高速增长的勒索软件活动背后，一方面是网络安全体系亟待完善。奇安信安服团队在事件响应中发现，遭到勒索病毒攻击的政企单位，绝大多数是网络安全建设基础极其薄弱，存在显而易见安全建设漏洞的单位。终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不到修复等情况非常普遍。

另一方面则是勒索软件即服务的兴起，网络勒索产业链已然形成，相关利益方分工明确。技术提供方编写勒索程序、漏洞利用代码等攻击工具，并以SaaS服务的形式，提供给攻击者使用；攻击者只需要利用现成的工具，寻找特定的目标即可实施勒索攻击，这大幅度降低了攻击者的门槛。

2023年伊始，英国皇家邮政成为了勒索团伙LockBit今年的第一个大型受害者，后者在勒索发生的两周后，要求前者支付高达8000万美元的赎金，否则便公开窃取到的数据。媒体公开报道显示，勒索软件加密了用于国际运输的设备，并在用于海关备案的打印机上打印勒索赎金票据。

1月12日，皇家邮政声称，网络攻击事件迫使他们停止了国际邮政服务。有趣的是，皇家邮政并没有向攻击者“屈服”，而是按照有关监管机构的要求拒绝支付赎金，并聘请专业机构帮助恢复业务。遗憾的是，勒索攻击的影响一直在持续。国际分销服务业务(包括皇家邮政和GLS)的半年财务报告显示，截至2023年9月，收入同比下降6.5%。给出的原因是工业行动和勒索软件入侵。

5月初，美国德克萨斯州达拉斯市遭受了来自Royal皇家勒索团伙的勒索攻击，导致其多项市政服务中断。据官方确认，达拉斯市许多服务器已被勒索软件破坏，影响了几个功能区域，包括达拉斯警察局网站，该市数千台设备中只有不到200台受到影响。

有消息称，由于此次攻击，26212名德州居民和共计30253名个人的私人信息或被曝光。根据德州总检察长网站信息显示，泄露的信息包括姓名、地址、社会保障信息、健康信息、健康保险信息等内容。

6月15日，美国官员称，勒索软件组织Clop利用MOVEit文件传输软件的零日漏洞发动攻击，窃取并高价售卖包括美国能源部在内的多个联邦机构用户数据。分析报告显示，至少有几百家公司和组织受到了影响，多个州级组织也宣布遭遇MOVEit漏洞相关的数据泄露事件。安全厂商Emsisoft的威胁分析师Brett Callow称，已统计到63名已知/确认受害者和数量不详的政府机构。

业内人士认为，此次入侵具有“高度随机性”，既没有专注于“特定的高价值信息”，也没有像之前针对美国政府机构的网络攻击那样具有破坏性。

11月1日晚上，美国航空航天巨头波音公司发表声明称，正在调查一起上周曝光的安全事件，此前臭名昭著的LockBit勒索软件团伙将波音列为攻击受害者。一位波音发言人表示，这起网络事件影响了部分零部件和分销业务。不过，飞行安全不会受到影响。

值得关注的是，此前Lockbit曾表示，其勒索软件附属团伙利用零日漏洞获得了波音公司系统的访问权限，但并未透露漏洞的具体细节，也未透露赎金情况。不过在几天后，Lockbit公布了据称从波音公司窃取的超过40GB的敏感数据。

某知名金融机构在美子公司在官网发布声明称，美国东部时间11月8日，机构遭勒索软件攻击，导致部分系统中断。随后，LockBit组织代表在Tox上公开确认对攻击负责。

据彭博社报道，对该金融机构的攻击已经扰乱了美国国债市场。证券行业和金融市场协会周四的一份声明显示，由于该机构遭到勒索软件的攻击，无法代表其他市场参与者结算国债交易，这可能对美国国债的流动性产生巨大影响，并可能引发监管审查。

2023年以来，LockBit绝对是所有勒索团伙中当之无愧的“老大”，包括波音、泰国气象局、法国司法部、曼谷航空公司以及多家政府机构，都成为了LockBit的受害者。今年早些时间，Bleeping Computer网站披露，该团伙对美国实体组织发动了约 1700 次攻击，成功勒索了约9100万美元。但随着LockBit的愈发猖獗，无论是攻击次数还是赎金数量，都在不断增长。

相较于其他勒索团伙，LockBit具备和APT组织无二的高水平攻击渗透能力，无论是社工钓鱼还是Web渗透甚至是0day漏洞的挖掘与使用，都能够得心应手。更糟糕的是，LockBit还对外提供勒索软件即服务，这在一定程度上使整体勒索形式更为严峻。安全人员最新的研究显示，LockBit勒索软件加密效率惊人，四分钟内就可加密完成10万个Windows文件。

如果说在2023年，有能够可以和LockBit掰掰手腕的勒索团伙，那一定非Clop莫属。尽管Clop并没有像LockBit有如此强的存在感，但仅在MOVEit零日漏洞攻击的一系列事件中，便有西门子能源、壳牌以及美国多家联邦政府机构，被Clop洞穿了防线，足以评为今年最大规模的勒索攻击事件。据某私营机构的初步报告显示，至少有几百家公司和组织受到了影响。

Clop组织发起的网络攻击最早在2019年被业界发现，他们主要针对大型成熟企业，尤其是金融、医疗保健和零售领域的组织，其核心目的是窃取数据并索要赎金，他们善于利用网络漏洞和网络钓鱼来获取网络访问权限，然后横向移动以感染尽可能多的系统。

美国联邦调查局（FBI）及网络安全和基础设施安全局（CISA）在9月份联合发布的一份咨询报告显示，Royal勒索软件组织在过去一年中已经侵入至少350个组织的网络系统，与其关联的勒索软件攻击索要的赎金规模已经超过2.75亿美元。

值得一提的是，在2022年1月浮出水面时，Royal还相当低调，甚至在使用其他勒索软件组织的加密器（比如ALPHV/BlackCat），以免引人注目。然而，他们后来在这年余下的时间里开始将自己的加密器Zeon用于攻击。临近2022 年底，该组织更名为 Royal，迅速成为最猖獗的勒索软件组织之一。

除上述三大老牌知名勒索团伙之外，今年还诞生了许多新兴勒索软件团伙，如8Base和Akira等。仅在第二季度，8Base就制造了107起（观察到的）勒索软件事件，Akira则制造了60起。有数据显示，与一季度相比，二季度“首次亮相”的勒索软件组织数量同比暴增了260%。有分析人士认为，Babuk、LockBit和Conti的加密器均已在网上泄露，使得技术专业知识较少或不熟悉加密的攻击者可以稍加更改并部署功能齐全的“高端”勒索软件。

为了提高勒索成功率，勒索团伙策略和技战术方面不断推陈出新。

在策略方面，勒索团伙并不再拘泥于单纯的加密重要数据来要挟受害者支付赎金，而是多管齐下，一方面继续对重要数据进行加密处理，另一方面一旦受害者拒绝了支付赎金的要求，勒索团伙将在公开渠道公开窃取到的敏感数据，甚至以对目标发动DDoS攻击为要挟手段。

更有趣的是，某些团伙开始尝试无加密勒索。11月7日，一名来自ALPHV勒索团伙的内部人士爆料，称已成功入侵了数字借贷服务提供商MeridianLink，在未加密其文件的情况下窃取了数据。11月8日，ALPHV在其泄露网站上发布了这些数据。此外，该团伙向SEC提交了一份关于自己所犯罪行的报告，声称受害公司没有遵守SEC关于公司必须在什么时限内公开披露所遭攻击的新规定。

而在技战术方面，除了常规钓鱼邮件渗透外，更多犀利的攻击手段开始频频出现在勒索攻击中，如凭证窃取、漏洞利用、供应链攻击等。奇安信威胁情报中心判断，0day 漏洞利用逐渐成为勒索团伙武器库的备选项。

在达拉斯遭遇大范围勒索攻击事件中，Royal组织利用一个窃取到的特权账户，获取了初始访问权限，最终完成了勒索病毒的投递；而在Clop发起的大规模勒索攻击事件中，Clop甚至利用了一个零日漏洞，从而发起了大规模的供应链攻击。

种种迹象表明，勒索团伙已经不再是人们印象中的“草台班子”，而是已经成长为具有高超技术手段、分工明确、产业链上下游齐全的“江洋大盗”。尤其是在攻击水平上，已经和全球顶尖APT组织别无二致。

尽管勒索攻击愈演愈烈，但也并非无迹可寻。

在防范策略方面，首当其冲的还是提升安全意识。和其他类型的攻击一样，勒索攻击的开端，往往是由于攻击者抓住了一些容易被疏忽的“低级错误”，如接收了安全性未知的邮件，账户口令过于简单，老旧漏洞没有修补等等，据奇安信发布的《2023年中国企业勒索病毒攻击态势分析报告》显示，全国发生的勒索攻击重大事件中，49.5%的勒索攻击事件明确与弱口令有关。

实际上只要安全意识足够，这些问题都可以避免。

其次，在安全建设方面，要注重安全基础能力建设，摒弃银弹思维。

奇安信应急响应实践表明，遭到勒索病毒攻击的政企单位，绝大多数都是网络安全建设基础极其薄弱，存在显而易见的安全建设漏洞的单位。譬如终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不到修复等情况非常普遍。没有整体安全规划、没有全局安全策略、没有有效运营手段，这些都是勒索病毒受害机构的典型通病。

因此对于绝大多数网络安全能力相对薄弱的机构而言，有针对性地部署安全产品弥补安全团队尤为重要。例如部署邮件安全网关拦截钓鱼邮件；在终端和服务器上部署安全软件提升防病毒能力，如奇安信天擎终端安全管理系统、椒图服务器安全管理系统。

第三，要做好同勒索攻击长久战斗的准备，建设实战化、常态化安全运营能力。事实证明，勒索团伙的攻击能力正在不断攀升，随着生成式人工智能的应用，AI驱动或许会成为驱动勒索攻击增长新的动力，这就要求组织必须建立起常态化的安全运营能力，不断调整、升级策略，以应对不断升级的攻击手法。

与此同时，机构应制定应对计划，以便在发生勒索软件攻击时能够快速有效地采取行动。这应包括数据恢复、事件响应以及与客户和员工的沟通等。制定一致的安全策略，确保组织内外的所有用户都遵循相同的安全流程，并定期进行安全意识培训，帮助员工识别和避免勒索软件攻击。