspex 代码执行漏洞Microsoft Exchange Server 权限提升漏洞Windows Pr

64、int Spoole 远程代码执行漏洞Zoho ManageEngine ADSelfService Plus 身份验证绕过漏洞Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞Fortinet FortiOS SSL VPN 路径遍历漏洞ESXi OpenSLP 堆溢出漏洞 262023勒索软件趋势分析报告基于AI的勒索软件攻击随着人工智能的流行，威胁行为者利用 AI 加快攻击速度，制作更先进的脚本和勒索软件，使组织难以抵御攻击。基于 AI 的勒索软件攻击可能在以下方面具有相当大的优势：未来趋势：新技术应用中的攻与防攻击趋势AI 可以生成更真实、自然的网络钓鱼电子邮

65、件，避免了攻击非母语的受害者时常见的语法错误和拼写错误，使诈骗行为更难以被识别，增加了受害者受骗的可能性。伪装能力AI 可以训练以了解目标公司高管的写作风格，从而伪造更具针对性的网络钓鱼电子邮件，减少了勒索团伙的工作量，提高了攻击的针对性和成功率。个性化攻击AI 代码编写工具如 ChatGPT 和 Copilot 降低了编写代码和脚本的门槛，使得编写更有效的勒索软件和复杂的恶意软件变得更加容易，从而增加了对抗检测的难度。代码编写工具的滥用AI 可以被用于检测代码中的漏洞风险，但同时也可能被攻击者利用来规避检测，使得安全防护变得更加困难。漏洞审计272023勒索软件趋势分析报告针对云基础设施的攻

66、击 采用公式化的方法来预设要求、启动计时器并根据受害者的行为正确表述具体问题，做出理性、不含情绪化的回应。AI 的介入可能使得勒索软件谈判更加冷静和理性，同时也更容易突破受害者的心理防线。谈判由于云的性质，用户无法运行软件并加密存储在云环境中的数据。威胁行为者更容易窃取未得到适当保护的数据、删除原始文件并请求赎金以换取文件的归还。如果组织没有备份，支付赎金可能是取回数据的唯一方法，因为文件已不存在，甚至不再以加密格式存在。即使存在备份，威胁行为者仍然有能力威胁释放任何被盗数据，使受害组织陷入严重困境。总之，云中的“勒索软件”并不是指涉及受害者端点数据加密的 TTP，而是专注于窃取和劫持数据以换

67、取赎金。针对云端的勒索攻击更侧重于数据泄露，而不是数据加密。针对工业控制系统的勒索软件攻击 2023 年 11 月 21 日，美国国土安全部旗下机构 CISA 发布了关于工业控制系统（ICS）漏洞的五份公告。调研显示，ICS 正面临着日益增长的勒索软件威胁。随着 OT/IT 融合的加速推进，勒索软件攻击开始对关键基础设施和工业系统造成影响。2021 年 5 月的殖民地管道事件凸显了勒索软件对关键基础设施破坏的潜力。未来展望，随着工业系统整合和互联网化程度的提高，勒索软件预计将不仅针对 IACS，还将瞄准 SCADA系统、制造和机器人技术，这一趋势将不断加快。无论是加密还是锁屏，制造生产线被迫下

68、线的可能性为攻击者提供了赎金机会，停产导致的损失将转化为巨大的收入损失。这种破坏也将波及供应链漏洞，对互联行业的关键供应商进行有效攻击可能对全球科技硬件格局产生深远影响。这种转变导致更广泛的攻击者对关键基础设施和 IACS 发起有针对性的攻击。同时，我们不能忽视国家级别的攻击活动，它们可能以勒索攻击为幌子，掩饰其真正破坏工业的目的。工业系统的数字化和互联化程度不断提高，面临来自全球范围的多种攻击威胁。282023勒索软件趋势分析报告2023 年 5 月 18 日，深信服首发安全垂直领域大模型安全 GPT，并于同年 9 月发布了在“终端安全告警解读”和“安全运营自主值守”方面有着突出表现的安全

69、GPT2.0 版本。我们预期，未来将出现更多基于人工智能的网络防御工具，这是一个日益明显的趋势。这类产品能够分析每日数万亿个数据信号，借助其尖端的机器学习技术，智能地筛选出误报和合法事件产生的干扰，从而显著提升 IT 安全团队的工作效率。其智能集成功能不仅能够简化工作流程，还能自动完成常规任务，大大提高了安全防御人员对网络威胁的响应速度。基于 AI 的勒索软件防御可能具有以下功能：基于AI的防御建设随着时间的推移，广为人知和广泛传播的勒索软件家族的数量将逐渐减少，而攻击模式将更加趋同。许多勒索软件采用类似的 RaaS（Ransomware-as-a-Service）技术和策略，这意味着 SOC

70、（安全运营中心）响应所需考虑的策略和技术将减少。然而，攻击者的工具将变得更加复杂，这需要我们的安全产品和解决方案具备更智能化的特性。随着安全威胁的不断演变，客户需要的不仅仅是单一的安全产品，更需要整体安全解决方案的智能化定制服务，以应对日益复杂的威胁环境。只有通过与客户紧密合作，深入了解他们的业务需求和风险特点，才能制定出最适合他们的智能化安全解决方案。只有通过深入了解客户并提供个性化的智能化服务，才能够构建出真正坚固和可靠的安全承诺，保护客户的数字资产免受威胁。智能化安全解决方案应对威胁安全产品趋势智能威胁识别和分析利用大数据和机器学习技术，快速识别真正的勒索软件威胁，减少误报和来自合法事件

71、的干扰。通过对数万亿个信号的分析，及时发现异常行为和潜在的勒索软件攻击。01自动化响应和阻断将自动化和编排无缝集成到安全操作中，使防御者能够以闪电般的速度响应威胁。一旦检测到勒索软件攻击，系统能够自动采取相应的阻断措施，减少人工干预的时间和错误率。02预先构建的查询和集成自动化功能为安全团队提供预先构建的查询和集成自动化功能，可加速主动威胁搜寻和响应。这样可以提高安全团队的工作效率，快速发现并应对勒索软件攻击。03全面的攻击可视化提供全面的攻击可视化，帮助安全团队更直观地了解网络安全状况，及时发现异常行为和潜在的勒索软件攻击，从而加强整体网络安全有效性。04292023勒索软件趋势分析报告勒索

72、病毒攻击成功后，将对受害者造成灾难性的后果。因此，在勒索防护建设中，事前防御至关重要。广大用户应从以下几个方面加强事前防御措施：资产管理事前防御针对勒索病毒，如何构筑防御技术和应对策略？全球各大企业频繁受到新型勒索病毒攻击，损失巨大。据深信服云脑数据统计，2023 年深信服安全团队应急响应了数千起勒索事件。面对复杂的攻击链，传统防护方案已不再有效，形势紧迫。为此，我们需构建更强大的防御技术和灵活的应对策略。识别和标记资产，并为每一个资产做好详细的清单，包括名称、型号、责任人、所属部门以及用途等。对有对外服务的业务服务器或设备应做好重点标记，并定期维护。资产梳理302023勒索软件趋势分析报告弱

73、口令排查检查内网各终端、业务系统的登录口令强度，确保都使用的是高强度的密码。同时避免多台设备使用相同密码，避免设备地址信息及密码在终端上的明文存储。文件共享排查大部分家族的勒索软件运行时都会自动遍历网络路径的文件，并尝试进行加密。故内网应尽量关闭不必要的目录共享，同时必须要使用的共享目录应该做好合理的访问控制。漏洞排查使用合理的漏洞扫描工具定期对如 OA、数据库、Exchange 等业务服务器进行漏洞扫描，发现其中存在的安全弱点并安装更新补丁。同时，应当持续关注业务的提供方是否发布对应业务的新版本，做到及时地更新。端口检查应检查并确认企业对公网开放的端口，尽量避免对公网开放如 445、3389

74、、1433 等高危端口。如业务需要必须开放高危端口，应在出口处配置好可访问的源 ip 地址或使用其他有效的控制措施。使用合理的工具检测内网可能的影子资产以及变更过的资产，并进行重新标记，减少这类资产因存在安全漏洞或薄弱点而被攻击的可能性。资产发现根据资产信息的重要性以及敏感性进行分级，有助于合理分配安全资源提高管理效率，针对性地指定安全策略和控制措施，从而能够更好的保护企业的核心或敏感数据。资产分级风险检查312023勒索软件趋势分析报告关键业务、数据投保，以风险转移的方式全面降低勒索事件影响，减少勒索事件导致的经济损失。风险兜底安全意识定期校验有部分勒索软件或其攻击者使用的木马往往利用钓鱼邮

75、件进行传播，应提高员工防网络钓鱼的意识，从邮箱或 IM 软件中接受到文件时不随意执行，应先与来源方确认文件内容。防钓鱼意识培训定期组织内部的安全模拟演练，帮助员工熟悉可能的钓鱼或社工场景，提升对信息安全问题的警觉性。定期安全演练可以根据备份的目标数据的存储位置、重要性、数据的变化频率以及存储位置与原位置之间的传输能力确定合理的更新备份的频率及增量备份的比例。合适的备份策略定期验证备份数据的正确性，确保备份数据的可用性和完整性。合理备份动态备份：勒索病毒加密速度快，检测阻断的窗口期，仍有少量文件会被加密。此类中间态文件的保护需要动态智能的备份机制，增强勒索可对抗性。异地备份：由于勒索病毒会将失陷

76、的主机磁盘上绝大部分数据文件都加密，备份的文件本身也无法幸免，所以为了应对这种状况，使用异地备份或云备份的方式能有效挽回勒索病毒加密后造成的数据损失。合理的备份方式322023勒索软件趋势分析报告如不幸遭受了勒索病毒的攻击，可以进行以下几个步骤来进行应急处置，控制损失。事后排查快速清点快速清点受害终端，并对这些受害终端做断网处理，阻止其对局域网内其他终端的横向传播。备份失陷环境随着世界反勒索事业的进步，此时猖獗的勒索团伙在未来很可能因各种原因导致他们存储的私钥被公开或泄露，即使现在无法解密的重要数据也可以备份下来。勒索团伙的私钥公开或泄露之后，这部分数据或许能够得到解密。溯源排查协调内部安全人

77、员或咨询外部安全厂商提供相关服务，彻底排查此次勒索入侵事件的攻击路径，找到入侵源并确定薄弱点，针对薄弱点进行加固，防止事件再次发生。恢复业务根据已有的数据备份或虚拟机的快照对业务进行恢复，并检查此备份或快照是否干净，确保无再次感染的风险。必要的情况下可与执法部门联系，报告事件并寻求帮助。确认家族确认勒索家族，可以使用反勒索公益项目 ID-ransomware(IDR)，通过上传勒索信以及单个被加密的文件来确认可能的感染家族。该项目会通过勒索信以及被加密文件的特征来匹配出可能感染的勒索家族，并尽量指引正确的方向。332023勒索软件趋势分析报告深信服勒索防护全周期解决方案深信服提供以 0 损失为

78、目标，安全效果敢承诺的防勒索解决方案，方案能力覆盖勒索防护所需的全周期能力，将传统重网轻端的防护机制升级为纵深防御。并在纵深防御措施的基础上，依托于“AI 赋能+人机共智”的云网端安全托管服务方案，从预防、监测、响应三个阶段进行做到勒索勒索专项排查，看得清、防得住、能闭环，实现勒索防护效果革新。深度挖掘勒索相关漏洞、弱口令、高危端口等脆弱性风险，提供丰富的风险消减能力漏洞检测：系统、应用、数据库等勒索相关漏洞检测能力，支持 6500+条虚拟补丁防御规则实现漏洞风险免疫弱口令检测：aES 支持 17 种应用的弱口令检测能力，以及 RDP、SSH 的远程登录二次认证能力；AF 支持 web 应用弱

79、口令检测（流量触发检测）端口清点：支持勒索高危风险端口自动清点，支持高危端口一键封堵方案介绍防护阶段预防防护风险排查云端专家常态化开展风险管理，提供漏洞加固、弱口令整改、策略配置优化等勒索相关风险的修复建议基于威胁情报的动态预防，新型病毒、高危漏洞等勒索威胁情报实时预警，精准排查受影响资产首家发布的勒索预防 Checklist，云端专家全面检查勒索入侵相关的端口、弱口令、漏洞、安全产品策略等风险承诺勒索风险检测准确率 99%，受影响资产 100%准确（服务人员确认后）提供爆破、钓鱼、漏洞利用攻击等 4 大核心勒索常用入侵攻击手法的防护能力（1）勒索漏洞入侵防护率可达 99.7%AF 基于 10

80、000+防御规则+WISE 泛化引擎，aES 基于 6500+HIPS 虚拟补丁，漏洞入侵攻击检测率99.7%叠加云端 AI 大模型后，零日漏洞防护能力提升 30%（2）防止勒索远程登录、爆破入侵支持 RDP、SMB、MSSQL 等多种勒索常用爆破攻击方式的自动封堵支持 windows、linux 服务器均支持二次认证加固，防止勒索攻击者利用弱口令远程登录（3）勒索钓鱼入侵全过程防护通过 AF+aES 从投递到执行全过程的检测和防护，其中网侧检测过滤钓鱼攻击流量，端侧实现钓鱼附件落盘查杀、以及实现免杀附件落盘后进一步攻击的 IOA 高级威胁检测和阻断（4）勒索入侵远控防护AF 具备本地 100

81、 万+僵尸网络特征库(国内唯一)+云端 800 亿已知威胁 100MS 内实时拦截，未知威胁云端 AI 引擎 5Min 主动探测并全网同步，拦截勒索 C2 通信AF 支持记录主机通信连接，基于长时间前后文做关联分析，勒索加密通信工具检出率 99%，实时阻拦恶意外联风险加固边界突破防护分类描述342023勒索软件趋势分析报告方案配置方案配置勒索检出率超过 99%，威胁事件 100%处置闭环（1）aES 双 AI 引擎自动化防勒索，百万级勒索病毒年检出量，白注入类型勒索检出率超过 99%基于本地 SAVE 文件 AI，实现勒索及其变种病毒的自动化防护，国内唯一 100%满分通过 AV-Test 防

82、勒索测试，年检出勒索病毒数量超过 100 万基于动态行为 AI，专门应对白注入等高级绕过类型勒索攻击（如 tellyouthepass 家族勒索攻击），检出率超过 99%（2）7*24H 持续监测勒索攻击行为，实时对抗云端专家对安全告警和事件实时分析研判，并联动 AF、aES 实时阻断攻击行为威胁准确率 99%，闭环率 100%云端安全专家 7*24 小时值守，勒索事件 5 分钟响应，高效处置，降低影响云端专家快速响应，联动 AF、aES 协助用户迅速遏制病毒传播；工作时间 15 分钟内响应，30 分钟完成分析研判，1 小时内遏制影响，省会 2 小时上门高效、精准溯源根除勒索残留，协助安全加固

83、，高效闭环支持文件实时备份、经济损失兜底等，勒索攻击事件 100%兜底，降低勒索攻击导致的损失（1）端点实时备份机制，有效保障文件不丢失动态实时备份，在行为 AI 检测过程中，截断可疑操作，率先对目标文件完成备份，即使有少量文件被加密，事后也能一键回滚恢复文件（2）勒索损失全面兜底，为意外买单三大保司为深信服勒索防护效果兜底，为意外买单！一站式投保，次日出单，最高理赔 600W勒索损失全面兜底，勒索赎金、勒索期间的营业中断、第三者损失、法律公关费用均可赔偿事件兜底损失兜底事件监测&响应勒索执行防护检测对抗MSS+aES+AF风险管理勒索入侵防御勒索对抗事件兜底勒索预防漏洞检测弱口令检测策略配置

84、分析高危端口检测勒索风险验证、分析、加固漏洞攻击防御GPT 0day 防护远程登录、爆破入侵防御钓鱼攻击防御防勒索远控变种勒索病毒防护白注入攻击防护7*24 小时监测事件响应处置&优化加固勒索备份勒索保险352023勒索软件趋势分析报告总结2024 年，尽管勒索软件攻击形势严峻，但我们认为这并非无法防御。在国际形势复杂化的背景下，我国将网络安全提升至国家安全战略层面，以更好地对抗网络安全挑战。企业面对不断变化的威胁，需要专家提供专业知识、评估风险并制定策略，提高网络安全投资的回报。专家帮助企业有效利用资源，提升防御能力。同时，提高员工安全意识，建立健全的安全管理体系也至关重要。我们采取稳健策略，不断提升防御措施，增强系统韧性，以迎接威胁变化。通过持续努力，我们能够提高整个数字生态系统的安全水平，确保一条可持续的安全之路。网络安全不仅是技术较量，更是意识和责任的体现。每个人都是战士，在没有硝烟的战争中，每次防御都是对抗威胁的胜利。让我们携手共同维护数字世界的安全和稳定。362023勒索软件趋势分析报告