《奇安信：2023年中国企业勒索病毒攻击态势分析报告（40页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：2023年中国企业勒索病毒攻击态势分析报告（40页）.pdf（40页珍藏版）》请在三个皮匠报告上搜索。

1、 2023 年中国企业勒索病毒 攻击态势分析报告 2023 年 9 月 摘 要 统计显示，医疗卫生行业是勒索病毒攻击的重灾区，报案数量占到勒索病毒攻击事件报案总数的 21.4%；制造业排名第二，占比为 17.5%；生活服务紧随其后，占比为 14.6%。61.7%的勒索病毒攻击事件根本无法进行溯源，13.1%的中招机构，只能进行内网或局域网内的溯源，其余 25.2%的机构能够对互联网侧的勒索病毒攻击源 IP 进行追溯。5.8%的攻击源 IP 来自于境内，17.0%的攻击源 IP 来自境外，另有 2.4%的攻击者，同时使用了境外 IP 和境内 IP 进行勒索攻击。在206起造成重大破坏或严重损失的

2、勒索病毒攻击典型事件中，各类政企机构共有1485台设备感染了勒索病毒。平均每起勒索病毒攻击事件造成 8.6 台网络设备（含虚拟机）被感染。2022 年 1 月至 2023 年 3 月，综合奇安信 95015 应急响应团队处理的所有勒索攻击事件中，排名前十的事件涉及勒索病毒/家族占所有勒索攻击事件的 51.0%。其中，phobos 勒索家族排名第一，有 22.8%的勒索事件受到该勒索软件的攻击；makop 勒索病毒排名第二，占比 5.3%；mollox 排名第三占比 4.9%。完成一次勒索病毒攻击的平均时长为 105.7 小时、最短时长为 3 分钟、最长时长为 529天。其中，17.6%的攻击者

3、在一小时内即完成了从发起攻击至完成勒索的全过程，“0.5小时”是勒索攻击发现后的“黄金救援期”，在发现攻击者攻击后的 0.5 小时内，拦截攻击失陷的成功率极高接近 90%。52.6%的攻击事件使用了暴力破解，存在违规操作或使用钓鱼邮件攻击的事件分别占比5.2%。全国发生的勒索攻击重大事件中，49.5%的勒索攻击事件明确与弱口令有关。从端口暴露情况来看，42.2%的攻击事件均涉及端口暴露。其中，暴露最多的端口 TOP5分别为：3389（19.4%）、445（12.1%）、135（5.3%）、139（4.4%）、3306（2.9%）。关键词：关键词：勒索、暴力破解、弱口令、漏洞、端口暴露 2 主要

4、观点 医疗卫生、制造业、生活服务行业是国内勒索病毒攻击的重灾区，相关行业单位应当对勒索病毒风险高度重视。从规模来看，安全防护能力相对较低的中小企业，相对更容易遭到勒索病毒的攻击。遭到勒索病毒攻击的政企单位，绝大多数都是网络安全建设基础极其薄弱，存在显而易见的安全建设漏洞的单位。终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不到修复等情况非常普遍。没有整体安全规划、没有全局安全策略、没有有效运营手段，都是勒索病毒受害机构的典型通病。如果仅从入侵方式和渗透手法来看，勒索病毒的攻击与其他各类传统网络攻击相比并没有多少特别的“新花招”，极少有使用 0day 漏洞或高级攻击手法的情况发

5、生。这也意味着，不论发病时的症状多么的可怕，勒索病毒依然是一种可防、可控、可阻断的“网络传染病”。绝大多数的勒索病毒攻击，在攻击早期就会暴露出比较明显的“攻击信号”。从早期攻击信号出现后的 030 分钟，是勒索病毒攻击应急响应的“黄金救援期”，在这段时间内，系统生存率仍在 90%以上。而 9.8 小时，约 590 分钟是一个临界时间点，超过这个时间，系统被成功投毒的概率就会大于生存概率。因此，遭受攻击的机构必须要有能力在第一时间捕获攻击者的行动，并在有限的时间内采取有效的行动，才能成功阻止最终的投毒，在勒索病毒的攻击下存活。在勒索病毒攻击事件中：有 49.5%与弱口令有关；在 52.6%使用了

6、暴力破解；而能够被成功爆破的口令，理论上讲都属于弱口令。作为系统看门人，管理员使用弱口令，就等于是将库房钥匙交给了攻击者。这也就难怪攻击者可以“大摇大摆”的“破门而入”。表面上看，弱口令问题是安全意识问题。但从本质上看，弱口令的存在本身就说明系统的身份认证机制不完整或者是存在重大的缺陷。采用零信任等新型身份安全机制，可以实现即方便、又安全的用户体验。对于尚不具备部署零信任系统条件，或者是安全预算不足的政企机构，至少也应该在传统安全机制范围内，努力避免弱口令的存在，采取技术手段阻止暴力破解。3 受害机构普遍严重缺乏威胁溯源能力。61.7%的受害机构完全不具备溯源能力，13.1%的机构仅能实现内部