2023年中国企业勒索病毒攻击态势分析报告-2023.09-40页-WN10.pdf

2023年中ÿ企业Ò索病毒

攻击态ÿ分析报告

2023年9月

摘要

统计显示，|疗卫生行业是勒索病毒攻ü的Þ灾{，ç案数量s到勒索病毒攻üÏþç

案总数的21.4%Ā制

业排]第Ð，s比~17.5%Ā生活服á紧Ÿv^，s比~14.6%2

61.7%的勒索病毒攻üÏþq无法ß行溯源，13.1%的中招机构，只能ß行内网或局域

网内的溯源，v余25.2%的机构能够对à联网侧的勒索病毒攻ü源IPß行追溯25.8%的

攻ü源IP来自于境内，17.0%的攻ü源IP来自境^，另p2.4%的攻ü者，\时使用了

境^IP和境内IPß行勒索攻ü2

在206起

pÞ大破_或oÞ损失的勒索病毒攻üx型Ïþ中，各类€企机构共p1485

Ā¿备感染了勒索病毒2均每起勒索病毒攻üÏþ

p8.6Ā网þ¿备ÿ虚拟机Ā

被感染2

2022€1oó2023€3o，综合奇安信95015à急响à团队处理的€p勒索攻üÏþ

中，排]前十的Ïþî及勒索病毒/家族s€p勒索攻üÏþ的51.0%2v中，phobos勒

索家族排]第N，p22.8%的勒索ÏþØ到ï勒索软þ的攻üĀmakop勒索病毒排]第

Ð，s比5.3%Āmollox排]第Os比4.9%2

完pN次勒索病毒攻ü的均时长~105.7小时1最短时长~3分钟1最长时长~529

y2v中，17.6%的攻ü者在N小时内s完p了Ð发起攻üó完p勒索的全过程，0.5

小时=是勒索攻ü发Ā^的黄金救援期=，在发Ā攻ü者攻ü^的0.5小时内，拦截

攻ü失陷的pß率极高接à90%2

52.6%的攻üÏþ使用了暴力破解，`在á规操作或使用钓鱼邮þ攻ü的Ïþ分别s比

5.2%2

全ÿ发生的勒索攻üÞ大Ïþ中，49.5%的勒索攻üÏþ明确P弱口ðps2

Ð端口暴露情况来看，42.2%的攻üÏþ均î及端口暴露2v中，暴露最多的端口TOP5

分别~ÿ3389ÿ19.4%Ā1445ÿ12.1%Ā1135ÿ5.3%Ā1139ÿ4.4%Ā13306ÿ2.9%Ā2

s键词ÿ勒索1暴力破解1弱口ð1漏洞1端口暴露

主要观点

|疗卫生1制

业1生活服á行业是ÿ内勒索病毒攻ü的Þ灾{，相s行业单Oà`对

勒索病毒风险高度Þ视2Ð规模来看，安全防æ能力相对较P的中小企业，相对更容易

遭到勒索病毒的攻ü2

遭到勒索病毒攻ü的€企单O，ÿ大多数都是网þ安全建¿Ā础极v薄弱，`在显而易

É的安全建¿漏洞的单O2Ā端没p采×任何安全防æ措施1内网服á器àN裸奔1s

键漏洞长期得O到修复等情况非常普遍2没p整体安全规划1没p全局安全策略1没p

p效ß营手段，都是勒索病毒Ø害机构的x型通病2pß单O虽p安全Ā础¿施建¿，

但缺少安全ß维，Ā础¿施O更ð1告警O看等原因导ôĀ础¿施àp的作用o充分发

挥2

如果仅Ð入侵方式和渗透手法来看，勒索病毒的攻üPv他各类传统网þ攻ü相比并没

p多少特别的ð花招=，极少p使用0day漏洞或高ÿ攻ü手法的情况发生2à_意

味着，O论发病时的症状多N的ÿ怕，勒索病毒依然是N种ÿ防1ÿç1ÿ阻断的网

þ传染病=2

ÿ大多数的勒索病毒攻ü，在攻ü早期就a暴露û比较明显的攻ü信÷=2Ð早期

攻ü信÷ûĀ^的0~30分钟，是勒索病毒攻üà急响à的黄金救援期=，在à段时

间内，系统生`率Ï在90%ñP2而9.8小时，þ590分钟是N个临界时间点，超过

à个时间，系统被pß投毒的概率就a大于生`概率2因m，遭Ø攻ü的机构ß须要

p能力在第N时间捕获攻ü者的行ú，并在p限的时间内采×p效的行ú，才能pß

阻k最Ā的投毒，在勒索病毒的攻üQ`活2

在勒索病毒攻üÏþ中ÿp49.5%P弱口ðpsĀ在52.6%使用了暴力破解Ā而能够被

pß爆破的口ð，理论P讲都属于弱口ð2作~系统看门人，管理员使用弱口ð，就等

于是将ß钥匙交ÿ了攻ü者2à_就难怪攻ü者ÿñ大g大f=的破门而入=2