勒索軟件即服務（RaaS）模式、雙倍勒索策略以及人工智能的廣泛應用，共同構(gòu)成了當前不斷演變的勒索軟件威脅格局。執(zhí)法部門對LockBit等組織的打擊，使得勒索軟件市場更加碎片化，新玩家試圖從中分一杯羹。攻擊者包括國家行為體、RaaS運營商、獨立操作者以及數(shù)據(jù)盜竊勒索團伙。以下是當前活躍的主要威脅組織的不完全列表，入選依據(jù)是它們的影響力或創(chuàng)新特征。

Akira

歷史背景：Akira是一個復雜的RaaS組織，于2023年初出現(xiàn)，至今仍活躍。

運作方式：部署Akira的組織通常利用企業(yè)VPN設備的認證缺失、開放的RDP（遠程桌面協(xié)議）客戶端以及泄露的憑證來攻擊企業(yè)系統(tǒng)。

目標受害者：主要目標包括北美、歐洲和澳大利亞的中小型企業(yè)。Palo Alto Networks的Unit 42情報部門指出，受影響行業(yè)包括制造業(yè)、專業(yè)法律服務、教育、電信、技術和制藥業(yè)。

歸屬推測：間接證據(jù)表明其可能與俄羅斯有關，并與已解散的Conti勒索軟件有關聯(lián)，但歸屬仍不明確。HackerOne的EMEA解決方案架構(gòu)師Shobhit Gautam表示：“該威脅組織因其數(shù)據(jù)泄露網(wǎng)站（DLS）和信息的‘復古美學’而引起關注?！?/p>

Black Basta

歷史背景：Black Basta于2022年初出現(xiàn)在勒索軟件領域，被認為是Conti的分支，后者以攻擊大型組織而臭名昭著。

運作方式：Black Basta通常通過利用已知漏洞和社會工程活動部署惡意軟件。Rapid7的威脅分析高級總監(jiān)Christiaan Beek表示：“目標環(huán)境中的員工會遭到郵件轟炸，隨后該組織冒充公司技術支持部門與他們聯(lián)系?！?/p>

目標受害者：云安全公司Qualys的分析顯示，全球超過500個組織受到Black Basta的影響。

歸屬推測：安全研究人員推測，Black Basta可能與FIN7網(wǎng)絡犯罪集團有關，因為兩者在逃避端點檢測和響應系統(tǒng)的自定義模塊上存在相似之處。

Blackcat (ALPHV)

歷史背景：BlackCat，也被稱為ALPHV或Noberus，于2021年11月出現(xiàn)，據(jù)稱由已解散的Darkside組織前成員組成，后者曾因攻擊Colonial Pipeline而臭名昭著。

運作方式：BlackCat使用的惡意軟件針對Windows和Linux系統(tǒng)，采用三重勒索策略：要求支付贖金以解密文件、承諾不泄露被盜數(shù)據(jù)以及阻止分布式拒絕服務（DDoS）攻擊。

目標受害者：BlackCat涉嫌多起高調(diào)攻擊，最著名的是2023年9月對Caesars Entertainment和2024年2月對UnitedHealth Group子公司Change Healthcare的攻擊。

歸屬推測：BlackCat組織已隱匿，可能是對執(zhí)法行動的回應以及Change Healthcare攻擊的影響。其核心成員可能成為美國起訴的目標。

BlackLock

歷史背景：BlackLock（又名El Dorado）自2024年3月出現(xiàn)以來增長迅速。威脅情報公司ReliaQuest預測，它可能取代RansomHub成為今年最活躍的勒索軟件組織。

運作方式：該組織通過開發(fā)自定義惡意軟件脫穎而出，這是像“Play”和“Qilin”這樣頂級組織的標志。其惡意軟件針對Windows、VMware ESXi（虛擬化服務器）和Linux環(huán)境。攻擊者通常加密數(shù)據(jù)并竊取敏感信息，威脅如果不滿足勒索要求就公開這些信息。

目標受害者：BlackLock已攻擊了多種目標，包括美國的房地產(chǎn)、制造業(yè)和醫(yī)療保健組織。

歸屬推測：BlackLock在專注于勒索軟件的俄語論壇RAMP上非?；钴S，積極招募包括初始訪問經(jīng)紀人在內(nèi)的各種角色。其結(jié)構(gòu)歸屬尚未明確。

Cl0p

歷史背景：Cl0p勒索軟件的歷史可以追溯到2019年，過去六年的廣泛濫用主要與俄語網(wǎng)絡犯罪集團TA505和FIN11有關。

運作方式：Cl0p利用零日漏洞攻擊目標，通常避免使用常規(guī)有效載荷，但仍依賴泄露網(wǎng)站勒索受害者。Rapid7的Beek表示：“我們觀察到該組織利用高知名度平臺的漏洞，在最短停機時間內(nèi)竊取數(shù)據(jù)，例如利用Cleo文件傳輸軟件中的漏洞。”

目標受害者：Cl0p攻擊了全球多家大型組織，最臭名昭著的是2023年利用MOVEit漏洞發(fā)起的大規(guī)模攻擊，影響了數(shù)千家組織。

歸屬推測：Cl0p勒索軟件被歸屬于多個（主要是俄語）網(wǎng)絡犯罪集團。

Funksec

歷史背景：FunkSec是一個新的RaaS組織，于2024年底出現(xiàn)，僅在12月就宣稱有超過85名受害者。

運作方式：FunkSec在惡意軟件開發(fā)中使用人工智能，要求低額贖金，但其數(shù)據(jù)泄露的“可信度存疑”。Rapid7的Beek表示，部分泄露數(shù)據(jù)可能是從早期漏洞中重新利用的。

目標受害者：FunkSec宣稱有大量受害者，但研究人員警告，一些泄露數(shù)據(jù)可能是重新整理的。

歸屬推測：FunkSec以RaaS模式運營，可能與俄語附屬機構(gòu)有關。

LockBit

歷史背景：LockBit是一個通過RaaS模式運營的網(wǎng)絡犯罪組織，在2024年受到打擊后仍有復活的跡象。該組織以其高效的加密和雙倍勒索策略而臭名昭著。

運作方式：盡管去年執(zhí)法部門對其進行了大規(guī)模打擊，LockBit仍繼續(xù)使用日益強大的RaaS模式和雙倍勒索策略。Searchlight Cyber的威脅情報主管Luke Donovan表示：“LockBit繼續(xù)在暗網(wǎng)論壇上列示受害者、招募附屬機構(gòu)并試圖恢復其聲譽?！?/p>

目標受害者：在其鼎盛時期，LockBit攻擊了全球數(shù)千名受害者，包括政府部門、私營公司和關鍵基礎設施提供商。

歸屬推測：LockBit在俄語論壇上的活動以及目標模式讓一些分析師認為該組織總部位于俄羅斯。俄羅斯公民Dmitry Yuryevich Khoroshev被西方執(zhí)法機構(gòu)列為LockBit的開發(fā)者和管理者，面臨美國的起訴、資產(chǎn)凍結(jié)和旅行禁令。

Lynx

歷史背景：Lynx的源代碼與早期的INC勒索軟件有48%的相似度，表明可能是同一威脅組織的更名或進化版本。

運作方式：Lynx 運營著 RaaS 并采用雙重勒索策略。滲透到系統(tǒng)后，勒索軟件可以竊取敏感信息并加密受害者的數(shù)據(jù)，從而有效地將他們鎖定在外面。為了使恢復更加困難，它為加密文件添加了“.lynx”擴展名，并刪除了卷影副本等備份文件。

目標受害者：自出現(xiàn)以來，該勒索軟件已積極針對美國和英國的多個行業(yè)，包括零售、房地產(chǎn)、建筑、金融服務和環(huán)境服務。據(jù)帕洛阿爾托的 Unit 42 威脅情報小組稱，Lynx 背后的組織在 2024 年 7 月至 2024 年 11 月期間攻擊了美國各地的多個設施，其中包括與能源、石油和天然氣相關的受害者。

歸屬推測：Lynx 作為RaaS模式 運行，這意味著它可能被多個網(wǎng)絡犯罪分子而不是單個實體使用。

Medusa 

歷史背景：  Medusa是一種RaaS，于 2022 年首次亮相。

運作方式： 該組織通常通過利用面向公眾的資產(chǎn)中的漏洞、網(wǎng)絡釣魚電子郵件或使用初始訪問代理來入侵系統(tǒng)。

目標受害者： Medusa 背后的網(wǎng)絡犯罪分子以美國、歐洲和印度的醫(yī)療保健、教育、制造和零售組織為目標。

歸屬推測： 與 Medusa 相關的俄語網(wǎng)絡犯罪論壇上的活動表明，該核心組織及其許多附屬機構(gòu)可能來自俄羅斯或鄰國，但未得到完全證實。

Play

歷史背景：Play 是 2022 年 6 月出現(xiàn)的勒索軟件威脅。在瓦解其他主要威脅行為者后，該組織加強了其活動。

運作方式： 攻擊者通常在泄露敏感數(shù)據(jù)后加密系統(tǒng)。除了其泄密網(wǎng)站外，Play 在暗網(wǎng)上保持相當?shù)驼{(diào)，不在暗網(wǎng)論壇上進行宣傳。

目標受害者：該組織針對各個行業(yè)，包括醫(yī)療保健、電信、金融和政府服務。

歸屬推測：Play 可能與朝鮮國家結(jié)盟的 APT 組織有關。

Qilin

歷史背景：Qilin也稱為 Agenda，是一家總部位于俄羅斯的 RaaS 集團，自 2022 年 5 月開始運營。

運作方式：該組織使用以 Golang 和 Rust 編寫的勒索軟件變體為目標，包括 Windows 和 Linux 系統(tǒng)，包括 VMware ESXi 服務器。Qilin遵循雙重勒索模式——加密受害者的文件，并威脅如果不支付贖金就泄露被盜數(shù)據(jù)。

目標受害者：Qilin 在地下論壇上招募分支機構(gòu)，并禁止攻擊與俄羅斯接壤的獨立國家聯(lián)合體 （CIS） 組織。

歸屬推測：Qilin 的構(gòu)成仍然未知，但被懷疑是與俄羅斯的網(wǎng)絡犯罪組織有關。

RansomHub

歷史背景：RansomHub 于 2024 年 2 月出現(xiàn)，并迅速成為主要網(wǎng)絡威脅。該組織最初被稱為 Cyclops，后來被稱為 Knight，通過招募其他被打擊的勒索軟件組織（如 LockBit 和 ALPHV/BlackCat）及其附屬組織來擴大其影響。

運作方式：一旦進入網(wǎng)絡，RansomHub 附屬公司就會泄露數(shù)據(jù)并部署加密工具，通常利用合法的管理實用程序來促進他們的惡意活動。

目標受害者：據(jù) Rapid7 稱，RansomHub 已與歐洲和北美各個關鍵領域的 210 多名受害者有關，包括醫(yī)療保健、金融、政府服務以及關鍵基礎設施。

歸屬推測：歸屬仍未得到證實，但間接證據(jù)表明，這是一個有組織的講俄語的網(wǎng)絡犯罪活動，與其他已建立的勒索軟件組織有聯(lián)系。