一、引言

数字化时代下，网络勒索攻击已经成为不可绕过的热点议题。作为最严重的网络安全威胁之一，勒索软件以其快速迭代和不断演进的技战法不断刷新各行各业的眼球。基于长期对全网勒索活动的监测，新华三聆风实验室对2023年典型勒索攻击活动进行分析，分别从受害者画像、攻击者画像、技战法演进、AIGC时代下的攻击与防御等维度进行了总结。本报告围绕勒索软件2023全年攻击态势展开，涵盖了主流勒索软件攻击技术和特点，探索当前勒索软件的发展趋势，旨在帮助机构组织、企业和个人对勒索软件有更深入的了解，减少勒索软件带来的威胁和损失。

总的来说，2023年全球勒索软件攻击活动存在如下特点：

• 2023年全球勒索攻击活动呈上升趋势，同比2022年上涨77%；
• 从受害行业来看，2023年TOP5受害者属于专业与法律服务、信息技术、批发零售、制造、房产建筑相关行业，共占比29%；
• 从受害地域来看，北美、欧洲、亚洲位于前三，其中，美国以46%的占比居于全球首位；
• 从活跃家族来看，2023年共监测62个活跃勒索软件，其中有26个为新兴家族。活跃TOP3家族分别是LockBit、BlackCat和CL0P。此外， 新兴家族中Akira和MalasLocker则直接跻身上榜TOP10；
• 从攻击数量来看，各月攻击数量存在一定的波动，具体的，2023年上半年呈上升趋势，下半年基本稳定。值得注意的是LockBit勒索攻击活动在全年中有8个月居于榜首；
• 从入侵手段来看，漏洞利用、钓鱼邮件、弱口令占入侵攻击的60%以上。2023年有44个漏洞被勒索组织频繁利用，类型多为远程代码执行和提权漏洞，其中，零日漏洞(0day)造成的影响最为严重；
• 从加密算法来看，勒索软件更偏向于将对称和非对称进行组合，基于AES和RSA 的算法仍是当前活跃勒索软件加密的主流算法；
• 从索要赎金来看，不同勒索软件索要赎金差异明显，其中最高额为8000万美元，创造了历年来最高赎金规模，由LockBit勒索软件针对美国科技服务巨头CDW发起。

二、2023 勒索攻击大事件

• 物流

1月，英国皇家邮政成为了LockBit勒索软件2023年的第一个大型企业受害者。此次勒索攻击导致皇家邮政的国际邮递业务被迫中断，无法向海外客户发送邮寄包裹。LockBit向皇家邮政索要高达8000万美元的赎金来解锁数据。

• 政府机构

2月，美国奥克兰市政府遭受了pLAY勒索软件的攻击，直接导致市政信息技术系统被紧急下线，市民无法进行在线支付、接听电话，甚至无法支付停车罚单。因市政府未支付赎金，pLAY勒索软件组织泄露了10GB左右的私密数据，包括财务和政府文件、证件和员工个人信息。

• 医疗保健

3月，西班牙巴塞罗那一家医院遭到了RansomHouse勒索软件的攻击，导致该医疗机构计算机系统瘫痪，业务严重受损，医生无法访问病人信息，甚至被迫取消在接下来几周进行的150起手术和3000个预约检查。

• 信息技术

4月，新兴勒索软件 Money Message发起对台湾PC零部件制造商微星科技（MSI）的网络勒索攻击。Money Message从该公司的系统中窃取了包括源代码在内的1.5TB数据，并要求其支付400万美元的赎金以恢复数据。

• 政府机构

5月，BlackByte 勒索组织发起了对美国奥古斯塔市政府的勒索攻击，导致该市的IT系统中断，同时还窃取大量了个人数据，包括工资信息、联系方式、个人身份信息、居住地址、合同等。BlackByte组织要求该政府支付 40 万美元的赎金，并提出以 30 万美元的价格将数据转售给感兴趣的第三方。

• 公共事业

6月， CL0P成功利用MOVEit平台的零日漏洞入侵了上百家企业，其中受影响最大的是美国政府承包商Maximus公司，CL0P团伙称他们窃取了该公司169GB的数据，约计800万到1100万条个人隐私数据。

• 教育机构

7月，美国夏威夷社区学院遭受了新兴勒索组织NoEscape发起的网络勒索攻击。此次攻击事件中，大约有28000人的个人数据被盗取。NoEscape要求该校支付100万美元赎金，否则将会发布65GB的被盗数据。

• 医疗保健

8月，Rhysida勒索组织对医疗保健行业大肆发起攻击，Prospect Medical Holdings（PMH）就是其中的受害者之一，这次网络攻击迫使该医院关闭在线网站。Rhysida称他们共窃取了1TB的文件和1.3TB的数据库，包含SSN、驾驶证、患者医疗信息等数据。

• 休闲娱乐

9月，美高梅度假村公司和凯撒娱乐相继遭受了BlackCat勒索组织的网络攻击。BlackCat窃取了大量的数据，包含客户的SSN、护照、驾驶证号码等诸多私人信息，由于拒绝支付赎金，美高梅称此次攻击造成了1亿美元的负面影响，而凯撒娱乐为防止客户数据被泄露，被迫支付了1500万美元的赎金。

• 航空运输

10月，BianLian勒索团伙将加拿大的一家航空公司列入到他们的受害者名单中，声称窃取了210GB的数据。为了证明入侵成功，BianLian在地下网站上分享了被窃数据的截图，被窃数据包括该组织2008年到2023年的技术与运营数据、供应商数据，以及公司数据库档案和员工的个人信息等。

• 金融服务

11月，Medusa Locker勒索软件攻击了丰田汽车公司旗下金融服务公司（TFS）。此次攻击中，Medusa Locker窃取了数百GB的文件，并公布了一些案例数据，包括财务文档、财务绩效报告、护照扫描件、用户ID密码等，该组织要求TFS向其支付800万美元的赎金换取数据不被泄露。

• 制造业

12月，日本汽车制造商日产在澳大利亚的分公司网络系统遭受Akira勒索组织的破坏。Akira称从该企业的系统中窃取了大约100GB的数据，包括员工个人信息、客户信息、合作伙伴、保密协议等。

三、勒索软件受害者分析

3.1 勒索软件受害者行业画像

图3-1  2023勒索攻击行业分布（数据来源：DarkTrace）

根据攻击行业分布统计图，勒索软件的目标行业带有明显的趋向性，以制造、批发、房产为主的实体行业仍是2023年的勒索重灾区。此外，数据价值和敏感度高的行业也是勒索攻击的重点倾向目标，如法律、信息技术、教育行业等。

3.2 勒索软件受害者地域画像

图3-2  全球攻击地域分布

全球攻击地图显示，北美洲（50%），欧洲（30%），亚洲（9%）三个地区受到的攻击最严重。其中美国（46%）居于全球首位，加拿大（6%）排在第二。根据分布图和各地域发展情况可以看出，勒索组织更偏向经济资源发达、高度数字化和信息化的国家和地区，这与当地数字信息化程度以及勒索组织趋利的目标一致。

四、勒索软件攻击者分析

4.1 年度勒索家族盘点：最热与最新

图4-1  2023 年度 TOP10活跃勒索家族

据统计，2023年共有62个勒索软件家族发起了程度不同的勒索攻击，与2022年有65个活跃家族数量接近。其中，TOP3活跃家族分别是LockBit(21.4%)、BlackCat(9.44%)和CL0P(8.44%)。

2023年勒索软件家族更替明显，新增26个新兴勒索家族，图4-2展示了2023年新兴勒索家族TOP10。

图4-2  新兴勒索软件家族 TOP10

在所有家族中，新兴勒索家族的活跃度占总体19.28%。其中，以Akira、MalasLocker和NoEscape为代表的新兴家族最为活跃，新老家族更替频繁的一个重要原因是来自于执法部门的强力打压和封禁。

4.2 年度勒索攻击趋势：五月达顶峰

图4-3  各月攻击数量及月度最活跃家族（数据来源：DarkTrace）

根据图4-3 统计，2023年各月攻击数量存在一定的波动，但并未发生大规模爆发。勒索攻击在1~5月呈上升趋势， 6~12月保持稳定。在各月的攻击事件中，LockBit在全年中共8个月登上榜首。

4.3 勒索入侵手段分析：漏洞利用最多

图4-4 入侵手段统计

图4-4统计了2023年活跃勒索软件的常见入侵手段。其中，漏洞利用（23.58%），钓鱼邮件（21.95%）和弱口令（17.89%）三者占所有入侵手段的60%以上。另外，通过恶意网站和虚假广告、捆绑破解软件也是导致勒索中招的另一诱因。

数字化时代下信息系统复杂度不断提升，漏洞的存在不可避免。漏洞利用作为典型的入侵攻击方式之一，因其高效且相对低风险被勒索攻击者频频利用，表4-1中统计了44个勒索软件常用的漏洞。

表 4-1勒索软件常用漏洞

根据表4-1，勒索软件对高危和超危等级的漏洞利用较为频繁，常用的漏洞类型主要为远程代码执行与权限提升漏洞，针对这两种漏洞类型的利用，一者让攻击者能够成功进入目标系统，二者能够获取对系统更高级别的控制权限，从而扩散攻击范围。

从被披露的勒索安全事件中，我们统计了包括但不限于 CVE-2023-28252、CVE-2023-34362、CVE-2023-0669、CVE-2023-47242和CVE-2023-47246在内的5个零日漏洞(0day)。对勒索攻击者而言，0day的价值无疑是巨大的，在厂商还未及时修复就已经成功完成一轮新的攻击，这种由0day产生的攻防对抗的时间差给勒索软件提供了可趁之机。

4.4 惯用加密算法分析：传统是主流

在文件加密阶段，由于使用对称、非对称或两种加密的组合都会直接影响加密阶段的密钥生成和管理,因此，不同的勒索软件在选择加密方案也表现出差异。图4-5统计了2023活跃勒索软件使用的加密算法情况。由于对称加密速度优势明显，勒索软件更偏向于将对称和非对称进行组合，传统的基于AES和RSA 算法占比超过50%，这两者仍然是当前活跃勒索软件加密的主流算法。此外，在非对称加密中基于椭圆曲线加密算法（Elliptic Curve Cryptography，ECC）和对称加密中的ChaCha20的组合也逐渐被用于勒索加密攻击中。

图4-5 2023活跃勒索软件加密算法统计

4.5 索要赎金方式分析：行业有差异

图4-6 2023已被披露的勒索攻击中索要赎金统计

图4-6统计了2023年各勒索软件已披露赎金索要金额，包括赎金的上限和下限金额（注：按1万美元为起始值）,分析如下：

1、索要赎金范围较大，不同勒索软件索要赎金差异明显。其中赎金范围较大的如Karakurt家族，更偏向于机会主义，不针对特定行业或部门，而赎金范围较小的家族如Lorenz，倾向于对中小型企业发起定制化的攻击。

2、索要赎金最高额为8000万美元，创造了历年来最高额赎金规模，由LockBit勒索软件针对美国科技服务巨头CDW中发起，最终因谈判失败，LockBit在其平台上泄露该公司数据。

3、由于受害组织所在行业不同，勒索软件索要赎金差异明显。各受害组织采取谈判措施或拒绝支付，勒索软件组织的实际收益远低于索要金额。

需要明确，即使受害者支付赎金，也无法保证所有被加密数据能够完整复原。Veeam在《2023年勒索软件趋势》报告统计，超过19%的受害组织支付赎金仍无法恢复数据。更重要的是，支付赎金的行为会鼓励这些被不法利益驱动的网络犯罪分子继续勒索攻击，行为更加猖獗。

五、勒索软件技战法演练进分析

5.1 勒索攻击技术演进

为适应不断变化的网络环境，优化攻击效果，勒索软件的攻击技术在不断推陈出新。我们总结了2023年较为新型的勒索攻击技术，并对勒索软件发展趋势进行分析，具体有：

跨平台语言助力勒索软件发展

无论是出于对加密速度的提升或是对跨平台兼容性的考量，勒索软件的编程语言开始转向Golang、Rust和Nim等非传统编程语言。BlackCat作为第一个广为知晓的基于Rust编程的勒索软件，能够在Windows 和 Linux 等操作系统下对其勒索软件进行编译，快速生成针对不同平台的勒索软件版本。此外，勒索软件Kanti使用同样支持跨平台编译的Nim编程语言。由于语言的特性，使用这些非传统语言的勒索软件，不仅会带来诸如内存安全、跨平台移植等优势，更重要的是，在一定程度上还能够规避基于源码分析的静态检测，进而加大研究人员的分析以及制定防御措施难度。

黑客工具不断创新

以经济驱动的勒索攻击产业化、商业化趋势加剧，威胁攻击者之间的合作与信息共享促进了黑客工具的不断创新。3月份，攻击者利用一种新的“Exfiltrator-22”（EX-22）黑客工具在受害者网络部署勒索软件。该工具具有强大的防御规避能力，被宣传为“无法检测的恶意软件”在地下论坛兜售。

勒索软件对黑客工具的创新，不仅具有更好的攻击效果，在一定程度上，更是有效规避了安全厂商和防病毒软件检测。自2023年开始，多个勒索组织如LockBit、Medusa Locker等在部署阶段均使用一种新型防御规避工具——AuKill，AuKill在禁用 EDR 和绕过防病毒解决方案时表现出极强隐蔽性，主要是通过滥用合法软件实现BYOVD （自带易受攻击的驱动程序）攻击。同时，为了提高攻击成功率，勒索组织也在不断寻找和开发自己的新型黑客工具。Vice Society勒索组织开发出一款功能复杂的PowerShell脚本，旨在自动化搜寻和窃取目标网络中有价值的数据。此外， BlackCat的新工具"Munchkin "，巧妙利用了虚拟机与操作系统的“隔离区”，加载在自定义的Alpine虚拟机(VM)中，将BlackCat加密载荷隐秘地散播、部署到远程设备上，如图5-2。

图5-2 Munchking攻击过程

远程加密攻击激增

远程加密是指在内网中，勒索软件在某一个失陷的端点上可以加密同一网络内其他设备的数据，由于攻击来源是失陷主机，即使是受监管计算机也无法检测到有关勒索进程的异常行为，如图5-3所示。根据Sophos统计，自 2022 年以来，远程加密攻击同比增长 62%。勒索组织积极寻找易受攻击的设备作为入口点，只需一台受控主机，就可以绕过传统的安全措施对内网主机共享文件进行远程加密，以最大限度减少存在的“踪迹”，大大降低被溯源的可能性。远程加密已经发展为众多勒索软件的“必备技能”，如BlackCat，LockBit，Royal等。微软在10月份的数字防御报告中统计，约60% 的勒索软件攻击涉及恶意远程加密，超过 80% 的勒索软件攻击来源于非托管设备。

图5-3 基于主机和基于远程的加密过程

加密技术和加密策略双升级

新兴勒索家族的一个重要的演变趋势是逐渐在传统非对称加密算法中，倾向选择Curve25519等ECC算法。在不影响安全性的情况下，ECC相比于RSA算法具有更快的加解密速度、更短的密钥，而更短的密钥意味着更少的计算量。2023 年 2 月，在一起针对Zimbra 服务器发起攻击事件中，新兴勒索家族MalasLocker使用较为小众的“AGE”（Actual Good Encryption）加密工具来加密文件，该工具正是采用X25519、ChaCha20-Poly和HMAC-SHA等较新的加密算法组合，这种能够实现快速加密的工具，让MalasLocker在短时间内“收割”到大批受害服务器。此外，另一个名为 Nokoyawa的勒索软件在其C语言和Rust语言的两个版本中分别采用Curve SECT233R1（又名_NIST B-233）和Curve25519在内的ECC加密算法。我们统计了部分活跃勒索软件使用的加密算法，如图5-2。

表 5-2利用ECC加密算法的新兴勒索家族

除了加密技术，勒索软件在加密策略上同样在升级。研究发现，越来越多的勒索软件使用间歇性加密策略——只加密文件部分内容。与传统的加密策略相比，间接性加密的主要优势在于速度和规避检测能力。安全公司Check Point在 6 核 CPU 机器上对 220,000 个文件进行测试，使用间歇性加密到全部完成只需要4.5分钟，而曾被认为是最快的勒索软件LockBit v3.0 则需要7分钟完成。自2021年LockFile勒索软件首先采用该策略以来，Black Basta、 BlackCat 、pLAY、Agenda 和 Qyick等勒索组织也纷纷效仿，甚至BlackCat 提供6种可配置的加密模式，通过命令选择加密模式和指定要加密的字节数，如图5-4。

图5-4 BlackCat加密模式结构（图源:cyberark）

5.2  索攻击策略演进

2023年勒索软件的攻击策略也在不断演变升级，我们总结了较为新型的勒索攻击策略，并对勒索软件发展趋势进行分析，主要有：

策略转变，无加密勒索攻击兴起

网络勒索攻击的一个重要趋势是正在逐步转向无加密攻击（Encryptionless），代表组织有Karakurt、Donut、RansomHouse和BianLian等。与传统的勒索攻击相比，无加密攻击注重窃取大规模的数据，以泄露窃取的数据来施压，威胁受害组织支付赎金。由于摒弃了文件加密阶段，攻击行为更加隐蔽，只有当受害组织在收到赎金要求时才知道已经遭受攻击。导致众多勒索组织从双重、多重勒索转向无加密勒索的原因主要有：

1. 勒索组织对加密器开发维护以及解密密钥管理存在一定的开销，尤其是加密器被安全研究人员破解后，勒索攻击前面的所有努力将归零；
2. 大多数企业注重声誉影响，仅通过敏感数据泄露就足够对企业产生严重的负面影响，包括与客户、合作伙伴、公众之间的信任危机；
3. 无加密攻击不会破坏受害者的系统，更不会导致受害者大规模的业务中断，其恶劣程度和负面影响比传统加密勒索低得多，同时也降低了被执法部门和安全研究人员追踪和调查的风险；

规避升级，滥用合法软件隐匿自身

在当前勒索攻击中，攻击者越来越倾向于滥用合法工具，以这种巧妙手段对目标进行不知不觉的渗透，且能有效混淆安全防护系统，降低被查杀的概率。对合法工具看似合理的利用，实际是为了完成勒索攻击的某项具体行为，如通过ProcessHacker遍历受害主机的上的安全防护进程和服务，并终止它们。表5-3列出了勒索攻击各阶段常被利用的合法工具。

表5-3 常见被勒索软件利用的合法工具

攻击者对某项具体的恶意行为进行“拆解”，并在勒索攻击中的各个阶段滥用合法软件或工具，将恶意活动隐藏在海量的正常操作中，从而欺骗安全防护系统，进行更深一步的渗透和攻击。

施压加剧，数据泄露策略升级

随着对抗的加深，勒索软件攻击策略不断升级，其中数据泄露策略上升为一个新趋势。为防止被执法机构追踪，通常的做法，勒索组织会将窃取的数据通过Tor站点（The Onion Router）泄露。由于Tor站点的特殊性，访问该站点需要特殊的浏览器，受限的数据泄露范围给到受害者的压力也会大打折扣。

为了进一步达到施压效果，勒索软件纷纷致力于升级其数据泄露策略。5月， CL0P搭建了专门用于泄露窃取数据Clear网站，以解决传统Tor站点数据传输慢的问题，将从MOVEit平台窃取到的数据暴露给了更广泛的群体，包括受害组织的员工、甚至是公众。然而这类网站很快被执法部门查封，于是CL0P组织转向使用Torrent来分发数据。除此之外，BlackCat勒索组织在其数据泄露站点上添加了API调用接口，这些API接口帮助更快速定位到受害者数据。更有甚者，Medusa Locker通过制作视频播放的方式来达到泄露数据的目的。

综上，勒索软件在施压手法上不断创新和调整策略，无论哪种策略的升级都将对受害者数据的安全和隐私构成巨大威胁。

攻击面扩大，针对Mac平台积极尝试

在今年的多起勒索攻击事件中，一些勒索组织已将目光瞄准MacOS。调查数据显示，MacOS强大的内生安全机制并没有让勒索软件放弃采取“新动作”。4月，臭名昭著的LockBit勒索软件已经针对Mac系统开发出专门的加密器。7月，Knight背后的组织宣称他们的勒索软件也会覆盖Mac系统。此外，11月，安全人员披露了一个基于Go语言编写的MacOS勒索载荷——“Turtle”，鉴于威胁较低，最终将其定性为针对MacOS的积极尝试。作为勒索“重灾区”的美国，根据IDC统计，MacOS在企业端点中已达1/4，逐年上升的市场份额和受众群体是吸引勒索攻击者积极尝试的一大诱因。更重要的是，Mac 用户通常更具有影响力，如拥有管理权限的高层人员，或可以访问敏感数据和系统的开发人员。无论是出于“端点权限”或是“经济实力”的考量，这些用户往往将成为勒索软件重点的关注目标。

六、AIGC时代下勒索攻击和防御

2022年底，以 ChatGPT为代表的生成式人工智能(Artificial Intelligence Generated Content, AIGC)产品问世，为人工智能产业带来突破性、革命性的发展，作为一个将人工智能（Artificial Intelligence ，AI）与大语言模型（Large Language Model, LLM)结合的新兴智能产物，其生成潜力已经引起了各行各业的广泛关注，迅速在全球范围内掀起一股应用热潮。AIGC带来的风险与机遇并存，网络勒索攻击在不断迭代更新的同时，AI技术的发展也为其提供了更加智能化、实时性的支持。另一方面，基于分析式AI和生成式AI的网络安全技术也将深度赋能勒索检测与安全运营。攻防双方的对抗，将开辟新的战场。

6.1 辅助勒索者进行关键攻击流程开发

对于勒索攻击者来说，AIGC技术是一把“利剑”。AIGC和勒索软件的融合无疑提升攻击者的效能。首先，AIGC的智能生成降低了勒索软件开发的准入门槛，开发者不再需要掌握复杂的编程技巧。另外，基于AI的机器学习等智能技术将带来更复杂、高效的勒索攻击技术，引入更高程度的自动化，传统的网络安全防御措施在检测和防范此类新兴攻击时显得捉襟见肘。

协助代码开发

尽管目前还未发现AI模型从零开始构建可执行恶意软件工程，但攻击者会借助AIGC强大的上下文关联和生成能力编写恶意功能代码并取得方法论支持。

从开发效率上，当攻击者想要实现特定的敏感操作，如“遍历系统所有文档文件”，如图6-1，通过“提问 - 回答”的方式获取有特定的编程规范和语法的代码原型，并且能够快速定位代码结构逻辑的潜在问题，降低人工调试开销，保证软件运行的稳定性和高效性。显而易见，当攻击者将AIGC技术与恶意软件开发相结合，不仅加快了恶意软件的开发周期，在提升效率的同时还兼具恶意软件定制化和隐蔽性等特点。另外，从可移植性上，在将旧代码迁移到更先进、更安全的编程语言时，AIGC技术的出现在一定程度上打破原有人为主观性和经验主义的束缚，通过提供自动化的迁移方案和新编程语言模板来确保代码的正确性和可维护性。

图6-1 AIGC生成“遍历系统所有文档文件”案例

参与社工攻击

IBM在《2023数据泄露成本报告》中指出，通过社交工程技术引发的数据泄露平均损失超过450万美元。社交工程攻击对于网络犯罪分子来说成功率高并且利润不菲。作为一种高度定制化的攻击，社交工程攻击通常都有针对性的目标和完备的执行计划，从而使得受害者很难察觉到攻击的真实性，并产生强烈的紧迫感或情感驱动，进而愿意相信并遵从攻击者的指示。2023 年影响最大的两次勒索攻击(MGM，Caesars)都是由社交工程引起的，人为因素仍是网络攻击链中最薄弱的环节。

根据Verizon的《2023数据泄露调查报告》统计，商业电子邮件失陷 (Business Email Compromise, BEC) 攻击比2022年翻了一倍，占所有社交攻击事件的 50% 以上。在AIGC技术的帮助下，几乎任何人都可以零门槛编造信服力较高的网络钓鱼电子邮件内容，使得BEC攻击变得更加隐蔽和普遍。值得注意的是，AIGC可以帮助生成符合员工口吻和写作风格的邮件内容，以及创造吸引人眼球的话题，这往往也是引发受害者点击恶意附件的重要推手。此外，由于高度针对性的邮件内容具有极强的真实性且几乎不含语法错误等特点，使得这类邮件很难被传统的邮件过滤器识别和阻断。

AIGC技术为社交工程攻击提供了新的思路和解决方案，根据这种发展趋势，由AIGC技术生成的欺诈内容不仅在伪造个人身份方面表现出高度逼真性，甚至可能会发展新的方法来绕过生物识别身份验证，攻击者非法获得访问权限的机会大大增加，直接或间接性地促进了勒索软件的传播。

自动优化攻击策略

AIGC技术卓越的自动化生成能力在网络勒索攻击中发挥着重大作用，尤其在自动化和优化攻击策略方面，将网络攻击上升至新的维度。具体而言，基于AI和LLM增强技术，攻击者能够自动化采集、处理和分析大量数据，快速识别应用代码中潜在的漏洞并生成最佳的攻击路径，同样也会随着目标系统的环境和配置来自动调整攻击策略。

另外，在勒索谈判阶段，AIGC技术也扮演重要角色。在跨国地区攻击中，语言差异和表述方式是攻击者与受害者谈判交流的重要障碍。借助AIGC技术的高级语言处理和翻译模型，攻击者不仅能够清晰传达勒索谈判条件，同时也能够快速获悉受害者谈判诉求。通过AIGC技术自动化生成威胁信息、谈判策略，甚至是进行心理战术的文本，攻击者可以在极短的时间内对受害者施加极大的心理压力，大大提升勒索谈判的效率和成功率。此外，通过自动化生成的话术内容，攻击者可以避免暴露个人风格或身份特征，达到隐蔽自身的匿踪效果。

总体而言，AICG的应用在自动化和优化攻击策略方面带来了全新的可能性，为勒索攻击者提供了更为复杂和难以对抗的网络攻击手段，同时也给网络安全防御带来更高的要求。

6.2 赋能安全厂商升级防御技术与方案

在当前勒索攻击日益复杂和不断演化的网络威胁环境中，以AIGC驱动的网络安全解决方案已经成为各行各业保护敏感数据和数字资产安全的得力助手。

基于AIGC驱动的网络安全技术，结合AI和机器学习算法来分析业务中存在的大量风险数据以及各方威胁数据之间的联系，相较于传统基于规则的网络安全技术，能够快速发现新兴威胁，不断优化防御策略，从而进行更智能、更迅速的网络攻击检测、威胁预测、行为分析和自动化响应，有效增强网络安全防御的即时性和准确性。

提升威胁检测能力

相较于传统的基于规则的网络安全技术，AI/AIGC在提高威胁检测的效率和准确性上具有明显优势。一方面，先验性规则开发依赖于安全人员对威胁行为的长期分析和经验积累，尤其在面对新型语言编写的攻击载荷，更是对安全人员的经验和能力有较高的要求；另一方面， 传统的检测引擎在面对新型的、未知的威胁则余力不足。而AIGC技术的应用能够有效地解决上述难题，通过对大量不同语言的开源代码的学习和训练，AIGC能够快速检测到新型语言的恶意载荷甚至是恶意代码片段，为安全团队提供实时的辅助决策，提升威胁响应能力。此外，即使新型威胁的样本或特征较少，AIGC也能够基于小样本学习（Few-Shot）方法智能扩充训练集生成威胁检测模型，从而增强模型的泛化能力，对未知威胁的检测和防御更加智能化和精准化。

提高安全运营效率

在面对安全业务中生成的海量告警数据和日志时，基于AIGC的自动化威胁分析和告警相较于传统依赖人工初筛和核查具有明显的优势。AIGC能够快速识别大规模数据中最严重的威胁告警并提升其处理优先级，结合其对业务上下文的理解能力，能更好地帮助安全人员快速定位并在安全事件发生之前采取预防性措施，提升安全运营效率和能力。

除此之外，结合自动化SOAR的剧本生成，可以更好的实现处置协同。当网络安全运营过程中发生安全事件时，一旦事件被 AIGC 归类到指定分类，就会自动触发响应机制来达到快速响应的目的，为用户快速提供风险危害与处置建议，提供自动化响应编排处置，可以大幅提升事件分析的准确性和闭环处置效率，还可以辅助企业及时发现潜在的网络安全威胁，提升企业网络安全防御能力。

增强安全培训效果

人为因素仍是网络攻击链中最薄弱的环节，无论是社会工程学攻击、弱口令、还是由于员工的不当操作，都可能导致安全事件的发生。在增强普通员工的网络安全意识和应对上，AIGC技术则是一把重要武器。对于员工而言，在受控环境中由AI生成模拟攻击，比如精心设计的钓鱼邮件或伪装的恶意程序，员工可以学习并识别出这些威胁。这种直观、体验式的学习方法让员工们能够更直观地接触到网络威胁的形式和特征，从而在日常工作中提高警觉性，并在实际网络中提升对各种威胁的识别和应对能力。降低人为因素对网络安全的风险，对于组织的安全管理和风险控制具有重要意义。

七、新华三勒索防御方案

新华三依托“主动安全3.0”，提供“ 云-网-边-端”一体化多层次协同防御解决方案，结合云端沙箱阵列、威胁情报库、海量病毒库，全面提升勒索病毒检测能力。本地搭载高性能动静态检测引擎，以及勒索组织常用的攻击工具指纹流量特征，结合加密流量检测、未知威胁分析模块，协同云端，全方位防范勒索病毒入侵。对于已经进入内网的病毒，可以回溯样本投递路径、预测内网传播趋势、及时全网联动阻断，自动及时止损。

同时，新华三安全拥有AI全面加持的安全运营中心，依托专业安服与五大攻防团队，提供7*24h的防护服务，全面覆盖企业安全运营的技术与管理流程，也可结合用户业务提供定制化防勒索解决方案与实战演习，防范于未然，充分保障企业整体安全建设效果。

八、安全建议和处置清单

安全建议

企业建议

1.    注重员工安全意识培训

• 建立定期的安全意识培训课程，了解勒索软件、网络钓鱼、恶意软件的特征与危害
• 设立安全意识奖励机制，鼓励对可疑的电子邮件和网站进行上报
• 定期举办网络安全模拟演习

2.    加强网络访问控制与身份验证

• 实施多因素身份验证，如叠加验证码、生物识别技术等
• 权限管理策略坚持最小权限原则，严格控制或关闭非必要的端口与功能
• 使用零信任解决方案

3.    安全更新和数据备份

• 及时对系统和软件进行补丁更新和漏洞修复
• 对关键的数据应采取离线备份和加密存储等方式进行备份
• 对安全设备、杀软也需定期更新，以保障防御方案的有效性和实时性

个人建议

1.    勒索软件我知道

了解勒索软件的常见攻击手段以及被勒索软件入侵后造成的危害，如财物损失、业务影响等，增强对威胁的认识和警惕性

2.    网络行为我负责

• 避免随意点击来自电子邮件、社交媒体中未知或可疑的链接，点击之前要先验证链接的真实性和信任度，确保它们指向安全的站点或资源
• 谨慎下载和安装软件，只从官方和可信的来源下载和安装软件，避免下载来自不明来源或未经验证的软件，这些软件可能携带恶意代码
• 防止网络钓鱼攻击，避免在未经验证的网站上输入个人敏感信息，警惕仿冒的电子邮件、登录页面、社交媒体链接等
• 避免在不安全或未加密的公共Wi-Fi网络上进行敏感信息的传输，如银行账户信息、密码等
• 保持操作系统、浏览器和最新版本，并定期更新安全补丁，以修复已知的漏洞

3.    账户安全我先行

(1) 创建复杂、独特好记且难以猜解的密码，包括字母、数字和特殊字符的组合，避免使用包含生日、姓名等常用词的密码

(2) 定期更换密码，每三个月或更频繁进行更改，避免重复使用相同的密码

4.     数据备份我会用

(1) 定期备份数据，并定期验证备份数据的完整性和可访问性，确保备份文件能够正常恢复和使用，同时在备份前要检查存储介质是否安全可靠，包括移动硬盘、U盘等

5.    安全软件我不关

• 使用防火墙和和其他具有威胁防护能力的安全软件，用于检测和阻止病毒、恶意软件入侵，做到不随意关闭或退出这些安全软件，以及确保这些软件的及时更新

勒索软件应急处置清单

1. 立即隔离感染主机

(1) 立即拔出感染主机的网线、禁用网卡，关闭无线网络和蓝牙连接，断开感染主机的外部硬盘、USB驱动器等存储设备，将感染的主机从公司网络中隔离出去，防止对其他设备造成影响

(2) 关闭远程桌面等服务，包括3389、445、139、135、5900等不必要的端口

2. 确定感染范围

(1) 检查文件共享目录、内部和外部存储设备以及云存储服务中的文件，看是否已经被勒索软件加密，通常被加密的文件的扩展名都会被修该，并且无法正常打开，当发现机器上重要文件尚未被加密时，应立即终止勒索软件进程或者关闭机器，及时止损

(2) 通过分析网络流量和日志，查找可疑的通信和数据传输，以确定感染是否进一步扩散到其他设备或网络区域

3. 感染溯源分析

(1) 查看勒索软件在主机内是否留下勒索信，在勒索信中可以判断出感染的是哪一种勒索家族病毒

(2) 收集主机的日志信息，通过查看日志信息有可能判断病毒植入路径

(3) 收集病毒样本，后续提供给安全厂商作进一步分析

4. 排查加固

(1) 关闭相应端口、网络共享、修改内网内主机的弱密码，修复相关补丁和漏洞

(2) 安装高强度防火墙，防病毒软件进行全面扫描，防止二次感染勒索

5. 业务恢复

(1) 如果主机上的数据存在备份，可以自行还原备份数据，恢复业务

(2) 请专业公司进行数据和系统恢复工作

一图看懂2023年勒索软件攻击态势