當前，勒索軟件攻擊正在以多種方式持續(xù)演進。例如：越來越多的新玩家“入場”，許多傳統(tǒng)玩家偶爾會“退場”;一些團伙正在運行復雜的“勒索軟件即服務”(RaaS)操作，并挖角網(wǎng)絡滲透、談判、惡意軟件開發(fā)等方面的專家；有些團伙由于缺乏足夠的預算和人手，只能繼續(xù)在外圍運作等。隨著勒索軟件攻擊的持續(xù)演進，其生態(tài)系統(tǒng)呈現(xiàn)出以下七種趨勢。

1. 參與者整體維持平衡

勒索軟件攻擊領(lǐng)域的參與者整體維持平衡——老牌玩家退場，往往伴隨著新玩家入場。以今年第三季度為例，走向衰落的群體有 Avaddon、Noname等，而相對較新的玩家有 Prometheus、REvil(又名Sodinokibi)、CryptBD、Grief、Hive、Karma、Thanos 以及 Vice Society 等。不過，9月份重新回歸的 REvil，上個月再度消失，這可能與執(zhí)法部門的取締活動有關(guān)。

2. 結(jié)構(gòu)重組愈發(fā)普遍

一些所謂的“新玩家”很可能只是改頭換面的老牌玩家。例如，在2021年第三季度，SynAck 勒索軟件組織托管了一個名為“File Leaks”的數(shù)據(jù)泄露網(wǎng)站，并將自己更名為“El_Cometa”。此外，DoppelPaymer 可能已更名為“Grief”勒索軟件組織，Karma 很有可能是 Nemty 勒索團伙的新名稱。

3. 攻擊活動的參與群體日益增多

Cisco Talos研究人員表示，不管名稱如何變，2021年第三季度似乎有更多玩家參與了更多攻擊活動。特別是在Cisco Talos開展的事件響應活動中，只有Vice Society和REvil出現(xiàn)在多起攻擊活動中，這表明新興勒索軟件團伙更加“民主化”，攻擊活動的參與群體日益增多。

不過奇怪的是，之前多產(chǎn)的Ryuk并未出現(xiàn)在Cisco Talos視線中。許多研究人員認為Conti勒索軟件家族是Ryuk的繼任者，這可能正是Ryuk活動量下降的原因所在。勒索軟件事件響應公司Coveware證實了這一結(jié)論，該公司稱在其第三季度協(xié)助處理的數(shù)千個案例中，Conti攻擊量急劇增加而Ryuk攻擊量大幅減少。

2021年第三季度攻擊中出現(xiàn)的Top10勒索軟件名稱及市場份額(來源：Coveware)

4. 并非所有勒索軟件運營商都賺得“盆滿缽滿”

目前，似乎仍然有大量勒索軟件組織十分活躍。例如，以色列威脅情報公司Kela報告稱，自10月25日以來，已有11個組織——Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing等在其數(shù)據(jù)泄露門戶網(wǎng)站列出了受害者信息。有些勒索軟件組織正賺得“盆滿缽滿”，Coveware發(fā)布的數(shù)據(jù)顯示，在2021年第三季度，企業(yè)、政府機構(gòu)或其他受害組織平均支付了140,000美元贖金。

但 McAfee 研究員 Thibault Seret 指出，并非每個勒索軟件即服務操作都能得到六位數(shù)或更多贖金回報。他表示，“根據(jù)最近的頭條新聞，您可能會認為所有勒索軟件運營商每年都能從其邪惡活動中攫取數(shù)百萬美元。不過事實是，在大型犯罪團伙的陰影之下，還有許多較小的參與者，他們無法獲取最新的勒索軟件樣本，沒能力成為‘后DarkSide RaaS世界’中的附屬公司，也沒有快速發(fā)展的金融影響力。”

5. 惡意軟件泄露養(yǎng)活了小型玩家

小型玩家可以在其他方面發(fā)揮創(chuàng)新能力。例如，今年6月份泄露的Babuk勒索軟件構(gòu)建器就被一些小型玩家使用，構(gòu)建其更高級的加密鎖定惡意軟件。在另一案例中，攻擊者只是簡單地調(diào)整了Babuk贖金記錄——插入其控制的比特幣錢包地址，用它瞄準受害者，并索要數(shù)千美元贖金。

6. 泄露被盜數(shù)據(jù)也充滿挑戰(zhàn)

雖然“從受害者那里竊取數(shù)據(jù)，并威脅其泄露數(shù)據(jù)以達到目的”是勒索團伙廣泛采用的策略，但它并非萬無一失。關(guān)鍵挑戰(zhàn)在于，受害者可能還是會選擇不付款，如果攻擊者并未竊取敏感數(shù)據(jù)，可能情況更是如此。

第三季度勒索軟件組織在其數(shù)據(jù)泄露站點上列出的受害者數(shù)量(來源：Digital Shadows)

許多勒索軟件團伙在管理數(shù)據(jù)泄漏站點，以及在暗網(wǎng)上托管數(shù)據(jù)以供下載時都會遇到困難，這導致一些勒索軟件團體使用公共文件共享網(wǎng)站(例如Mega[.]nz或PrivatLab[.]com)公開數(shù)據(jù)。由于這些服務托管在明網(wǎng)上，它們通常會被刪除，并且大多數(shù)下載鏈接會在一兩天內(nèi)被刪除。

由于暗網(wǎng)是只能通過匿名Tor瀏覽器訪問的網(wǎng)站，它優(yōu)先考慮的是隱私而非性能，因此，想在暗網(wǎng)中下載泄露的數(shù)據(jù)就會變得比較困難。XSS俄語網(wǎng)絡犯罪論壇的許多用戶就曾報告稱，當他們嘗試下載Clop竊取的數(shù)據(jù)時，就遭遇了下載速度緩慢的問題。有些用戶聲稱花了將近一周的時間才下載完成第一個數(shù)據(jù)集，有些用戶甚至直接放棄了下載。

托管數(shù)據(jù)泄漏站點和支付門戶也會使它們更易成為執(zhí)法機構(gòu)的目標。REvil勒索軟件運營商就遇到了這種情況。當管理員重新啟動其基于Tor的站點時，卻發(fā)現(xiàn)其他人(可能是前管理員，也可能是執(zhí)法官員，也許兩者兼有)也有安裝文件的副本，允許他們劫持REvil的Tor站點。

7. 運營商風險暴露

一些勒索團伙的收入似乎格外高，部分原因是受害者支付了價值數(shù)百萬美元的加密貨幣贖金，執(zhí)法機構(gòu)按圖索驥，很有可能找到勒索團伙的成員。

據(jù)德國周報Die Zeit報道稱，德國警方已經(jīng)確定了REvil團伙的一名疑似領(lǐng)導人——一名自稱“Nikolay K.”(非真名)的比特幣企業(yè)家。據(jù)了解，警方在追蹤GandCrab受害者之一斯圖加特國家劇院(于2019年向GandCrab支付了價值17,000美元的加密貨幣)時，發(fā)現(xiàn)加密貨幣與Nikolay K.使用的電子郵件帳戶存在關(guān)聯(lián)，便成功鎖定了他。

勒索軟件驅(qū)動的生活方式和試圖保持匿名的模式也可能對從業(yè)者造成傷害。例如，一些勒索軟件的頭目傾向于通過在俄語網(wǎng)絡犯罪論壇上發(fā)帖來發(fā)泄情緒，而非簡單地獲取收益后悄然離場。這表明為了保持運營節(jié)奏和匿名性，他們確實承擔著越來越大的壓力。這種情緒已經(jīng)瀕臨崩潰，如果執(zhí)法部門持續(xù)打擊，未來一定會出現(xiàn)更多情緒的大爆發(fā)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文