《天际友盟：2023勒索软件下半年报告（15页）.pdf》由会员分享，可在线阅读，更多相关《天际友盟：2023勒索软件下半年报告（15页）.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、双子座实验室2024-032023勒索软件下半年报告2023 勒索软件下半年报告P3 概述P4 TOP10 勒索软件攻击P11 2023 年下半年新的勒索软件攻击活动P12 总结P13 附录contents目录3概述012023 年下半年，勒索软件攻击活动愈发猖獗，导致 2023 年全年勒索软件攻击事件整体数量较上一年再次大幅增长，勒索金额屡创新高，勒索软件依然稳坐网络威胁的头把交椅。纵观下半年，Lockbit3 组织发动了近 600 起攻击事件，凭借强势表现在整个勒索软件市场中独占鳌头。同时，一些新兴的勒索软件如 8Base、Akira、Medusa 也在下半年迅猛崛起，迅速挤入了排名 to

2、p10。天际友盟追踪了下半年近百起勒索软件攻击事件，归纳其特点如下：勒索软件运营体系日趋完善，勒索组织及其附属机构也逐渐拓展服务范围，甚至可以根据客户需求，提供定制化的 RaaS 服务，勒索软件业务模式在灵活性方面取得显著进展；勒索软件开发迭代加快，新型勒索软件层出不穷。虽然大多数新软件仍然基于旧软件源代码衍生，但开发者也在推陈出新，通过扩展新功能，以适应不断变化的需求和环境；勒索软件现有发展仍主要以双重勒索为主，多重勒索为辅。然而，攻击者的勒索策略已然发生调整，不再仅仅专注于向受害者索取赎金，而是转向利用多种途径贩卖窃取的数据；与此同时，为了提高攻击效率，对目标文件进行间歇式加密或者只窃取数

3、据而不加密文件；勒索软件攻击方式多样化，其中漏洞利用依旧是最主要的入侵途径之一，与暴力破解、数据库弱口令、网络钓鱼等常用方式相辅相成，使攻击者能够更灵活地选择适合的攻击路径，为防御带来更大的挑战。SRANSOMWARE42023 勒索软件下半年报告图 1 暗网最为活跃的 TOP10 勒索软件攻击图 2 勒索软件的 TOP10 目标行业2.1 统计数据TOP10 勒索软件攻击02天际友盟双子座实验室对 2023 年下半年活跃勒索软件组织的攻击活动进行了追踪，并根据所监控的暗网勒索团伙动向，统计出了 2023 年下半年最为活跃的 TOP10 勒索软件的攻击情况（如图 1）。从图中可以看出，Lock

4、Bit3、BlackCat、Cl0P 依然稳居前三位，LockBit3 虽然以 597 次成功攻击领先于其它勒索组织，但与 2023 年上半年相比，其数量有所下降。后续几个勒索软件的攻击分布则相对均匀，这也侧面说明各勒索组织在下半年持续发力，以试图瓜分 LockBit3 的市场份额。值得注意的是，TOP10 排行中还出现了多个于 2023 年才被披露的勒索组织，如 Akira、Noescape、Cactus，尤其是在今年 6 月份后异常活跃的 8Base 勒索团伙，成功发动了 200 多次攻击事件，一举跃升至 TOP5 的位置。勒索软件攻击行业依然较为广泛，主要集中在制造、商业服务、软件信息技

5、术、医疗等热门领域，且中小型企业成为重点针对目标。此外，政府、金融、建筑、教育、零售、能源等领域也受到不同程度的影响。1000200300400500600700597287219245208141137123106102Lockbit3BlackCatCL0PPlay8BaseBianlianAkiraNoescapeMedusaCactus10制造商业服务医疗软件信息技术金融政府零售能源建筑教育5图 3 Play 暗网主页2.2 2023 年下半年热门勒索软件及团伙2.2.1PlayPlay(也称为 Playcrypt)是 2023 年下半年较为活跃的勒索软件团伙，首次出现于 2022 年

6、 3 月，其目标范围涵盖北美、南美、欧洲等地区，并且澳大利亚在今年也开始遭受到 Play 的攻击。Play 勒索软件采用双重勒索模式，即会在窃取数据后对系统进行加密。不同于其他勒索组织，Play 的勒索信不会直接提出赎金要求与付款说明，而是指示受害者通过电子邮件与他们联系。攻击者常利用历史漏洞(如 CVE-2018-13379、CVE-2020-12812、CVE-2022-41040、CVE-2022-41082 等)获取初始访问权限，然后通过 AdFind 工具获取活动目录，使用 Grixba 收集网络信息并扫描杀毒软件，并会配合使用 GMER、IOBit 和 PowerTool 等工具禁