目录 执行摘要.............................................................................................................................................................................................................3 敲诈勒索愈演愈烈.............................................................................................................................................................................................5 为什么拥有备份不再足够.................................................................................................................................................................................7 常见勒索策略.....................................................................................................................................................................................................9 谁受到攻击？..................................................................................................................................................................................................14 来自黑暗网站泄漏的见解..............................................................................................................................................................................15 受影响最严重的行业......................................................................................................................................................................................18 受影响最严重的地区.....................................................................................................................................................................................21 勒索威胁集团追求的是什么？......................................................................................................................................................................22 攻击的预期：勒索软件事件示例..................................................................................................................................................................25 APT使用勒索软件时.....................................................................................................................................................................................29 结论：2023年勒索集团的预期...................................................................................................................................................................32 联系专家..........................................................................................................................................................................................................38 方法论..............................................................................................................................................................................................................39 第42单元事件响应方法.................................................................................................................................................................................40 关于PaloAltoNetworks和第42单元.................................................................................................................................................41 勒索软件和勒索报告2023|2 M执行摘要 威胁行为者越来越多地使用勒索技术来控制目标组织并实 现其目标。尽管近年来勒索软件受到了广泛关注，但现代 威胁行为者越来越多地使用额外的勒索技术来迫使目标支 付或完全免除勒索软件，并自行实施勒索。 虽然在许多情况下，动机是财务上的，但第42单元也看到 了一些迹象，表明勒索可能是为了实现一个团体的更大目 标而发生的——有时只是为了资助其他活动，但有时是为 了分散他们的注意力。 多种勒索手段不断增多。 截至2022年底，在第42单元勒索软件案件中，平均约 70%的案件中，威胁行为者参与了数据盗窃。与2021年 年中相比，我们发现平均只有约40%的案件发生数据盗 窃。威胁行为者经常威胁在暗网泄露网站上泄露被盗数 据，这些网站越来越成为他们勒索组织的关键组成部分。反过来，组织需要发展防御，以应对威胁行为者施加压 力的各种方法。如今的事件应对计划不仅需要考虑技术 因素，还需要考虑组织声誉的保障，以及如何保护可能 成为勒索者更激进策略目标的员工或客户。 在我们对事件应对案例的审查中，以及我们的威胁情报 分析师对更大威胁格局的评估中，我们注意到 要点： 骚扰是我们在更多勒索软件案件中看到的另一种勒 索策略。勒索软件威胁行为者团体将以组织中的特 定个人为目标，通常是高层，他们会受到威胁和不 必要的攻击 通信。到2022年底，骚扰是约20%勒索软件案件的一 个因素。 与2021年年中相比，当时骚扰是42单元中不到1%的一个 因素 勒索软件案件。 受害者付费重 新获得访问权攻击者威胁要公布被盗 数据DDoS攻击关闭公共网 站 加密 数据盗窃 DDoS 攻击客户、业务合作伙伴和 已联系媒体 骚扰 勒索软件和勒索报告2023|3 E L A P勒索团伙是机会主义的，但他们攻击的组织也有一些模式。根 据我们对暗网泄露网站的分析，制造业是2022年最受攻 击的行业之一，有447家受损组织在泄露网站上公开曝 光。 第42单元认为这是由于该行业使用的系统普遍存在 大型跨国组织可能成为威胁行为者有利可图的目 标。 对世界上最大的组织的攻击只占很小但显