报告丨天际友盟重磅发布《2023勒索软件下半年报告》

2023年下半年，勒索软件攻击活动愈发猖獗，导致2023年全年勒索软件攻击事件整体数量较上一年再次大幅增长，勒索金额屡创新高，勒索软件依然稳坐网络威胁的头把交椅。纵观下半年，Lockbit3组织发动了近600起攻击事件，凭借强势表现在整个勒索软件市场中独占鳌头。同时，一些新兴的勒索软件如8Base、Akira、Medusa也在下半年迅猛崛起，迅速挤入了排top10。

天际友盟双子座实验室追踪了2023年下半年近百起勒索软件攻击事件，重磅推出《2023勒索软件下半年报告》，以下为报告节选内容。

• 勒索软件运营体系日趋完善，勒索组织及其附属机构也逐渐拓展服务范围，甚至可以根据客户需求，提供定制化的RaaS服务，勒索软件业务模式在灵活性方面取得显著进展；
• 勒索软件开发迭代加快，新型勒索软件层出不穷。虽然大多数新软件仍然基于旧软件源代码衍生，但开发者也在推陈出新，通过扩展新功能，以适应不断变化的需求和环境；
• 勒索软件现有发展仍主要以双重勒索为主，多重勒索为辅。然而，攻击者的勒索策略已然发生调整，不再仅仅专注于向受害者索取赎金，而是转向利用多种途径贩卖窃取的数据；与此同时，为了提高攻击效率，对目标文件进行间歇式加密或者只窃取数据而不加密文件；
• 勒索软件攻击方式多样化，其中漏洞利用依旧是最主要的入侵途径之一，与暴力破解、数据库弱口令、网络钓鱼等常用方式相辅相成，使攻击者能够更灵活地选择适合的攻击路径，为防御带来更大的挑战。

天际友盟双子座实验室对2023年下半年活跃勒索软件组织的攻击活动进行了追踪，并根据所监控的暗网勒索团伙动向，统计出了2023年下半年最为活跃的TOP10勒索软件的攻击情况（如图1）。从图中可以看出，LockBit3、BlackCat、Cl0P依然稳居前三位，LockBit3虽然以597次成功攻击领先于其它勒索组织，但与2023年上半年相比，其数量有所下降。后续几个勒索软件的攻击分布则相对均匀，这也侧面说明各勒索组织在下半年持续发力，以试图瓜分LockBit3的市场份额。值得注意的是，TOP10排行中还出现了多个于2023年才被披露的勒索组织，如Akira、Noescape、Cactus，尤其是在今6月份后异常活跃的8Base勒索团伙，成功发动了200多次攻击事件，一举跃升至TOP5的位置。

图1 暗网最为活跃的TOP10勒索软件攻击

勒索软件攻击行业依然较为广泛，主要集中在制造、商业服务、软件信息技术、医疗等热门领域，且中小型企业成为重点针对目标。此外，政府、金融、建筑、教育、零售、能源等领域也受到不同程度的影响。

图2 勒索软件的TOP10目标行业

• Play

Play（也称为Playcrypt）是2023年下半年较为活跃的勒索软件团伙，首次出现于2022年3月，其目标范围涵盖北美、南美、欧洲等地区，并且澳大利亚在今年也开始遭受到Play的攻击。Play勒索软件采用双重勒索模式，即会在窃取数据后对系统进行加密。不同于其他勒索组织，Play的勒索信不会直接提出赎金要求与付款说明，而是指示受害者通过电子邮件与他们联系。攻击者常利用历史漏洞（如CVE-2018-13379、CVE-2020-12812、CVE-2022-41040、CVE-2022-41082等）获取初始访问权限，然后通过AdFind工具获取活动目录，使用Grixb收集网络信息并扫描杀毒软件，并会配合使用GMER、IOBit和PowerTool等工具禁用杀毒软件并且删除日志记录。安全人员还观察到攻击者Power shell脚本针对Windows Defende程序。随后，攻击者一般使用Cobalt Strike、SystemBC等工具进行内网横向移动。最终通过AES-RSA混合加密文件，并将文件后缀修改.play。自2023年5月份以来，PLAY勒索软件每月在全球范围内的成功攻击次数均超过20次，表现极其活跃。（更多内容详见完整报告）

• 8Base

8Base作为排名上升最快的勒索软件团伙，自2022年4月被披露以来一直进活跃，尤其在2023年下半年活动更为频繁。该团伙使用的软件疑似基于Phobos勒索软件，并经常利用SmokeLoader传播Phobos勒索软件，采用双重勒索、网络钓鱼和漏洞利用等策略，主要针对美国、巴西和加拿大等欧美地区的商业服务、金融、制造、建筑和软件信息技术领域的中小型企业（SMB）。此外，8Base还与RansomHouse勒索组织存在密切关联，比如两者高度相似的勒索信以及信息泄露网站的主页。目前，尚不确定8Base是否Phobos或RansomHouse的分支，有推测认为该团伙可能在使用多种不同类型的勒索软件。尽管他们使用的技术并不复杂，但该组织在2023年下半年异常活跃，专门针对中小企业下手，成功率很高。（更多内容详见完整报告）

• Akira

Akira勒索团伙于2023年3月首次出现后就一直保持活跃，重点攻击中小企业，实施双重勒索策略，旨在获取经济利益，其受害目标主要位于欧洲（如法国）、北美（如美国）、澳大利亚和土耳其，涉及行业包括政府、制造、软件信息技术、教育、咨询、制药和电信行业。该团伙可对Windows和Linux两种平台进行攻击，常通过未启用MFA（多重身份验证）的VPN产品进行未授权登录行为，或者利用VPN软件的历史漏洞获取访问权限。加密时，Akira使用Chacha20和RSA的混合加密算法对受害主机上的文件进行加密，加密完成后将添加.akira扩展名，并创建名为akira_readme.txt的勒索字条。

2023年下半年，研究人员发现其在攻击期间会使用PowerTool或KillAV工具滥用Zemana AntiMalware驱动程序来终止与防病毒软件（AV）相关的进程。在内网信息收集阶段，则会使用PCHunter、AdFind等工具来收集感染主机信息，随后通过RDP协议进行横向移动，并使用AnyDesk、Ngrok等远程软件与C2服务器进行通信，同时Akira还会利用FTP协议传输从主机上窃取的信息。从2023年10月开始，研究人员观察到Akira团伙可能采取了新的策略，只执行勒索操作但不加密数据，即仅从受害者的环境中窃取数据，而不部署勒索软件或加密系统，这也代表着一些勒索软件发展的趋势。（更多内容详见完整报告）

总体来说，2023年下半年勒索软件持续活跃，勒索组织的运营也愈加成熟完善。他们的目标范围更为广泛，很少局限于单一行业。虽然大多数勒索软件主要瞄准中小公司，但是顶级的勒索组织行事不再低调，频繁攻击全球知名企业，例如Lockbit攻击波音公司、CL0P利用最新漏洞攻击西门子等公司。我们预测2024年全球执法机构会加大对勒索团伙的联合打击力度，从2024年初全球联合打击Lockbit勒索组织就可初见端倪，通过这种联合打击行动，可以有效遏制勒索软件团伙的嚣张气焰，给予全球面临威胁的公司和企业更多的信心；但对于攻击团伙而言，这会促使其加快技术更新、提高行动隐蔽性。借助AI技术的重大变革，勒索团伙可能更加容易开发新的勒索软件，部署新的传播途径，从而造成更为严重的后果。在这场新的较量中，我们建议公司或者企业统一安全策略，加强安全防范，携手安全厂商，共同应对各类网络威胁的挑战！

点击“阅读原文”，或在微信后台回复“报告”获取更多完整报告。