1.     摘要

• 2023年下半年，Leak 网站上发布了2,344 家公司的勒索软件感染。与2022 年下半年（2022年7月1日至2022年12月31日）相比，受影响的公司总数增加了79.2%。
• 共有53个勒索软件组织处于活动状态，每个组织平均攻击了44家公司。
• 有25个新的或修改的数据泄密网站。拥有数据泄密网站的新勒索软件组织，每个组织平均攻击约21家公司。
• 2023年下半年，大型企业占勒索软件组织目标企业的8.4%，高于去年下半年的7.7%。
• 受勒索软件损害影响最大的10个行业，其中制造业在2023年全年遭受的损害最大。
• 此外，根据招聘平台统计数据，2023年，勒索软件组织越来越多地招募具有不同和特定技能组合的成员，系统地运营他们的小组。

2.     勒索软件组织整体活动

在 2023 年下半年，共有 2,344 家公司因勒索软件组织攻击而遭受损失。与去年下半年受勒索软件攻击影响的 1,308 家公司相比，这增加了 79.2%(1,036 家公司)。与 2022 年下半年相比，7 月至 12 月每个月段的勒索软件活动频率都更高，平均每月增加约 173 家受影响的公司。

2022年下半年与2023年月度攻击量比较

针对运营 Leak 网站的勒索软件组织的分析显示，2023 年下半年共有 53 个组织活跃，平均每个组织攻击约 44 家公司。2023 年下半年，最活跃的前 10 个勒索软件组织占所有勒索软件攻击的 70.9%，平均每家攻击 166 家公司。其余 43 个勒索软件组织平均每个勒索软件组织对大约 16 家公司进行攻击。

2023 年下半年，勒索软件组织活动的受害者公司总数急剧增加，可归因于 8Base、Akira、Cactus 等新勒索软件组织活动的显着增加。

前 10 大勒索软件组的攻击量表

3.     新型勒索软件组织活动

2023 年下半年，共确认了 18 个新发现的 Leak 站点，其中 5 个站点的地址发生了变化：Trigona、Ransomed、8Base、BlackCat 和 Stormous。两个泄漏站点，Trigona 和 Ragnar Locker，被证实已停止运营。

2023 年下半年，与新发现的 Leak 站点相关的 18 个勒索软件组的活动共计 332 起事件，平均每组约 21 起事件，约为整体平均值的一半。另一方面，2023 年 7 月出现的 Cactus 勒索软件组织的勒索软件活动共计 79 起事件，约为其他新型勒索软件组织的四倍。

2023年下半年新勒索软件群组活动量图

4.     目标受害企业规模

2023年下半年，受勒索软件组织影响的企业数量最多，小型企业为1497起，其次是中型企业，为535起，大型企业为186起。此外，报告了126起未公开披露其收入规模的公司的事件。因此，在2023年下半年披露的受影响企业规模中，中小企业占比为91.6%，大型企业占比为8.4%。

对2022年下半年和2023年勒索软件群体目标接收者的比较显示，相对而言，2022年下半年中小企业目标的比例较高。反之，2023年下半年，大企业标的占比略有提升。

2022年下半年及2023年目标公司分类频率表

在攻击量排名前十的群体中，LockBit 针对大型企业的 497 次攻击中针对 26 次事件，而 PLAY 针对大型企业的 180 次攻击中针对 4 次事件，表明针对大型企业的频率相对较低。然而，在总共 181 次攻击中，CLOP 针对大型企业的攻击总数约为 40%，共计 72 起事件，而 Dunghill Leak 也针对其攻击总数的约 33%，占 2 起事件，在总共 6 次攻击中针对大型企业。

可以看到勒索软件组织所针对的公司规模存在差异。特别是，包括 CLOP 在内的一些勒索软件组织往往更频繁地针对大型企业。

同时由于具有足够赎金支付能力和大量关键信息的大型企业可能在上传到泄漏站点之前已经支付了赎金，因此上述数字可能会有所不同。

5.     目标受害者行业

受影响的前 10 个行业占总损失的 66.0%，其中，根据 Global Edge 的调查，2023 年收入高的 5 个行业成为勒索软件组织的目标，表明倾向于针对收入可观的行业。

制造业占所有受影响公司的 16.7%，仍然是受影响最大的行业，与 2023 年上半年相似。在受影响的前10个行业中，与去年相比，制造业的损失增幅最大，其次是商业服务和分销行业。

由于勒索软件攻击，制造业可能会在生产过程中遭受大量停机，从而导致生产延迟和供应链中断导致的重大经济损失。根据HEFFERNAN的研究，特别是在食品制造业中，加工延迟会导致食品成分变质，从而导致无法避免的重大资源和经济损失。食品制造业往往依赖计算机化系统，使其极易受到勒索软件攻击，并且很有可能支付赎金以减轻损失。此外，据推测，食品分销行业也容易受到勒索软件攻击，因为运输延误会对食品质量造成重大影响。

此外，据《建筑企业主》杂志称，建筑行业的项目进度通常很紧，合同规定必须及时提供重要文件和材料。勒索软件团伙利用运营中断的情况，对进度和成本造成连带影响，导致重大损失。

就教育部门而言，学校可能并不富裕，但却能对当地社区产生直接而广泛的影响。这使它们成为勒索软件集团的关注目标。

受勒索软件影响的前 10 个行业（黄色：收入排名前 10 的行业）

6.     勒索软件运营趋势

勒索软件组织主要运营的 RAMP 论坛包括单独的招聘（自由职业者）和 RaaS（勒索软件即服务）公告板栏目，除其他旨在招募 RaaS 成员的情况外，还观察到招募 Pentesters（渗透目标内部基础设施传播勒索软件的攻击者）的公告。

RAMP 论坛上 自由职业者 和 RaaS 公告板中合并的帖子和评论频率

除 RAMP 论坛外，在 Breachforums 和 Exploit 论坛等其他论坛上也发现了与勒索软件相关的招聘帖子。在这些帖子中，职位描述更加详细，角色也更加多样化，包括记者、道德黑客专家等。这表明勒索软件小组成员的构成正在发生系统性演变。

1.     禁止支付赎金和联合执法

随着勒索软件攻击的持续发生，旨在通过解决赎金支付问题来破坏勒索软件组织收入的国家政策也引起了人们的关注。

禁止支付赎金的法律颁布始于 2022 年 4 月 5 日，当时北卡罗来纳州成为第一个宣布此类立法的州。随后，包括佛罗里达州在内的多个地区出台了禁止支付赎金的规定，2023 年，各地和各国继续颁布禁止支付赎金的法律。2023 年 11 月 1 日，由 50 个成员国组成的国际勒索软件响应倡议组织 （CRI） 宣布了第一份联合 CRI 政策声明，宣布禁止成员国政府支付赎金。

与第三季度相比，2023 年第四季度选择支付赎金的公司比例降至 29% 的历史低位。表明虽然受勒索软件受害公司的数量有所增加，但支付赎金的频率呈下降趋势。

赎金支付率图表

2月20日，美国司法部宣布，来自美国、英国、法国、德国、瑞士、日本、澳大利亚、瑞典、加拿大、荷兰、芬兰和欧盟的执法团体协助查封了 LockBit 网站。

1.     结论

• 2023年下半年的勒索软件攻击量较去年同期增加1036次。勒索软件攻击的整体增加归因于以下因素：
• 2023下半年，新出现了 16 个或更多新的勒索软件组织。
• 2023上半年出现的勒索组织（例如 8Base 和 Akira）开始持续攻击活动。
• 2023 下半年新出现的勒索组织，例如 Cactus 和 INC，开始积极参与勒索攻击。
• 2023 年，勒索软件组织倾向于针对收入可观的大公司、GDP 高的国家和盈利能力可观的行业。
• 在勒索软件攻击的前 10 个行业中，超过 5 个行业跻身前 10 个最赚钱的行业之列。
• 同时，勒索软件组织针对制造业等行业，停机本身可能会造成重大影响，以及教育等行业，这些行业可能会产生社会影响。他们战略性地采用胁迫策略，通过利用破坏的威胁向公司施压。
• 通过招聘广告和活动平台，发现了新的勒索软件组操作和活动模式，表明勒索软件组织正在以更加结构化的方式运作。
• 禁止为应对勒索软件而支付赎金的立法也受到关注，并且在 2023 年第四季度观察到赎金支付频率下降的趋势。
• 勒索软件攻击在 2023 年下半年继续增加和演变，遵循上半年观察到的趋势。它们对企业、个人和政府都构成重大威胁。
• 企业必须认识到加强安全措施和实施强大的备份系统的重要性。促进安全行业和企业之间的密切合作并积极采用最新的安全技术至关重要。