派拓網絡釋出報告《2024年勒索軟體回顧：Unit 42洩密網站分析》

勒索軟體在2023年經曆了巨大的變化和挑戰。這一年，勒索軟體洩密網站報告的受害者增加了49%，各勒索軟體組織共釋出了3,998個文章。是什麼推動了這一活動的激增？2023年出現了一些備受關注的漏洞，例如MOVEit和GoAnywhere MFT服務的SQL注入等。針對這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV（BlackCat）等組織在防禦者更新漏洞軟體之前感染的勒索軟體數量激增。

通過對勒索軟體洩密網站（有時也被稱為專門洩密網站，縮寫為DLS）的資料進行分析，派拓網絡釋出了報告《2024年勒索軟體回顧：Unit 42洩密網站分析》。

洩密網站和派拓網絡的資料集

勒索軟體洩密網站首次出現于2019年，當時的Maze勒索軟體已開始采取雙重勒索手段。Maze勒索軟體會在加密受害者檔案之前先竊取其檔案，它是第一個通過建立洩密網站來脅迫受害者并釋出被盜資料的已知勒索軟體組織。這些攻擊者脅迫受害者付款，不然就解密他們的檔案并公開他們的敏感資料。自2019年以來，勒索軟體組織越來越多地在行動中采用洩密網站。

派拓網絡對這些通常可通過暗網通路的網站資料進行監控，并通過研究這些資料确定趨勢。由于洩密網站在大多數勒索軟體組織中已司空見慣，是以研究人員經常使用這些資料來确定勒索軟體活動的總體水準和判斷某個勒索軟體組織首次活躍的日期。

派拓網絡編制的資料集顯示了2023年勒索軟體組織的演變以及受影響的行業和攻擊的地理分布。更重要的是，勒索軟體的活動量反映了針對關鍵漏洞的零日漏洞攻擊所産生的大規模影響。

關鍵漏洞

派拓網絡在2023年觀察到勒索軟體洩密網站釋出了3,998個文章，較2022年的2,679個文章增長了約49%。活動增加的原因可能是針對關鍵漏洞的零日漏洞攻擊，例如針對GoAnywhere MFT的CVE-2023-0669或針對MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。

CL0P聲稱對MOVEit傳輸漏洞攻擊負責。2023年6月，美國網絡安全和基礎設施局（CISA）估計，因使用CL0P勒索軟體而出名的TA505組織在全球共入侵了約8,000名受害者。這些攻擊的規模迫使易受攻擊的企業必須縮短反應時間，才能有效應對這一威脅。但由于被入侵網站的資料數量龐大，這也迫使該勒索軟體組織作出調整。CL0P并不是唯一一個利用關鍵漏洞的組織。LockBit、Medusa、ALPHV（BlackCat）等勒索軟體組織通過對Citrix Bleed漏洞CVE-2023-4966發起零日漏洞攻擊，在2023年11月期間進行了多次入侵。

在逐月檢視勒索軟體洩密網站在2023年報告的入侵次數時，派拓網絡發現某些月份的入侵次數有所增加。這些增長與勒索軟體組織開始利用特定漏洞的日期大緻吻合。但并非所有勒索軟體攻擊者都具備利用零日漏洞的能力。有些勒索軟體組織由缺乏經驗的攻擊者組成，他們會利用一切可以利用的手段。然而無論經驗是否豐富，攻擊者名單在不斷變化的威脅環境中一直在更替，2023年就新出現了一些勒索軟體組織。

2023年新出現的勒索軟體組織

鑒于近年來受害者支付的高額贖金，勒索軟體已成為網絡犯罪分子垂涎欲滴的收入來源。這些犯罪分子會組建起新的勒索軟體組織，隻不過并非每次行動都能成功或持續。新的勒索軟體組織必須考慮其他惡意軟體所沒有的問題，比如與受害者溝通和提高行動安全性等。勒索軟體行動的公開性增加了其被執法機構、安全廠商和其他防禦者發現的風險。勒索軟體組織還必須考慮其競争對手。在競争激烈的勒索軟體犯罪市場中，利潤配置設定、軟體功能和成員支援會極大地影響一個新組織在該市場的地位。

盡管存在這些挑戰，但資料顯示2023年仍出現了25個新的洩密網站。這些組織至少已推出一個勒索軟體即服務（RaaS）産品，并希望成為勒索軟體市場中的有力競争者。值得注意的是，這些網站中至少有三個是在2022年的某個時候開始活躍的。但派拓網絡在分析中将這些勒索軟體組織作為新組織的原因有二：第一，即使有分析表明這些勒索軟體組織在2022年某個時候已開始運作，但它們都是在2023年才被首次公開報道。第二，要想在當今的勒索軟體犯罪市場中嶄露頭角，洩密網站必不可少。據報道，有三個始于2022年的勒索軟體組織在2023年建立立了洩密網站，分别是：8Base、Cloak、Trigona。

洩密網站資料所反映的新組織數量揭示了勒索軟體犯罪市場的競争激烈程度。在2023年建立立洩密網站的25個組織中，至少有5個在2023年下半年沒有釋出新的文章，這表明這些組織可能已經關閉。然而，不在洩密網站上發帖并不一定意味着這些組織已經停止運作。這些組織的犯罪分子可能已經轉移到其他類型的行動中、從公衆視野中消失或與其他勒索軟體組織合并。如果其中一些組織沒有持續到一年，新的威脅行為者就會填補空缺。2023年下半年就有12個新的洩密網站釋出了文章，表明這些組織可能在這一年的下半年開始活動。

這25個新洩密網站占2023年勒索軟體發帖總數的約25%。在這些新組織中，Akira的發帖數居于首位。Akira于2023年3月首次被發現并被描述成一個快速發展的勒索軟體組織。研究人員通過與Conti上司團隊相關的加密貨币交易将該組織與Conti聯系起來。2023年洩密網站發帖數排名第二的是8Base勒索軟體。8Base是自2022年以來活躍的勒索軟體組織之一，但該組織在2023年5月才開始公布受害者。

2023年洩密網站統計資料

通過分析洩密網站資料，可以深入了解勒索軟體的威脅程度。派拓網絡檢視了2023年3,998個洩密網站文章，這些資料揭示了最活躍的組織、受影響最嚴重的行業以及全球受勒索軟體攻擊最嚴重的地區。

組織分布

在2023年的3,998個洩密網站文章中，LockBit勒索軟體仍然最為活躍，有928個組織，占到總數的23%。LockBit自2019年開始活動以來幾乎沒有中斷，已連續兩年成為最猖獗的勒索軟體組織。随着Conti、Hive、Ragnar Locker等組織的倒台，LockBit已成為許多攻擊者首選的勒索軟體，這些攻擊者随後成為該組織的成員。LockBit釋出了多個可影響Linux和Windows作業系統的變體。通過改變免費軟體工具的用途和利用LockBit的快速加密功能，成員可以根據自己的需要定制勒索軟體行動。

洩密文章數量排在第二位的是ALPHV（BlackCat）勒索軟體，約占2023年洩密網站文章總數的9.7%。第三名是CL0P勒索軟體，約占2023年文章總數的9.1%。CL0P因對Progress Software的 MOVEit和Fortra的GoAnywhere MFT等關鍵漏洞發起零日漏洞攻擊而出名。但CL0P在該組織洩密網站上報告的企業數量可能無法準确反映這些漏洞的全部影響。例如，CL0P的洩密網站資料顯示，它在這一年中入侵了364家企業，但一份分析CL0P在2023年利用MOVEit漏洞的報告指出，有2,730家企業受到了影響。我們經常發現洩密網站資料與實際影響之間存在差異，這個典型的例子正好反映了這一點。

月平均值和周平均值

派拓網絡共檢視了3,998個勒索軟體文章，這意味着勒索軟體組織在2023年平均每月産生333個文章，相當于平均每周釋出近77個文章。2023年的資料顯示勒索軟體活動較2022年有所增長。

2022年的洩密網站文章數量為2,679，平均每月223個，每周52個。2023年勒索軟體洩密網站的文章數量較前一年增加了49%。

2023年洩密網站報告數量最多的月份是7月，共有495個文章。CL0P可能由于大規模利用MOVEit漏洞，而成為當月釋出文章最多的勒索軟體。洩密網站的文章數量顯示，2023年1月和2月是勒索軟體最不活躍的月份。

受影響的行業

有些勒索軟體組織可能會以特定國家或行業為重點目标，但大多數勒索軟體組織都是以盈利為主要目的投機主義者。是以，許多勒索軟體組織會攻擊多個行業的企業。2023年洩密網站文章分布情況顯示，制造業受勒索軟體的影響最大，占到文章總數的14%。這是由于制造商對其營運技術（OT）系統的可見性通常有限，往往對網絡缺乏足夠的監控并且有時未能落實最佳安全實踐。

地區影響

洩密網站資料顯示，2023年大多數受害者都位于美國，占文章總數的47.6%；其次是英國，占6.5%；加拿大占4.6%；德國占4%。

自2019年洩密網站首次出現以來，美國的企業一直是勒索軟體的首要目标。福布斯全球2000強企業榜單根據銷售額、利潤、資産和市值對全球各大企業進行排名。2023年，美國有610家上榜企業，占福布斯全球2000強企業的近31%。這等于在告訴勒索軟體組織，該國是富裕目标的集中地。

雖然勒索軟體組織傾向于以美國等富裕地區為目标，但這一威脅仍是一個普遍的全球性問題。2023年洩密網站資料顯示，受害者至少覆寫全球120個國家。

總結

從勒索軟體洩密網站文章數量可以看出，2023年勒索軟體呈現日益猖獗的發展态勢，勒索軟體活動明顯增加，并顯示了新出現的勒索軟體組織。

CL0P等勒索軟體組織紛紛針對新發現的關鍵漏洞發起零日漏洞攻擊，這讓潛在受害者不知所措。雖然勒索軟體洩密網站資料可以為了解威脅狀況提供寶貴的洞察，但這些資料可能無法準确反映漏洞的全部影響。企業不僅要對已知漏洞保持警惕，還需要制定能夠快速應對和緩解零日漏洞攻擊影響的政策。

保護和緩解措施

派拓網絡的客戶可通過我們内置雲端安全服務（包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering）的下一代防火牆更好地防範勒索軟體威脅。

Cortex Xpanse可檢測易受攻擊的服務。Cortex XDR和XSIAM客戶開箱即可獲得針對2023年所有已知主動勒索軟體攻擊的保護，無需在系統中添加其他保護措施。Anti-Ransomware Module幫助防範加密行為，本地分析幫助阻止勒索軟體二進制檔案的執行，Behavioral Threat Protection幫助預防勒索軟體活動。Prisma Cloud Defender Agents可監視Windows虛拟機執行個體中是否存在已知的惡意軟體。

本文參考來源：https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/