勒索軟件在2023年經曆了巨大的變化和挑戰。這一年，勒索軟件泄密網站報告的受害者增加了49%
，各勒索軟件組織共發布了3,998個帖子。是什麼推動了這一活動的激增？2023年出現了一些備受關注的漏洞

，例如MOVEit和GoAnywhere MFT服務的SQL注入等。針對這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV（BlackCat）等組織在防禦者更新漏洞軟件之前感染的勒索軟件數量激增。

通過對勒索軟件泄密網站（有時也被稱為專門泄密網站
，縮寫為DLS）的數據進行分析，派拓網絡發布了報告《2024年勒索軟件回顧：Unit 42泄密網站分析》。

泄密網站和派拓網絡的數據集

勒索軟件泄密網站首次出現於2019年，當時的Maze勒索軟件已開始采取雙重勒索手段。Maze勒le索suo軟ruan件jian會hui在zai加jia密mi受shou害hai者zhe文wen件jian之zhi前qian先xian竊qie取qu其qi文wen件jian，它ta是shi第di一yi個ge通tong過guo建jian立li泄xie密mi網wang站zhan來lai脅xie迫po受shou害hai者zhe並bing發fa布bu被bei盜dao數shu據ju的de已yi知zhi勒le索suo軟ruan件jian組zu織zhi。這zhe些xie攻gong擊ji者zhe脅xie迫po受shou害hai者zhe付fu款kuan

，不bu然ran就jiu解jie密mi他ta們men的de文wen件jian並bing公gong開kai他ta們men的de敏min感gan數shu據ju。自zi2019年以來，勒索軟件組織越來越多地在行動中采用泄密網站。

派(pai)拓(tuo)網(wang)絡(luo)對(dui)這(zhe)些(xie)通(tong)常(chang)可(ke)通(tong)過(guo)暗(an)網(wang)訪(fang)問(wen)的(de)網(wang)站(zhan)數(shu)據(ju)進(jin)行(xing)監(jian)控(kong)，並(bing)通(tong)過(guo)研(yan)究(jiu)這(zhe)些(xie)數(shu)據(ju)確(que)定(ding)趨(qu)勢(shi)。由(you)於(yu)泄(xie)密(mi)網(wang)站(zhan)在(zai)大(da)多(duo)數(shu)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)中(zhong)已(yi)司(si)空(kong)見(jian)慣(guan)，因(yin)此(ci)研(yan)究(jiu)人(ren)員(yuan)經(jing)常(chang)使(shi)用(yong)這(zhe)些(xie)數(shu)據(ju)來(lai)確(que)定(ding)勒(le)索(suo)軟(ruan)件(jian)活(huo)動(dong)的(de)總(zong)體(ti)水(shui)平(ping)和(he)判(pan)斷(duan)某(mou)個(ge)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)首(shou)次(ci)活(huo)躍(yue)的(de)日(ri)期(qi)。

派拓網絡編製的數據集顯示了2023年nian勒le索suo軟ruan件jian組zu織zhi的de演yan變bian以yi及ji受shou影ying響xiang的de行xing業ye和he攻gong擊ji的de地di理li分fen布bu。更geng重zhong要yao的de是shi，勒le索suo軟ruan件jian的de活huo動dong量liang反fan映ying了le針zhen對dui關guan鍵jian漏lou洞dong的de零ling日ri漏lou洞dong攻gong擊ji所suo產chan生sheng的de大da規gui模mo影ying響xiang。

關鍵漏洞

派拓網絡在2023年觀察到勒索軟件泄密網站發布了3,998個帖子，較2022年的2,679個帖子增長了約49%。活動增加的原因可能是針對關鍵漏洞的零日漏洞攻擊
，例如針對GoAnywhere MFT的CVE-2023-0669或針對MOVEit Transfer SQL Injection的CVE-2023-34362
、CVE-2023-35036和CVE-2023-35708等。

CL0P聲稱對MOVEit傳輸漏洞攻擊負責。2023年6月，美國網絡安全和基礎設施局（CISA）估計，因使用CL0P勒索軟件而出名的TA505組織在全球共入侵了約8,000名ming受shou害hai者zhe。這zhe些xie攻gong擊ji的de規gui模mo迫po使shi易yi受shou攻gong擊ji的de企qi業ye必bi須xu縮suo短duan反fan應ying時shi間jian，才cai能neng有you效xiao應ying對dui這zhe一yi威wei脅xie。但dan由you於yu被bei入ru侵qin網wang站zhan的de數shu據ju數shu量liang龐pang大da，這zhe也ye迫po使shi該gai勒le索suo軟ruan件jian組zu織zhi作zuo出chu調tiao整zheng。CL0P並不是唯一一個利用關鍵漏洞的組織。LockBit、Medusa、ALPHV（BlackCat）等勒索軟件組織通過對Citrix Bleed漏洞CVE-2023-4966發起零日漏洞攻擊
，在2023年11月期間進行了多次入侵。

在逐月查看勒索軟件泄密網站在2023nianbaogaoderuqincishushi，paituowangluofaxianmouxieyuefenderuqincishuyousuozengjia。zhexiezengchangyulesuoruanjianzuzhikaishiliyongtedingloudongderiqidazhiwenhe。danbingfeisuoyoulesuoruanjiangongjizhedoujubeiliyonglingriloudongdenengli。youxielesuoruanjianzuzhiyouquefajingyandegongjizhezucheng，tamenhuiliyongyiqiekeyiliyongdeshouduan。ranerwulunjingyanshifoufengfu，gongjizhemingdanzaibuduanbianhuadeweixiehuanjingzhongyizhizaigengti，2023年就新出現了一些勒索軟件組織。

2023年新出現的勒索軟件組織

鑒(jian)於(yu)近(jin)年(nian)來(lai)受(shou)害(hai)者(zhe)支(zhi)付(fu)的(de)高(gao)額(e)贖(shu)金(jin)
，勒(le)索(suo)軟(ruan)件(jian)已(yi)成(cheng)為(wei)網(wang)絡(luo)犯(fan)罪(zui)分(fen)子(zi)垂(chui)涎(xian)欲(yu)滴(di)的(de)收(shou)入(ru)來(lai)源(yuan)。這(zhe)些(xie)犯(fan)罪(zui)分(fen)子(zi)會(hui)組(zu)建(jian)起(qi)新(xin)的(de)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)，隻(zhi)不(bu)過(guo)並(bing)非(fei)每(mei)次(ci)行(xing)動(dong)都(dou)能(neng)成(cheng)功(gong)或(huo)持(chi)續(xu)。新(xin)的(de)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)必(bi)須(xu)考(kao)慮(lv)其(qi)他(ta)惡(e)意(yi)軟(ruan)件(jian)所(suo)沒(mei)有(you)的(de)問(wen)題(ti)，比(bi)如(ru)與(yu)受(shou)害(hai)者(zhe)溝(gou)通(tong)和(he)提(ti)高(gao)行(xing)動(dong)安(an)全(quan)性(xing)等(deng)。勒(le)索(suo)軟(ruan)件(jian)行(xing)動(dong)的(de)公(gong)開(kai)性(xing)增(zeng)加(jia)了(le)其(qi)被(bei)執(zhi)法(fa)機(ji)構(gou)、安全廠商和其他防禦者發現的風險。勒索軟件組織還必須考慮其競爭對手。在競爭激烈的勒索軟件犯罪市場中，利潤分配、軟件功能和成員支持會極大地影響一個新組織在該市場的地位。

盡管存在這些挑戰，但數據顯示2023年仍出現了25個新的泄密網站。這些組織至少已推出一個勒索軟件即服務（RaaS）產品，並希望成為勒索軟件市場中的有力競爭者。值得注意的是

，這些網站中至少有三個是在2022年的某個時候開始活躍的。但派拓網絡在分析中將這些勒索軟件組織作為新組織的原因有二：第一，即使有分析表明這些勒索軟件組織在2022年某個時候已開始運作


，但它們都是在2023年才被首次公開報道。第二
，要想在當今的勒索軟件犯罪市場中嶄露頭角，泄密網站必不可少。據報道，有三個始於2022年的勒索軟件組織在2023年新建立了泄密網站，分別是：8Base、Cloak


、Trigona。

泄密網站數據所反映的新組織數量揭示了勒索軟件犯罪市場的競爭激烈程度。在2023年新建立泄密網站的25個組織中，至少有5個在2023年nian下xia半ban年nian沒mei有you發fa布bu新xin的de帖tie子zi，這zhe表biao明ming這zhe些xie組zu織zhi可ke能neng已yi經jing關guan閉bi。然ran而er
，不bu在zai泄xie密mi網wang站zhan上shang發fa帖tie並bing不bu一yi定ding意yi味wei著zhe這zhe些xie組zu織zhi已yi經jing停ting止zhi運yun作zuo。這zhe些xie組zu織zhi的de犯fan罪zui分fen子zi可ke能neng已yi經jing轉zhuan移yi到dao其qi他ta類lei型xing的de行xing動dong中zhong、從公眾視野中消失或與其他勒索軟件組織合並。如果其中一些組織沒有持續到一年
，新的威脅行為者就會填補空缺。2023年下半年就有12個新的泄密網站發布了帖子
，表明這些組織可能在這一年的下半年開始活動。

這25個新泄密網站占2023年勒索軟件發帖總數的約25%。在這些新組織中
，Akira的發帖數居於首位。Akira於2023年3月首次被發現並被描述成一個快速發展的勒索軟件組織。研究人員通過與Conti領導團隊相關的加密貨幣交易將該組織與Conti聯係起來。2023年泄密網站發帖數排名第二的是8Base勒索軟件。8Base是自2022年以來活躍的勒索軟件組織之一
，但該組織在2023年5月才開始公布受害者。

2023年泄密網站統計數據

通過分析泄密網站數據，可以深入了解勒索軟件的威脅程度。派拓網絡查看了2023年3,998個泄密網站帖子，這些數據揭示了最活躍的組織、受影響最嚴重的行業以及全球受勒索軟件攻擊最嚴重的地區。

組織分布

在2023年的3,998個泄密網站帖子中，LockBit勒索軟件仍然最為活躍，有928個組織
，占到總數的23%。LockBit自2019年開始活動以來幾乎沒有中斷

，已連續兩年成為最猖獗的勒索軟件組織。隨著Conti、Hive
、Ragnar Locker等組織的倒台
，LockBit已成為許多攻擊者首選的勒索軟件，這些攻擊者隨後成為該組織的成員。LockBit發布了多個可影響Linux和Windows操作係統的變體。通過改變免費軟件工具的用途和利用LockBit的快速加密功能，成員可以根據自己的需要定製勒索軟件行動。

泄密帖子數量排在第二位的是ALPHV（BlackCat）勒索軟件，約占2023年泄密網站帖子總數的9.7%。第三名是CL0P勒索軟件
，約占2023年帖子總數的9.1%。CL0P因對Progress Software的MOVEit和Fortra的GoAnywhere MFT等關鍵漏洞發起零日漏洞攻擊而出名。但CL0P在該組織泄密網站上報告的企業數量可能無法準確反映這些漏洞的全部影響。例如

，CL0P的泄密網站數據顯示，它在這一年中入侵了364家企業，但一份分析CL0P在2023年利用MOVEit漏洞的報告指出，有2,730家企業受到了影響。我們經常發現泄密網站數據與實際影響之間存在差異
，這個典型的例子正好反映了這一點。

月平均值和周平均值

派拓網絡共查看了3,998個勒索軟件帖子，這意味著勒索軟件組織在2023年平均每月產生333個帖子
，相當於平均每周發布近77個帖子。2023年的數據顯示勒索軟件活動較2022年有所增長。

2022年的泄密網站帖子數量為2,679，平均每月223個，每周52個。2023年勒索軟件泄密網站的帖子數量較前一年增加了49%。

2023年泄密網站報告數量最多的月份是7月，共有495個帖子。CL0P可能由於大規模利用MOVEit漏洞
，而成為當月發布帖子最多的勒索軟件。泄密網站的帖子數量顯示，2023年1月和2月是勒索軟件最不活躍的月份。

受影響的行業

有(you)些(xie)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)可(ke)能(neng)會(hui)以(yi)特(te)定(ding)國(guo)家(jia)或(huo)行(xing)業(ye)為(wei)重(zhong)點(dian)目(mu)標(biao)，但(dan)大(da)多(duo)數(shu)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)都(dou)是(shi)以(yi)盈(ying)利(li)為(wei)主(zhu)要(yao)目(mu)的(de)投(tou)機(ji)主(zhu)義(yi)者(zhe)。因(yin)此(ci)
，許(xu)多(duo)勒(le)索(suo)軟(ruan)件(jian)組(zu)織(zhi)會(hui)攻(gong)擊(ji)多(duo)個(ge)行(xing)業(ye)的(de)企(qi)業(ye)。2023年泄密網站帖子分布情況顯示
，製造業受勒索軟件的影響最大，占到帖子總數的14%。這是由於製造商對其運營技術（OT）係統的可見性通常有限，往往對網絡缺乏足夠的監控並且有時未能落實最佳安全實踐。

地區影響

泄密網站數據顯示
，2023年大多數受害者都位於美國，占帖子總數的47.6%；其次是英國，占6.5%
；加拿大占4.6%；德國占4%。

自2019年泄密網站首次出現以來，美國的企業一直是勒索軟件的首要目標。福布斯全球2000強企業榜單根據銷售額、利潤
、資產和市值對全球各大企業進行排名。2023年，美國有610家上榜企業
，占福布斯全球2000強企業的近31%。這等於在告訴勒索軟件組織，該國是富裕目標的集中地。

雖然勒索軟件組織傾向於以美國等富裕地區為目標，但這一威脅仍是一個普遍的全球性問題。2023年泄密網站數據顯示，受害者至少覆蓋全球120個國家。

總結

從勒索軟件泄密網站帖子數量可以看出


，2023年勒索軟件呈現日益猖獗的發展態勢，勒索軟件活動明顯增加，並顯示了新出現的勒索軟件組織。

CL0P等deng勒le索suo軟ruan件jian組zu織zhi紛fen紛fen針zhen對dui新xin發fa現xian的de關guan鍵jian漏lou洞dong發fa起qi零ling日ri漏lou洞dong攻gong擊ji，這zhe讓rang潛qian在zai受shou害hai者zhe不bu知zhi所suo措cuo。雖sui然ran勒le索suo軟ruan件jian泄xie密mi網wang站zhan數shu據ju可ke以yi為wei了le解jie威wei脅xie狀zhuang況kuang提ti供gong寶bao貴gui的de洞dong察cha，但dan這zhe些xie數shu據ju可ke能neng無wu法fa準zhun確que反fan映ying漏lou洞dong的de全quan部bu影ying響xiang。企qi業ye不bu僅jin要yao對dui已yi知zhi漏lou洞dong保bao持chi警jing惕ti，還hai需xu要yao製zhi定ding能neng夠gou快kuai速su應ying對dui和he緩huan解jie零ling日ri漏lou洞dong攻gong擊ji影ying響xiang的de策ce略lve。

保護和緩解措施

派拓網絡的客戶可通過我們內置雲端安全服務（包括Advanced WildFire、DNS Security
、Advanced Threat Prevention和Advanced URL Filtering）的下一代防火牆更好地防範勒索軟件威脅。

Cortex Xpanse可檢測易受攻擊的服務。Cortex XDR和XSIAM客戶開箱即可獲得針對2023年所有已知主動勒索軟件攻擊的保護，無需在係統中添加其他保護措施。Anti-Ransomware Module幫助防範加密行為，本地分析幫助阻止勒索軟件二進製文件的執行，Behavioral Threat Protection幫助預防勒索軟件活動。Prisma CloudDefender Agents可監視Windows虛擬機實例中是否存在已知的惡意軟件。