1、摘要

2023年下半年，Leak 網(wǎng)站上發(fā)布了2,344 家公司的勒索軟件感染。與2022 年下半年（2022年7月1日至2022年12月31日）相比，受影響的公司總數(shù)增加了79.2%。

共有53個(gè)勒索軟件組織處于活動(dòng)狀態(tài)，每個(gè)組織平均攻擊了44家公司。

有25個(gè)新的或修改的數(shù)據(jù)泄密網(wǎng)站。擁有數(shù)據(jù)泄密網(wǎng)站的新勒索軟件組織，每個(gè)組織平均攻擊約21家公司。

2023年下半年，大型企業(yè)占勒索軟件組織目標(biāo)企業(yè)的8.4%，高于去年下半年的7.7%。

受勒索軟件損害影響最大的10個(gè)行業(yè)，其中制造業(yè)在2023年全年遭受的損害最大。

此外，根據(jù)招聘平臺(tái)統(tǒng)計(jì)數(shù)據(jù)，2023年，勒索軟件組織越來(lái)越多地招募具有不同和特定技能組合的成員，系統(tǒng)地運(yùn)營(yíng)他們的小組。

2、勒索軟件組織整體活動(dòng)

在 2023 年下半年，共有 2,344 家公司因勒索軟件組織攻擊而遭受損失。與去年下半年受勒索軟件攻擊影響的 1,308 家公司相比，這增加了 79.2%(1036 家公司)。與 2022 年下半年相比，7 月至 12 月每個(gè)月段的勒索軟件活動(dòng)頻率都更高，平均每月增加約 173 家受影響的公司。

2022年下半年與2023年月度攻擊量比較

針對(duì)運(yùn)營(yíng) Leak 網(wǎng)站的勒索軟件組織的分析顯示，2023 年下半年共有 53 個(gè)組織活躍，平均每個(gè)組織攻擊約 44 家公司。2023 年下半年，最活躍的前 10 個(gè)勒索軟件組織占所有勒索軟件攻擊的 70.9%，平均每家攻擊 166家公司。其余 43 個(gè)勒索軟件組織平均每個(gè)勒索軟件組織對(duì)大約 16家公司進(jìn)行攻擊。

2023 年下半年，勒索軟件組織活動(dòng)的受害者公司總數(shù)急劇增加，可歸因于 8Base、Akira、Cactus 等新勒索軟件組織活動(dòng)的顯著增加。

前 10 大勒索軟件組的攻擊量表

3、新型勒索軟件組織活動(dòng)

2023 年下半年，共確認(rèn)了 18 個(gè)新發(fā)現(xiàn)的 Leak 站點(diǎn)，其中 5 個(gè)站點(diǎn)的地址發(fā)生了變化：Trigona、Ransomed、8Base、BlackCat 和 Stormous。兩個(gè)泄漏站點(diǎn)，Trigona 和 Ragnar Locker，被證實(shí)已停止運(yùn)營(yíng)。

2023 年下半年，與新發(fā)現(xiàn)的 Leak 站點(diǎn)相關(guān)的 18 個(gè)勒索軟件組的活動(dòng)共計(jì) 332 起事件，平均每組約 21 起事件，約為整體平均值的一半。另一方面，2023年7月出現(xiàn)的 Cactus勒索軟件組織的勒索軟件活動(dòng)共計(jì) 79起事件，約為其他新型勒索軟件組織的四倍。

2023年下半年新勒索軟件群組活動(dòng)量圖

4、目標(biāo)受害企業(yè)規(guī)模

2023年下半年，受勒索軟件組織影響的企業(yè)數(shù)量最多，小型企業(yè)為1497起，其次是中型企業(yè)，為535起，大型企業(yè)為186起。此外，報(bào)告了126起未公開披露其收入規(guī)模的公司的事件。因此，在2023年下半年披露的受影響企業(yè)規(guī)模中，中小企業(yè)占比為91.6%，大型企業(yè)占比為8.4%。

對(duì)2022年下半年和2023年勒索軟件群體目標(biāo)接收者的比較顯示，相對(duì)而言，2022年下半年中小企業(yè)目標(biāo)的比例較高。反之，2023年下半年，大企業(yè)標(biāo)的占比略有提升。

圖片

2022年下半年及2023年目標(biāo)公司分類頻率表

在攻擊量排名前十的群體中，LockBit 針對(duì)大型企業(yè)的 497 次攻擊中針對(duì) 26 次事件，而 PLAY 針對(duì)大型企業(yè)的 180 次攻擊中針對(duì) 4 次事件，表明針對(duì)大型企業(yè)的頻率相對(duì)較低。然而，在總共 181 次攻擊中，CLOP 針對(duì)大型企業(yè)的攻擊總數(shù)約為 40%，共計(jì) 72 起事件，而 Dunghill Leak 也針對(duì)其攻擊總數(shù)的約 33%，占 2 起事件，在總共 6 次攻擊中針對(duì)大型企業(yè)。

可以看到勒索軟件組織所針對(duì)的公司規(guī)模存在差異。特別是，包括 CLOP 在內(nèi)的一些勒索軟件組織往往更頻繁地針對(duì)大型企業(yè)。

同時(shí)由于具有足夠贖金支付能力和大量關(guān)鍵信息的大型企業(yè)可能在上傳到泄漏站點(diǎn)之前已經(jīng)支付了贖金，因此上述數(shù)字可能會(huì)有所不同。

5、目標(biāo)受害者行業(yè)

受影響的前 10 個(gè)行業(yè)占總損失的 66.0%，其中，根據(jù) Global Edge 的調(diào)查，2023 年收入高的 5 個(gè)行業(yè)成為勒索軟件組織的目標(biāo)，表明傾向于針對(duì)收入可觀的行業(yè)。

制造業(yè)占所有受影響公司的 16.7%，仍然是受影響最大的行業(yè)，與 2023 年上半年相似。在受影響的前10個(gè)行業(yè)中，與去年相比，制造業(yè)的損失增幅最大，其次是商業(yè)服務(wù)和分銷行業(yè)。

由于勒索軟件攻擊，制造業(yè)可能會(huì)在生產(chǎn)過(guò)程中遭受大量停機(jī)，從而導(dǎo)致生產(chǎn)延遲和供應(yīng)鏈中斷導(dǎo)致的重大經(jīng)濟(jì)損失。根據(jù)HEFFERNAN的研究，特別是在食品制造業(yè)中，加工延遲會(huì)導(dǎo)致食品成分變質(zhì)，從而導(dǎo)致無(wú)法避免的重大資源和經(jīng)濟(jì)損失。食品制造業(yè)往往依賴計(jì)算機(jī)化系統(tǒng)，使其極易受到勒索軟件攻擊，并且很有可能支付贖金以減輕損失。此外，據(jù)推測(cè)，食品分銷行業(yè)也容易受到勒索軟件攻擊，因?yàn)檫\(yùn)輸延誤會(huì)對(duì)食品質(zhì)量造成重大影響。

此外，據(jù)《建筑企業(yè)主》雜志稱，建筑行業(yè)的項(xiàng)目進(jìn)度通常很緊，合同規(guī)定必須及時(shí)提供重要文件和材料。勒索軟件團(tuán)伙利用運(yùn)營(yíng)中斷的情況，對(duì)進(jìn)度和成本造成連帶影響，導(dǎo)致重大損失。

就教育部門而言，學(xué)?？赡懿⒉桓辉?，但卻能對(duì)當(dāng)?shù)厣鐓^(qū)產(chǎn)生直接而廣泛的影響。這使它們成為勒索軟件集團(tuán)的關(guān)注目標(biāo)。

受勒索軟件影響的前 10 個(gè)行業(yè)（黃色：收入排名前 10 的行業(yè)）

6、勒索軟件運(yùn)營(yíng)趨勢(shì)

勒索軟件組織主要運(yùn)營(yíng)的 RAMP 論壇包括單獨(dú)的招聘（自由職業(yè)者）和 RaaS（勒索軟件即服務(wù)）公告板欄目，除其他旨在招募 RaaS 成員的情況外，還觀察到招募 Pentesters（滲透目標(biāo)內(nèi)部基礎(chǔ)設(shè)施傳播勒索軟件的攻擊者）的公告。

RAMP 論壇上 自由職業(yè)者 和 RaaS 公告板中合并的帖子和評(píng)論頻率

除 RAMP 論壇外，在 Breachforums 和 Exploit 論壇等其他論壇上也發(fā)現(xiàn)了與勒索軟件相關(guān)的招聘帖子。在這些帖子中，職位描述更加詳細(xì)，角色也更加多樣化，包括記者、道德黑客專家等。這表明勒索軟件小組成員的構(gòu)成正在發(fā)生系統(tǒng)性演變。

7、禁止支付贖金和聯(lián)合執(zhí)法

隨著勒索軟件攻擊的持續(xù)發(fā)生，旨在通過(guò)解決贖金支付問(wèn)題來(lái)破壞勒索軟件組織收入的國(guó)家政策也引起了人們的關(guān)注。

禁止支付贖金的法律頒布始于 2022 年 4 月 5 日，當(dāng)時(shí)北卡羅來(lái)納州成為第一個(gè)宣布此類立法的州。隨后，包括佛羅里達(dá)州在內(nèi)的多個(gè)地區(qū)出臺(tái)了禁止支付贖金的規(guī)定，2023 年，各地和各國(guó)繼續(xù)頒布禁止支付贖金的法律。2023 年 11 月 1 日，由 50 個(gè)成員國(guó)組成的國(guó)際勒索軟件響應(yīng)倡議組織 （CRI） 宣布了第一份聯(lián)合 CRI 政策聲明，宣布禁止成員國(guó)政府支付贖金。

與第三季度相比，2023 年第四季度選擇支付贖金的公司比例降至 29% 的歷史低位。表明雖然受勒索軟件受害公司的數(shù)量有所增加，但支付贖金的頻率呈下降趨勢(shì)。

贖金支付率圖表

8、結(jié)論

1）2023年下半年的勒索軟件攻擊量較去年同期增加79.2%。勒索軟件攻擊的整體增加歸因于以下因素：

2023下半年，新出現(xiàn)了 16 個(gè)或更多新的勒索軟件組織。

2023上半年出現(xiàn)的勒索組織（例如8Base 和 Akira）開始持續(xù)攻擊活動(dòng)。

2023 下半年新出現(xiàn)的勒索組織，例如Cactus 和 INC，開始積極參與勒索攻擊。

2）2023 年，勒索軟件組織傾向于針對(duì)收入可觀的大公司、GDP 高的國(guó)家和盈利能力可觀的行業(yè)。

在勒索軟件攻擊的前 10 個(gè)行業(yè)中，超過(guò) 5 個(gè)行業(yè)躋身前 10 個(gè)最賺錢的行業(yè)之列。

3）同時(shí)，勒索軟件組織針對(duì)制造業(yè)等行業(yè)，停機(jī)本身可能會(huì)造成重大影響，以及教育等行業(yè)，這些行業(yè)可能會(huì)產(chǎn)生社會(huì)影響。他們戰(zhàn)略性地采用脅迫策略，通過(guò)利用破壞的威脅向公司施壓。

4）通過(guò)招聘廣告和活動(dòng)平臺(tái)，發(fā)現(xiàn)了新的勒索軟件組操作和活動(dòng)模式，表明勒索軟件組織正在以更加結(jié)構(gòu)化的方式運(yùn)作。

5）禁止為應(yīng)對(duì)勒索軟件而支付贖金的立法也受到關(guān)注，并且在 2023 年第四季度觀察到贖金支付頻率下降的趨勢(shì)。

6）勒索軟件攻擊在 2023 年下半年繼續(xù)增加和演變，遵循上半年觀察到的趨勢(shì)。它們對(duì)企業(yè)、個(gè)人和政府都構(gòu)成重大威脅。

7）企業(yè)必須認(rèn)識(shí)到加強(qiáng)安全措施和實(shí)施強(qiáng)大的備份系統(tǒng)的重要性。促進(jìn)安全行業(yè)和企業(yè)之間的密切合作并積極采用最新的安全技術(shù)至關(guān)重要。

如有相關(guān)問(wèn)題，請(qǐng)?jiān)谖恼潞竺娼o小編留言，小編安排作者第一時(shí)間和您聯(lián)系，為您答疑解惑。