勒索軟件作為一種重要的威脅媒介，每年都會給企業(yè)組織和基礎(chǔ)設(shè)施運營商造成數(shù)十億美元的損失。這些威脅的背后往往是一些專業(yè)的勒索軟件團伙，他們有些會直接攻擊受害者，而另一些則運營流行的勒索軟件即服務(wù)（Ransomware-as-a-Service、RaaS）模式，讓第三方團伙（affiliates）去完成勒索活動，并從中收益分成。

隨著勒索軟件威脅不斷加劇，了解這些勒索團伙及其運作方式是提前阻止勒索攻擊的一種有效方式。以下梳理了目前最活躍的5個非法勒索軟件組織：

一、Conti

Conti是一個臭名昭著的勒索軟件團伙，從2018年開始長期霸占著媒體相關(guān)安全事件報道中的頭條。它經(jīng)常性地使用“雙重勒索”方法，這意味著該組織不僅會勒索贖金，還會泄露被攻擊企業(yè)的敏感數(shù)據(jù)。它甚至還專門運營了一個泄密網(wǎng)站Conti News來發(fā)布被盜數(shù)據(jù)信息。

Conti與其他勒索軟件組織的不同之處在于其活動缺乏道德限制，曾多次針對教育和醫(yī)療保健部門發(fā)起攻擊，并要求受害組織支付數(shù)百萬美元的贖金。

Conti勒索軟件組織長期以來一直以關(guān)鍵公共基礎(chǔ)設(shè)施為目標，例如醫(yī)療、保健、能源、IT和農(nóng)業(yè)等，代表性事件包括入侵印度尼西亞中央銀行、襲擊了國際碼頭運營商SEA-invest、攻擊布勞沃德縣公立學(xué)校。最具代表性的是，哥斯達黎加總統(tǒng)在Conti襲擊多個政府機構(gòu)后宣布進入“國家緊急狀態(tài)”。

二、DarkSide

DarkSide勒索軟件組織遵循RaaS模式，以大型企業(yè)為目標勒索資金。這一過程主要通過獲取對目標企業(yè)網(wǎng)絡(luò)的訪問權(quán)限并加密網(wǎng)絡(luò)上的所有文件來實現(xiàn)。關(guān)于DarkSide勒索軟件組織的起源有幾種不同的看法。一些分析人士認為，它的總部設(shè)在東歐的某個地方，但也有人認為該組織在多個國家均有分布，包括西亞和歐洲其它地區(qū)。

DarkSide組織聲稱自己有底線：從不針對學(xué)校、醫(yī)院、政府機構(gòu)和任何影響公眾的基礎(chǔ)設(shè)施實施攻擊活動。然而在2021年5月，DarkSide針對Colonial Pipeline發(fā)起了攻擊并索要500萬美元的贖金。這是美國歷史上對石油基礎(chǔ)設(shè)施的最大網(wǎng)絡(luò)攻擊，擾亂了17個州的汽油和航空燃料供應(yīng)。該事件引發(fā)了關(guān)于關(guān)鍵基礎(chǔ)設(shè)施安全性，以及政府和公司應(yīng)該如何更加努力地保護它們的討論。

事情發(fā)生后，DarkSide組織解釋稱是有第三方團隊利用其勒索工具發(fā)起的攻擊，并在美國政府的巨大施壓下，該組織一度關(guān)閉了其業(yè)務(wù)。但最近的觀察發(fā)現(xiàn)，DarkSide或已改頭換面，卷土重來。

三、DoppelPaymer

DoppelPaymer勒索軟件團伙和2019年出現(xiàn)的BitPaymer勒索軟件團伙一脈相承，它主要通過RDP暴力破解和垃圾郵件進行傳播，郵件附件中帶有一個自解壓文件，運行后釋放勒索軟件程序并執(zhí)行。

DoppelPaymer組織遵循“雙重勒索”勒索軟件模式，主要以北美地區(qū)的組織機構(gòu)為攻擊目標。在DarkSide勒索軟件攻擊美國最大的燃料管道運營商之一Colonial Pipeline大約一周后，DoppelPaymer的活動頻率也一度降低，但分析人士認為，該組織將自己重新命名為Grief組織，因為兩者具有相同的加密文件格式并使用相同的分發(fā)渠道，即Dridex僵尸網(wǎng)絡(luò)。

DopplePaymer經(jīng)常針對石油公司、汽車制造商以及醫(yī)療保健、教育和急救服務(wù)等關(guān)鍵行業(yè)。而它也是首個致人死亡的勒索軟件組織，據(jù)報道，在一次勒索攻擊活動中，因DopplePaymer鎖定通訊系統(tǒng)導(dǎo)致急救服務(wù)人員無法與醫(yī)院溝通，最終耽誤了對患者的救治。該組織的代表性勒索攻擊活動還包括發(fā)布喬治亞州霍爾縣選民信息、破壞起亞汽車美國公司面向客戶的系統(tǒng)等。

四、LockBit

由于執(zhí)法部門的持續(xù)性打擊，一些傳統(tǒng)勒索軟件團體開始衰落，LockBit成為最新活躍的勒索軟件團伙之一。自2019年首次亮相以來，LockBit保持了快速發(fā)展的趨勢，并不斷增強其攻擊能力和策略。

LockBit最初是一個低調(diào)的團伙，但隨著2021年底LockBit 2.0勒索軟件的推出而廣為人知。該組織遵循RaaS模式，并采用“雙重勒索”策略來敲詐受害者。數(shù)據(jù)顯示，2022年5月發(fā)生的勒索軟件攻擊中，40%以上和LockBit有關(guān)，其主要攻擊目標主要為美國、印度和歐洲地區(qū)的組織。

今年早些時候，LockBit針對法國電子跨國公司泰雷茲集團發(fā)起攻擊，它還入侵了法國司法部并加密了他們的文件。最近，該組織又聲稱已經(jīng)入侵了意大利稅務(wù)機構(gòu)并竊取了100GB的數(shù)據(jù)。

五、REvil

REvil勒索軟件組織，又名Sodinokibi，于2019年4月首次出現(xiàn)。它被西方國家認為是與俄羅斯政府機構(gòu)有密切關(guān)聯(lián)的勒索軟件組織，因此具有極強的勒索攻擊能力。鑒于其強悍的技術(shù)實力和系統(tǒng)化的攻擊手段，該組織在發(fā)現(xiàn)之初便吸引了網(wǎng)絡(luò)安全專業(yè)人士的注意。

2021年3月，REvil攻擊了電子和硬件公司Acer，并破壞了其服務(wù)器。一個月后，該組織對蘋果供應(yīng)商廣達電腦（Quanta Computers）公司進行了攻擊。之后，REvil勒索軟件組織陸續(xù)針對JBS Foods、Invenergy、Kaseya等著名企業(yè)進行攻擊，結(jié)果導(dǎo)致數(shù)家公司被迫暫停業(yè)務(wù)，其中針對Kaseya的攻擊事件更是直接影響了全球1,500多家企業(yè)。

據(jù)媒體報道，俄羅斯執(zhí)法部門于2022年1月逮捕了該團隊的多名核心成員，并沒收了價值數(shù)百萬美元的資產(chǎn)。自2022年4月，REvil勒索軟件團伙又出現(xiàn)恢復(fù)運行的跡象。