勒索軟件在2023年經(jīng)歷了巨大的變化和挑戰(zhàn)。這一年，勒索軟件泄密網(wǎng)站報告的受害者增加了49%，各勒索軟件組織共發(fā)布了3,998個帖子。是什么推動了這一活動的激增？2023年出現(xiàn)了一些備受關(guān)注的漏洞，例如MOVEit和GoAnywhere MFT服務(wù)的SQL注入等。針對這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV（BlackCat）等組織在防御者更新漏洞軟件之前感染的勒索軟件數(shù)量激增。

通過對勒索軟件泄密網(wǎng)站（有時也被稱為專門泄密網(wǎng)站，縮寫為DLS）的數(shù)據(jù)進(jìn)行分析，派拓網(wǎng)絡(luò)發(fā)布了報告《2024年勒索軟件回顧：Unit 42泄密網(wǎng)站分析》。

泄密網(wǎng)站和派拓網(wǎng)絡(luò)的數(shù)據(jù)集

勒索軟件泄密網(wǎng)站首次出現(xiàn)于2019年，當(dāng)時的Maze勒索軟件已開始采取雙重勒索手段。Maze勒索軟件會在加密受害者文件之前先竊取其文件，它是第一個通過建立泄密網(wǎng)站來脅迫受害者并發(fā)布被盜數(shù)據(jù)的已知勒索軟件組織。這些攻擊者脅迫受害者付款，不然就解密他們的文件并公開他們的敏感數(shù)據(jù)。自2019年以來，勒索軟件組織越來越多地在行動中采用泄密網(wǎng)站。

派拓網(wǎng)絡(luò)對這些通常可通過暗網(wǎng)訪問的網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，并通過研究這些數(shù)據(jù)確定趨勢。由于泄密網(wǎng)站在大多數(shù)勒索軟件組織中已司空見慣，因此研究人員經(jīng)常使用這些數(shù)據(jù)來確定勒索軟件活動的總體水平和判斷某個勒索軟件組織首次活躍的日期。

派拓網(wǎng)絡(luò)編制的數(shù)據(jù)集顯示了2023年勒索軟件組織的演變以及受影響的行業(yè)和攻擊的地理分布。更重要的是，勒索軟件的活動量反映了針對關(guān)鍵漏洞的零日漏洞攻擊所產(chǎn)生的大規(guī)模影響。

關(guān)鍵漏洞

派拓網(wǎng)絡(luò)在2023年觀察到勒索軟件泄密網(wǎng)站發(fā)布了3,998個帖子，較2022年的2,679個帖子增長了約49%。活動增加的原因可能是針對關(guān)鍵漏洞的零日漏洞攻擊，例如針對GoAnywhere MFT的CVE-2023-0669或針對MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。

CL0P聲稱對MOVEit傳輸漏洞攻擊負(fù)責(zé)。2023年6月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局（CISA）估計，因使用CL0P勒索軟件而出名的TA505組織在全球共入侵了約8,000名受害者。這些攻擊的規(guī)模迫使易受攻擊的企業(yè)必須縮短反應(yīng)時間，才能有效應(yīng)對這一威脅。但由于被入侵網(wǎng)站的數(shù)據(jù)數(shù)量龐大，這也迫使該勒索軟件組織作出調(diào)整。CL0P并不是唯一一個利用關(guān)鍵漏洞的組織。LockBit、Medusa、ALPHV（BlackCat）等勒索軟件組織通過對Citrix Bleed漏洞CVE-2023-4966發(fā)起零日漏洞攻擊，在2023年11月期間進(jìn)行了多次入侵。

在逐月查看勒索軟件泄密網(wǎng)站在2023年報告的入侵次數(shù)時，派拓網(wǎng)絡(luò)發(fā)現(xiàn)某些月份的入侵次數(shù)有所增加。這些增長與勒索軟件組織開始利用特定漏洞的日期大致吻合。但并非所有勒索軟件攻擊者都具備利用零日漏洞的能力。有些勒索軟件組織由缺乏經(jīng)驗(yàn)的攻擊者組成，他們會利用一切可以利用的手段。然而無論經(jīng)驗(yàn)是否豐富，攻擊者名單在不斷變化的威脅環(huán)境中一直在更替，2023年就新出現(xiàn)了一些勒索軟件組織。

2023年新出現(xiàn)的勒索軟件組織

鑒于近年來受害者支付的高額贖金，勒索軟件已成為網(wǎng)絡(luò)犯罪分子垂涎欲滴的收入來源。這些犯罪分子會組建起新的勒索軟件組織，只不過并非每次行動都能成功或持續(xù)。新的勒索軟件組織必須考慮其他惡意軟件所沒有的問題，比如與受害者溝通和提高行動安全性等。勒索軟件行動的公開性增加了其被執(zhí)法機(jī)構(gòu)、安全廠商和其他防御者發(fā)現(xiàn)的風(fēng)險。勒索軟件組織還必須考慮其競爭對手。在競爭激烈的勒索軟件犯罪市場中，利潤分配、軟件功能和成員支持會極大地影響一個新組織在該市場的地位。

盡管存在這些挑戰(zhàn)，但數(shù)據(jù)顯示2023年仍出現(xiàn)了25個新的泄密網(wǎng)站。這些組織至少已推出一個勒索軟件即服務(wù)（RaaS）產(chǎn)品，并希望成為勒索軟件市場中的有力競爭者。值得注意的是，這些網(wǎng)站中至少有三個是在2022年的某個時候開始活躍的。但派拓網(wǎng)絡(luò)在分析中將這些勒索軟件組織作為新組織的原因有二：第一，即使有分析表明這些勒索軟件組織在2022年某個時候已開始運(yùn)作，但它們都是在2023年才被首次公開報道。第二，要想在當(dāng)今的勒索軟件犯罪市場中嶄露頭角，泄密網(wǎng)站必不可少。據(jù)報道，有三個始于2022年的勒索軟件組織在2023年新建立了泄密網(wǎng)站，分別是：8Base、Cloak、Trigona。

泄密網(wǎng)站數(shù)據(jù)所反映的新組織數(shù)量揭示了勒索軟件犯罪市場的競爭激烈程度。在2023年新建立泄密網(wǎng)站的25個組織中，至少有5個在2023年下半年沒有發(fā)布新的帖子，這表明這些組織可能已經(jīng)關(guān)閉。然而，不在泄密網(wǎng)站上發(fā)帖并不一定意味著這些組織已經(jīng)停止運(yùn)作。這些組織的犯罪分子可能已經(jīng)轉(zhuǎn)移到其他類型的行動中、從公眾視野中消失或與其他勒索軟件組織合并。如果其中一些組織沒有持續(xù)到一年，新的威脅行為者就會填補(bǔ)空缺。2023年下半年就有12個新的泄密網(wǎng)站發(fā)布了帖子，表明這些組織可能在這一年的下半年開始活動。

這25個新泄密網(wǎng)站占2023年勒索軟件發(fā)帖總數(shù)的約25%。在這些新組織中，Akira的發(fā)帖數(shù)居于首位。Akira于2023年3月首次被發(fā)現(xiàn)并被描述成一個快速發(fā)展的勒索軟件組織。研究人員通過與Conti領(lǐng)導(dǎo)團(tuán)隊相關(guān)的加密貨幣交易將該組織與Conti聯(lián)系起來。2023年泄密網(wǎng)站發(fā)帖數(shù)排名第二的是8Base勒索軟件。8Base是自2022年以來活躍的勒索軟件組織之一，但該組織在2023年5月才開始公布受害者。

2023年泄密網(wǎng)站統(tǒng)計數(shù)據(jù)

通過分析泄密網(wǎng)站數(shù)據(jù)，可以深入了解勒索軟件的威脅程度。派拓網(wǎng)絡(luò)查看了2023年3,998個泄密網(wǎng)站帖子，這些數(shù)據(jù)揭示了最活躍的組織、受影響最嚴(yán)重的行業(yè)以及全球受勒索軟件攻擊最嚴(yán)重的地區(qū)。

組織分布

在2023年的3,998個泄密網(wǎng)站帖子中，LockBit勒索軟件仍然最為活躍，有928個組織，占到總數(shù)的23%。LockBit自2019年開始活動以來幾乎沒有中斷，已連續(xù)兩年成為最猖獗的勒索軟件組織。隨著Conti、Hive、Ragnar Locker等組織的倒臺，LockBit已成為許多攻擊者首選的勒索軟件，這些攻擊者隨后成為該組織的成員。LockBit發(fā)布了多個可影響Linux和Windows操作系統(tǒng)的變體。通過改變免費(fèi)軟件工具的用途和利用LockBit的快速加密功能，成員可以根據(jù)自己的需要定制勒索軟件行動。

泄密帖子數(shù)量排在第二位的是ALPHV（BlackCat）勒索軟件，約占2023年泄密網(wǎng)站帖子總數(shù)的9.7%。第三名是CL0P勒索軟件，約占2023年帖子總數(shù)的9.1%。CL0P因?qū)rogress Software的 MOVEit和Fortra的GoAnywhere MFT等關(guān)鍵漏洞發(fā)起零日漏洞攻擊而出名。但CL0P在該組織泄密網(wǎng)站上報告的企業(yè)數(shù)量可能無法準(zhǔn)確反映這些漏洞的全部影響。例如，CL0P的泄密網(wǎng)站數(shù)據(jù)顯示，它在這一年中入侵了364家企業(yè)，但一份分析CL0P在2023年利用MOVEit漏洞的報告指出，有2,730家企業(yè)受到了影響。我們經(jīng)常發(fā)現(xiàn)泄密網(wǎng)站數(shù)據(jù)與實(shí)際影響之間存在差異，這個典型的例子正好反映了這一點(diǎn)。

月平均值和周平均值

派拓網(wǎng)絡(luò)共查看了3,998個勒索軟件帖子，這意味著勒索軟件組織在2023年平均每月產(chǎn)生333個帖子，相當(dāng)于平均每周發(fā)布近77個帖子。2023年的數(shù)據(jù)顯示勒索軟件活動較2022年有所增長。

2022年的泄密網(wǎng)站帖子數(shù)量為2,679，平均每月223個，每周52個。2023年勒索軟件泄密網(wǎng)站的帖子數(shù)量較前一年增加了49%。

2023年泄密網(wǎng)站報告數(shù)量最多的月份是7月，共有495個帖子。CL0P可能由于大規(guī)模利用MOVEit漏洞，而成為當(dāng)月發(fā)布帖子最多的勒索軟件。泄密網(wǎng)站的帖子數(shù)量顯示，2023年1月和2月是勒索軟件最不活躍的月份。

受影響的行業(yè)

有些勒索軟件組織可能會以特定國家或行業(yè)為重點(diǎn)目標(biāo)，但大多數(shù)勒索軟件組織都是以盈利為主要目的投機(jī)主義者。因此，許多勒索軟件組織會攻擊多個行業(yè)的企業(yè)。2023年泄密網(wǎng)站帖子分布情況顯示，制造業(yè)受勒索軟件的影響最大，占到帖子總數(shù)的14%。這是由于制造商對其運(yùn)營技術(shù)（OT）系統(tǒng)的可見性通常有限，往往對網(wǎng)絡(luò)缺乏足夠的監(jiān)控并且有時未能落實(shí)最佳安全實(shí)踐。

地區(qū)影響

泄密網(wǎng)站數(shù)據(jù)顯示，2023年大多數(shù)受害者都位于美國，占帖子總數(shù)的47.6%；其次是英國，占6.5%；加拿大占4.6%；德國占4%。

自2019年泄密網(wǎng)站首次出現(xiàn)以來，美國的企業(yè)一直是勒索軟件的首要目標(biāo)。福布斯全球2000強(qiáng)企業(yè)榜單根據(jù)銷售額、利潤、資產(chǎn)和市值對全球各大企業(yè)進(jìn)行排名。2023年，美國有610家上榜企業(yè)，占福布斯全球2000強(qiáng)企業(yè)的近31%。這等于在告訴勒索軟件組織，該國是富裕目標(biāo)的集中地。

雖然勒索軟件組織傾向于以美國等富裕地區(qū)為目標(biāo)，但這一威脅仍是一個普遍的全球性問題。2023年泄密網(wǎng)站數(shù)據(jù)顯示，受害者至少覆蓋全球120個國家。

總結(jié)

從勒索軟件泄密網(wǎng)站帖子數(shù)量可以看出，2023年勒索軟件呈現(xiàn)日益猖獗的發(fā)展態(tài)勢，勒索軟件活動明顯增加，并顯示了新出現(xiàn)的勒索軟件組織。

CL0P等勒索軟件組織紛紛針對新發(fā)現(xiàn)的關(guān)鍵漏洞發(fā)起零日漏洞攻擊，這讓潛在受害者不知所措。雖然勒索軟件泄密網(wǎng)站數(shù)據(jù)可以為了解威脅狀況提供寶貴的洞察，但這些數(shù)據(jù)可能無法準(zhǔn)確反映漏洞的全部影響。企業(yè)不僅要對已知漏洞保持警惕，還需要制定能夠快速應(yīng)對和緩解零日漏洞攻擊影響的策略。

保護(hù)和緩解措施

派拓網(wǎng)絡(luò)的客戶可通過我們內(nèi)置云端安全服務(wù)（包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering）的下一代防火墻更好地防范勒索軟件威脅。

Cortex Xpanse可檢測易受攻擊的服務(wù)。Cortex XDR和XSIAM客戶開箱即可獲得針對2023年所有已知主動勒索軟件攻擊的保護(hù)，無需在系統(tǒng)中添加其他保護(hù)措施。Anti-Ransomware Module幫助防范加密行為，本地分析幫助阻止勒索軟件二進(jìn)制文件的執(zhí)行，Behavioral Threat Protection幫助預(yù)防勒索軟件活動。Prisma Cloud Defender Agents可監(jiān)視Windows虛擬機(jī)實(shí)例中是否存在已知的惡意軟件。

本文參考來源：https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/