2024年，全球勒索軟件攻擊事件達(dá)到5,414起，較2023年增長(zhǎng)了11%。

盡管年初增長(zhǎng)較為緩慢，但在第二季度和第四季度，攻擊事件激增，其中第四季度共發(fā)生1,827起事件，占全年總數(shù)的33%。執(zhí)法機(jī)構(gòu)對(duì)LockBit等主要組織的打擊導(dǎo)致這些組織分裂，引發(fā)了更多競(jìng)爭(zhēng)，并促使小型勒索團(tuán)伙數(shù)量上升?；钴S的勒索軟件組織數(shù)量從2023年的68個(gè)增至2024年的95個(gè)，增幅達(dá)40%。

2024年涌現(xiàn)的新勒索軟件組織

2023年僅有27個(gè)新勒索軟件組織出現(xiàn)，而2024年則檢測(cè)到46個(gè)新組織，且數(shù)量在第四季度加速增長(zhǎng)，達(dá)到48個(gè)活躍組織。在2024年的新組織中，RansomHub表現(xiàn)尤為突出，其活躍度甚至超過(guò)了LockBit。作為一家現(xiàn)已并入Check Point的公司，Cyberint的研究團(tuán)隊(duì)持續(xù)追蹤最新的勒索軟件組織并分析其潛在影響。本文將從RansomHub、Fog和Lynx這三個(gè)新興組織入手，探討它們?cè)?024年的活動(dòng)、起源及其戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。

RansomHub：2024年的領(lǐng)軍者

RansomHub自2024年2月開(kāi)始運(yùn)作以來(lái)，已在其數(shù)據(jù)泄露網(wǎng)站上記錄了531次攻擊，成為2024年的主要勒索軟件組織。在FBI對(duì)ALPHV組織實(shí)施打擊后，RansomHub被視為其“精神繼承者”，可能吸收了前ALPHV的成員。作為一款勒索軟件即服務(wù)（RaaS），RansomHub對(duì)合作伙伴實(shí)行嚴(yán)格的協(xié)議，違反者將被禁止或終止合作。其贖金分配比例為90/10，合作伙伴占大頭。

盡管RansomHub自稱擁有全球黑客社區(qū)，但它明確避免攻擊獨(dú)聯(lián)體國(guó)家、古巴、朝鮮、中國(guó)以及非營(yíng)利組織，這一行為特征與傳統(tǒng)的俄羅斯勒索軟件團(tuán)伙如出一轍。此外，其規(guī)避俄羅斯關(guān)聯(lián)國(guó)家及與其他俄羅斯勒索組織的目標(biāo)公司重疊，進(jìn)一步表明其可能與俄羅斯的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)有密切聯(lián)系。

Cyberint在2024年8月的研究發(fā)現(xiàn)，RansomHub的贖金支付率較低，只有11.2%的受害者支付了贖金（190人中有20人），且談判通常會(huì)降低贖金要求。RansomHub更注重攻擊數(shù)量，而非支付率，通過(guò)擴(kuò)大合作伙伴規(guī)模確保長(zhǎng)期盈利能力，盡管單次攻擊的成功率較低。

RansomHub的惡意軟件、工具集與TTPs

RansomHub的勒索軟件基于Golang和C++開(kāi)發(fā)，支持Windows、Linux和ESXi系統(tǒng)，以其快速加密功能見(jiàn)長(zhǎng)。其與GhostSec勒索軟件的相似性表明了一種趨勢(shì)。RansomHub承諾，如果合作伙伴在受害者支付贖金后未能提供解密服務(wù)，或攻擊了被禁止的組織，將免費(fèi)解密數(shù)據(jù)。攻擊模式表明其可能與ALPHV存在關(guān)聯(lián)，且使用了相似的工具和TTPs。Sophos的研究還發(fā)現(xiàn)，其與Knight勒索軟件有相似之處，包括使用GoObfuscate混淆的Go語(yǔ)言有效負(fù)載及相同的命令行菜單。

Fog勒索軟件：針對(duì)美國(guó)教育網(wǎng)絡(luò)的威脅

Fog勒索軟件于2024年4月初首次出現(xiàn)，主要利用被盜的VPN憑證攻擊美國(guó)的教育網(wǎng)絡(luò)。其采用雙重勒索策略，若受害者拒絕支付贖金，會(huì)將數(shù)據(jù)發(fā)布到基于TOR的泄露網(wǎng)站上。2024年，F(xiàn)og在全球范圍內(nèi)攻擊了87家組織。Arctic Wolf在2024年11月的報(bào)告中指出，F(xiàn)og至少發(fā)起了30次入侵，所有入侵均通過(guò)被黑的SonicWall VPN賬戶完成。值得注意的是，其中75%的入侵與Akira組織有關(guān)，其余則歸因于Fog，這表明兩者可能共享基礎(chǔ)設(shè)施。

Fog的主要攻擊目標(biāo)包括教育、商業(yè)服務(wù)、旅游和制造業(yè)，且其特別關(guān)注教育領(lǐng)域，這在勒索軟件團(tuán)伙中較為罕見(jiàn)。

Fog 攻擊速度驚人，從初始訪問(wèn)到完成加密的最短時(shí)間僅為兩小時(shí)。攻擊遵循典型的勒索軟件殺傷鏈，包括網(wǎng)絡(luò)枚舉、橫向移動(dòng)、加密和數(shù)據(jù)外泄。Fog的勒索軟件支持Windows和Linux平臺(tái)。

Lynx：活躍的雙重勒索團(tuán)伙

Lynx是近期非?；钴S的雙重勒索團(tuán)伙，其網(wǎng)站上展示了大量受害公司。該組織聲明，避免攻擊政府機(jī)構(gòu)、醫(yī)院、非營(yíng)利組織及其他關(guān)鍵社會(huì)部門。

一旦入侵系統(tǒng)，Lynx會(huì)加密文件并附加“.LYNX”擴(kuò)展名，隨后在多個(gè)目錄中放置名為“README.txt”的勒索說(shuō)明。僅2024年，Lynx就聲稱攻擊了超過(guò)70家受害者，展現(xiàn)出其在勒索軟件領(lǐng)域的頻繁活動(dòng)與重要地位。

2025年將會(huì)怎樣？

由于對(duì)勒索軟件團(tuán)伙的打擊力度加大，有記錄以來(lái)新出現(xiàn)的團(tuán)伙數(shù)量創(chuàng)下新高，這些新興組織正試圖打響自身名號(hào)。網(wǎng)絡(luò)安全公司Cyberint預(yù)測(cè)，到2025年，其中部分新興團(tuán)伙將通過(guò)能力升級(jí)成為勒索領(lǐng)域的主導(dǎo)力量，而不僅僅是當(dāng)前備受關(guān)注的RansomHub。