1、2022 年勒索软件流行态势报告高级威胁研究分析中心2023 年 1 月前言本次报告以 2022 年全年 360 政企安全高级威胁研究分析中心反病毒部（CCTGA 勒索软件防范应对工作组成员）所监测、分析与处置的勒索软件事件为数据基础，并结合国内外与勒索软件研究相关权威数据及新闻报道进行综合研判、梳理与汇总而成。将重点关注国内勒索软件的发展动态，同时也加入了国际热点事件与形势的分析判断，旨在评估勒索软件在2022 年所展现出来的传播及演化态势，进而对勒索软件在未来可能会产生的发展方向进行探究，以此帮助个人、企业、政府机构更好的做出安全规划，降低被勒索攻击风险。360 反病毒部是 360 政企安

2、全集团的核心能力支持部门，由一批常年奋战在网络安全一线的攻防对抗专家组成。部门负责流行病毒木马的监测、防御、处置和新安全威胁研究。维护着 360 高级威胁主动防御系统、360 反勒索服务等基础安全服务，并为用户提供了横向渗透防护、无文件攻击防护、软件劫持防护、挖矿木马防护等多项防护功能，保护广大网民上网安全。光明网网络安全频道是光明网主办的一级重点频道，于 2022 年 1 月份创建上线，秉持“共建网络安全 共享网络文明”的宗旨，设置了行业要闻、大智移云、数字安全、隐私保护、技术前沿、网安科普、评论观察、对话访谈等栏目。网络安全频道成立一年来，持续关注互联网及网络安全发展态势，通过组织品牌活动

3、、开设重点栏目、输出科普产品等方式，在互联网及网络安全领域取得良好反响。摘要360 反勒索服务全年共接收并处理了超 4700 例勒索软件攻击求助，其中近 4300 例确认遭受勒索软件攻击。全年总体勒索相关反馈量较为平稳，仅在 10 月、11 月这两个月反馈量有所下降。国内流行勒索软件家族以 phobos、Magniber、TellYouThePass 为主，这三大勒索软件家族的受害者占比约为 37.3%。逐月分析流行勒索软件各家族占比，则发现通过弱口令或伪装成激活/破解软件进行传播的勒索软件家族感染量都相对平稳。勒索软件加密手段日渐趋同，说明主流技术方案已基本成熟，也意味着通过代码漏洞破解勒索

4、软件将会越来越困难。远程桌面虽然仍旧是勒索软件最主要的入侵方式，但网页挂马及漏洞攻击两种入侵手段的利用率在今年则均有显著提升。三种入侵方式在总入侵量中占比超过 7 成。双重/多重勒索已成发展趋势，LockBit、BlackCat(ALPHV)、Black Basta 三大家族领头，其中 BlackCat(ALPHV)更是以 2022 年新型家族的身份占据“榜眼”位置。双重/多重勒索的重点攻击目标锁定在加工制造、服务、金融与贸易等行业。美国成为此类攻击的重灾区。勒索软件家族更迭不休，既有新增也有消亡。各国警方打击成为勒索软件消亡的主要原因。广东、山东、浙江三省遭勒索软件攻击最多。桌面操作系统依然

5、是受攻击的主要目标，而 NAS 等特种设备则继去年进入勒索软件的攻击视野后受到攻击者的“青睐”，受攻击占量进一步提高。教育、软件&互联网、制造业成为国内最受勒索软件的主要目标，据分析这可能与疫情影响下与网课增长有关。在攻击 IP 来源方面，IP 地址归属俄罗斯的成为勒索攻击的第一大来源，英国、荷兰等地则紧随其后。勒索软件联系邮箱超 9 成为匿名邮箱，难以溯源。勒索软件入侵手段并未发生重大变动，但各类漏洞的利用则在形形色色的入侵手段中扮演了越发重要的作用。目录第一章 勒索软件攻击形势.1一、勒索软件概况.1(一)勒索家族分布.2(二)主流勒索软件趋势.3(三)加密方式分布.4(四)编译时间看勒索

6、软件.5(五)勒索赎金分析.5二、勒索软件传播方式.6三、多重勒索与数据泄露.7(一)行业统计.7(二)国家与地区分布.8(三)家族统计.9(四)逐月统计.10(五)数据泄露的负面影响.11四、勒索软件家族更替.13(一)每月新增传统勒索情况.13(二)每月新增双重/多重勒索情况.15第二章 勒索软件受害者分析.17一、受害者所在地域分布.17二、受攻击系统分布.18三、受害者所属行业.19四、受害者支付赎金情况.20五、对受害者影响最大的文件类型.21六、受害者遭受攻击后的应对方式.21第三章 勒索软件攻击者分析.23一、黑客使用 IP.23二、勒索联系邮箱的供应商分布.23三、攻击手段.2