北京瑞星网安技术股份有限公司 免责声明 本报告由北京瑞星网安技术股份有限公司发布,综合星核(能力和创新平台)的数据及资料进行收集和整理,针对中国2023年1至12月的网络安全现状与趋势进行统计、研究和分析。部分企业网络安全事件援引互联网媒体报道。本报告提供给媒体、公众和相关政府及行业机构作为互联网网络安全状况的介绍和研究资料,请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。 目录 一、恶意软件与恶意网址2 (一)恶意软件2 (二)恶意网址7 二、移动安全8 (一)2023年手机病毒概述8 (二)2023年1至12月手机病毒Top59 (三)2023年手机漏洞Top510 三、企业安全10 (一)2023年重大企业网络安全事件10 (二)2023年漏洞分析26 (三)2023年全球APT攻击事件解读31 四、勒索软件39 (一)Lockbit40 (二)Medusa44 (三)BlackCat46 (四)Akira/Megazord48 (五)Mimic50 (六)Qilin/Agenda51 五、2024年网络安全趋势预测52 (一)APT攻击仍将保持活跃,网络钓鱼依旧是其主流攻击方式52 (二)勒索组织开始主攻高价值目标53 (三)人工智能技术的滥用将引发更多安全问题53 (四)攻击者开始积极利用较新的安全漏洞53 (五)针对个人以及企业内特殊岗位的员工的攻击将会加剧54 (六)个人用户受影响的类“供应链投毒”事件开始冒头54 专题:人工智能在网络安全领域的风险和机遇55 一、人工智能带来的社会问题55 二、在网络安全领域的风险和机遇58 三、总结66 附:2023年国内重大网络安全政策法规66 报告摘要 2023年瑞星“云安全”系统共截获病毒样本总量8,456万个,病毒感染次数9,052万次,病毒总体数量比2022年同期增长了14.98%。广东省病毒感染人次为916.36万次,位列全国第一,其次为山东省及江苏省,分别为705.18万次及622.59万次。 2023年瑞星“云安全”系统共截获勒索软件样本65.59万个,比2022年上涨了13.24%,感染次数为19.68万次;挖矿病毒样本总体数量为315.24万个,比2022年增长了20.78%,感染次数为21.62万次。勒索软件感染人次按地域分析,北京市排名第一,为5.13万次;挖矿病毒感染人次按地域分析,北京市以3.8万次位列第一。 2023年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.76亿个,比2022年增长了88.24%,其中挂马类网站1.14亿个,钓鱼类网站6,206万个。在中国范围内排名第一位为河南省,总量为114.67万个,其次为香港和江苏省,分别为98.18万个和68.21万个。 2023年瑞星“云安全”系统共截获手机病毒样本100.43万个,比2022年下降了33.95%,病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主,其中信息窃取类病毒占比35.82%,位居第一。 2023年重大企业安全事件(26起),其中包括:亚洲两大数据中心遭入侵,国内多家头部企业数据被泄露;知名台企微星疑遭勒索攻击,被索要2750万元巨额赎金;瑞星捕获疑似国内黑客组织传播病毒证据;国内企业遭遇窃密木马钓鱼攻击;美国核研究实验室遭黑客入侵,数十万个人数据泄漏等。 2023年CVE漏洞利用率Top10包括:CVE-2017-11882Office远程代码执行漏洞;CVE-2017-17215HG532远程命令执行漏洞;CVE-2017-0147WindowsSMB协议漏洞MS17-010等;年度最热漏洞有CVE-2023-38831WinRAR远程代码执行漏洞;CVE-2023-21768WindowsAncillaryFunctionDriverforWinSock权限提升漏洞;CVE-2023-32243WordPress插件特权提升漏洞等。 2023年全球APT攻击事件解读(7个):威胁组织SideCopy;威胁组织Kimsuky;威胁组织APT-37;威胁组织BlindEagle;威胁组织Saaiwc;威胁组织SideWinder和威胁组织Patchwork。 2023年勒索软件分析:在全球范围内,多个知名企业均遭受过LockBit等勒索组织的攻击,受害企业涉及广泛,涵盖金融服务、科技、能源、医疗、运输等多个产业。瑞星根据勒索组织的破坏性、威胁性,以及企业的损失程度,评选出2023年六大勒索软件,并详细介绍这些勒索软件的技术手段、攻击手法及相关勒索事件。 趋势展望:APT攻击仍将保持活跃,网络钓鱼依旧是其主流攻击方式;勒索组织开始主攻高价值目标;攻击者开始积极利用较新的安全漏洞;人工智能技术的滥用将引发更多安全问题;针对个人以及企业内特殊岗位的员工的攻击将会加剧;个人用户受影响的类“供应链投毒”事件开始冒头。 一、恶意软件与恶意网址 (一)恶意软件 1.2023年病毒概述 1.1病毒总体概述 2023年瑞星“云安全”系统共截获病毒样本总量8,456万个,病毒感染次数9,052万次,病毒 总体数量比2022年同期增长了14.98%。报告期内,新增木马病毒5,312万个,为第一大种类病毒,占到总体数量的62.81%;排名第二的为蠕虫病毒,数量为1,577万个,占总体数量的18.65%;后门、灰色软件、感染型病毒分别占到总体数量的10.15%、6.36%和1.18%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。 图:2023年病毒类型统计 根据瑞星“云安全”系统显示,2023年病毒感染次数比2022年下降了27.03%,8月份至12月份为病毒感染高发期,均在800万次以上。 图:2023年病毒样本数量及感染次数 1.2病毒感染地域分析 报告期内,广东省病毒感染人次为916.36万次,位列全国第一,其次为山东省及江苏省,分别 为705.18万次及622.59万次。 图:2023年病毒感染地域分布Top10 2.2023年病毒Top10 根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出2023年1至12月病毒Top10: 3.勒索软件和挖矿病毒 勒索软件和挖矿病毒在2023年依旧活跃,报告期内瑞星“云安全”系统共截获勒索软件样本 65.59万个,比2022年上涨了13.24%;感染次数为19.68万次,与2022年相比,上涨了0.95%。 瑞星通过对捕获的勒索软件样本进行分析后发现,PornoAsset家族占比38.04%,成为第一大类勒索软件,其次是Agent家族,占到总量的20.34%,第三是Blocker家族,占到总量的19.79%。 图:2023年勒索软件家族分类 勒索软件感染人次按地域分析,北京市排名第一,为5.13万次,第二为广东省2.66万次,第 三为山东省1.56万次。 图:2023年勒索软件感染地域分布Top10 挖矿病毒样本总体数量为315.24万个,比2022年增长了20.78%;感染次数为21.62万次,与 2022年同期相比,下降了72.89%。 挖矿病毒依然是企业网络安全的主要威胁,瑞星根据病毒行为进行统计,评出2023年挖矿病毒Top10: 挖矿病毒感染人次按地域分析,北京市以3.8万次位列第一,江苏省和广东省分别位列二、三 位,为2.61万次和1.22万次。 图:2023年挖矿病毒感染地域分布Top10 (二)恶意网址 1.2023年全球恶意网址概述 2023年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.76亿个,比2022年 增长了88.24%,其中挂马类网站1.14亿个,钓鱼类网站6,206万个。美国恶意URL总量为7,193 万个,位列全球第一,其次是日本840.79万个和法国718.81万个,分别排在第二、三位,中国排 在第四位,为606.57万个。 图:2023年全球恶意URL地域分布Top10 2.2023年中国恶意网址概述 报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为河南省,总量为114.67万个,其次为香港和江苏省,分别为98.18万个和68.21万个。 图:2023年中国恶意URL地域分布Top10 二、移动安全 (一)2023年手机病毒概述 2023年瑞星“云安全”系统共截获手机病毒样本100.43万个,比2022年下降了33.95%。病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主,其中信息窃取类病毒占比35.82%,位居第一;其次是远程控制类病毒占比27.27%,第三名是恶意扣费类病毒占比19.61%。 图:2023年手机病毒类型比例 (二)2023年1至12月手机病毒Top5 (三)2023年手机漏洞Top5 三、企业安全 (一)2023年重大企业网络安全事件 2023年,国内外重大网络安全事件频发,网络攻击威胁着政府、能源、航空、金融等各个领域,众多国家的政府部门及国际知名企业均遭到勒索入侵、漏洞利用、数据泄露等多种攻击,引发了不同程度的损失。这些威胁不仅影响着各国的关键信息基础设施建设和经济民生,也给企业带来了严重的经济损失和声誉影响。 同时,由于俄乌冲突的僵持,巴以冲突的升级,导致众多网络攻击组织参与到政治战争中,利用新型武器、新型手法向对立方的政府、职能机构及关键基础设施发起大规模网络攻击。因此,2023年全球网络安全形势极其严峻,各国对于网络空间威胁都面临着极大的挑战。 瑞星根据行业特性、威胁影响及损失程度,列举出在2023年发生的26起重大网络攻击事件: 1.全球最大船级社遭勒索攻击,千艘船舶运营受影响 2023年1月19日,全球最大海事组织之一DNV发布声明称,该企业于1月7日晚间遭勒索软 件攻击,ShipManager软件系统相关的IT服务器已经被迫关闭。其中写道,“DNV正与总计70家受 到影响的客户开展每日沟通,向其更新正在进行的取证调查结果。约1000艘船舶受到影响。”DNV是世界上最大的船级社,即管理船舶与海上结构物建造与运营技术认证的组织。DNV目前为超过13175艘船舶及移动海上装置提供服务,2021年收入超20亿美元。 图:DNV公司发布的声明来源:https://www.secrss.com/articles/51280 2.网电全面中断!百慕大地区关基设施突发“严重事故” 2023年2月3日,百慕大地区发生大面积停电,导致该岛的互联网与电话服务无法正常使用。当地政府称,问题根源是百慕大唯一电力供应商Belco遭遇“严重事故”,并建议客户“拔掉所有敏感的电气设备”,避免工作人员的连夜抢修造成用电器损坏。互联网状态监测组织NetBlocks证实,在断电之后数小时,岛上互联网连接已降至正常水平的30%左右。截至百慕大当地时间2月3 日晚8点30分,Belco公司已经为约90%的客户恢复了供电,到晚间9点45分所有线路均已恢复。 图:百慕大地区政府部门发布的通告 来源:https://www.secrss.com/articles/51617 3.匿名者组织泄露俄罗斯运营商128GB数据,内含FSB监控计划 2023年2月初,匿名者组织发布了128GB的文件,据称这些文件是从俄罗斯互联网服务提供商Convex窃取的。被盗文件包含情报部门FSB进行的天罗地网监视活动的证据。据称,这种监视活动被归类为未经授权的窃听、间谍活动和对平民的无证监视,这些都是违反该国法律的。匿名者组织表示数据是从Convex窃取的,该公司一直在运行一个名为GreenAtom的项目,该项目涉及安装和维护监控设备以监控俄罗斯公民和私营公司的在线活动。通过绿色原子计划,政府可以执行广泛的监视活动,使用Convex的设备来监视他们的进出流量。 图:匿名者组织发布的消息来源:https://www.secr