Conti和REvil等大型勒索軟件團(tuán)伙的衰落催生了更多的勒索軟件小型團(tuán)伙，這對(duì)網(wǎng)絡(luò)安全帶來(lái)了更多的威脅。

勒索軟件生態(tài)系統(tǒng)在2022年發(fā)生了重大變化，網(wǎng)絡(luò)攻擊者從占主導(dǎo)地位的大型團(tuán)體轉(zhuǎn)向規(guī)模較小的勒索軟件即服務(wù)(RaaS)組織，以尋求更大的靈活性，減少執(zhí)法部門的關(guān)注。勒索軟件的民主化對(duì)企業(yè)來(lái)說(shuō)是一個(gè)壞消息，因?yàn)樗矌?lái)了多樣化的戰(zhàn)術(shù)、技術(shù)和程序，需要跟蹤更多的妥協(xié)指標(biāo)(IOC)，以及受害者在試圖談判或支付贖金時(shí)可能會(huì)遇到更多的障礙。

思科公司網(wǎng)絡(luò)安全研究部門Talos團(tuán)隊(duì)的研究人員在他們發(fā)布的一份年度報(bào)告中表示：“我們很可能將安全形勢(shì)加速變化追溯到2021年年中，當(dāng)時(shí)針對(duì)Colonial Pipeline公司進(jìn)行的DarkSide勒索軟件攻擊以及隨后執(zhí)法部門對(duì)REvil團(tuán)伙的打擊，導(dǎo)致幾個(gè)勒索軟件團(tuán)伙衰落。而到現(xiàn)在，勒索軟件領(lǐng)域似乎一如既往地充滿活力，各種團(tuán)體和組織都在適應(yīng)政府執(zhí)法部門的打擊和越來(lái)越多的破壞性行為、內(nèi)訌和內(nèi)部威脅，以及激烈的行業(yè)競(jìng)爭(zhēng)，勒索軟件開(kāi)發(fā)者和運(yùn)營(yíng)者不斷轉(zhuǎn)移他們的從屬關(guān)系，以運(yùn)營(yíng)最有利可圖的勒索軟件業(yè)務(wù)?！?/p>

大型勒索軟件團(tuán)伙吸引了更多的注意力

自從2019年以來(lái)，勒索軟件領(lǐng)域一直由專業(yè)化的大型勒索軟件團(tuán)伙主導(dǎo)，持續(xù)不斷的勒索軟件攻擊成為了新聞?lì)^條，得到媒體的更多關(guān)注。人們甚至看到勒索軟件團(tuán)伙的發(fā)言人接受采訪，或者在Twitter和他們的網(wǎng)站上發(fā)布新聞，以回應(yīng)發(fā)生的重大泄露事件。

2021年，勒索軟件團(tuán)伙DarkSide攻擊了Colonial Pipeline公司的燃油管道設(shè)施，導(dǎo)致美國(guó)東海岸的燃料供應(yīng)嚴(yán)重中斷，凸顯了勒索軟件攻擊可能對(duì)關(guān)鍵基礎(chǔ)設(shè)施造成的風(fēng)險(xiǎn)，并導(dǎo)致政府部門加大了打擊這一威脅的力度。執(zhí)法部門的高度關(guān)注使得網(wǎng)絡(luò)犯罪論壇的所有者重新考慮他們與勒索軟件團(tuán)伙的關(guān)系，一些論壇禁止發(fā)布勒索軟件攻擊的廣告。隨后DarkSide很快停止攻擊，同年晚些時(shí)候REvil也更為名Sodinokibi，其創(chuàng)建者被起訴，其中一名創(chuàng)始人被捕。REvil是自從2019年以來(lái)最成功的勒索軟件團(tuán)伙之一。

俄烏在2022年2月爆發(fā)沖突，很快使許多勒索軟件團(tuán)伙之間的關(guān)系趨于緊張，這些團(tuán)伙在俄羅斯和烏克蘭以及前蘇聯(lián)國(guó)家都有成員和分支機(jī)構(gòu)。一些勒索軟件團(tuán)伙(例如Conti)急于站隊(duì)，威脅攻擊支持俄羅斯的一些國(guó)家的基礎(chǔ)設(shè)施。這背離了勒索軟件團(tuán)伙通常采取的不涉及政治的做法，這種做法招致了其他勒索軟件團(tuán)伙的批評(píng)。

在此之后，勒索軟件團(tuán)伙Conti內(nèi)部信息泄露也暴露了許多運(yùn)營(yíng)機(jī)密，并引起了團(tuán)伙成員的不安。在一次針對(duì)哥斯達(dá)黎加政府的重大襲擊之后，美國(guó)國(guó)務(wù)院懸賞1000萬(wàn)美元，以獲取有關(guān)Conti團(tuán)伙領(lǐng)導(dǎo)者身份或位置的信息，這導(dǎo)致該團(tuán)伙在今年5月決定解散。

Conti團(tuán)伙的衰落導(dǎo)致勒索軟件攻擊數(shù)量下降了幾個(gè)月，但這并沒(méi)有持續(xù)太久，因?yàn)檫@一空白很快被其他勒索軟件團(tuán)伙填補(bǔ)，其中一些是新成立的團(tuán)伙，而這些團(tuán)伙讓人懷疑是Conti、REvil和其他在過(guò)去兩年停止運(yùn)營(yíng)勒索軟件團(tuán)伙的成員所創(chuàng)建的。

2023年最活躍的勒索軟件團(tuán)伙

(1)LockBit目前處于領(lǐng)先地位

LockBit是在Conti團(tuán)伙解散之后加強(qiáng)運(yùn)營(yíng)的主要勒索軟件團(tuán)伙，該團(tuán)伙通過(guò)修改其勒索軟件應(yīng)用程序并推出新版本進(jìn)行攻擊。盡管該團(tuán)伙自從2019年以來(lái)一直在進(jìn)行攻擊，但直到推出LockBit 3.0，該團(tuán)伙才設(shè)法在勒索軟件威脅領(lǐng)域占據(jù)領(lǐng)先地位。

根據(jù)多家安全機(jī)構(gòu)發(fā)布的調(diào)查報(bào)告，LockBit 3.0在2022年第三季度勒索軟件攻擊事件中攻擊次數(shù)最多，并且是數(shù)據(jù)泄露網(wǎng)站上列出的2022年受害者人數(shù)最多的勒索軟件團(tuán)伙。人們可能會(huì)在2023年看到其衍生產(chǎn)品，因?yàn)長(zhǎng)ockBit代碼被一位心懷不滿的開(kāi)發(fā)者泄露，現(xiàn)在任何人都可以構(gòu)建定制版本的勒索軟件程序。思科Talos團(tuán)隊(duì)表示，一個(gè)名為Bl00dy Gang的勒索軟件團(tuán)伙已經(jīng)開(kāi)始在勒索軟件攻擊中使用泄露的LockBit 3.0生成器。

(2)Hive勒索了一億多美元

根據(jù)思科Talos發(fā)布的數(shù)據(jù)，在2022年，除了LockBit團(tuán)伙之外，聲稱受害者人數(shù)最多的勒索軟件團(tuán)伙是Hive。這是在Talos在2022年的事件響應(yīng)活動(dòng)中觀察到的主要勒索軟件團(tuán)伙，在Palo Alto Networks公司發(fā)布的事件響應(yīng)案例列表中排名第三，僅次于Conti和LockBit。根據(jù)美國(guó)聯(lián)邦調(diào)查局、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)的聯(lián)合咨詢，該團(tuán)伙在2021年6月至2022年11月期間，從全球1300多家公司勒索了一億多美元。

美國(guó)的這些安全機(jī)構(gòu)指出：“眾所周知，Hive團(tuán)伙會(huì)使用勒索軟件或另一種勒索軟件變體重新感染受害者的網(wǎng)絡(luò)，而這些受害者在未支付贖金的情況下恢復(fù)了網(wǎng)絡(luò)?！?/p>

(3)BlackBasta是Conti的衍生產(chǎn)品

根據(jù)思科Talos的觀察，2022年第三大勒索軟件團(tuán)伙是Black Basta，該團(tuán)伙被懷疑是Conti的子公司，在技術(shù)上有一些相似之處。Black Basta于今年4月開(kāi)始運(yùn)營(yíng)，不久之后Conti團(tuán)伙就宣布解散，并迅速開(kāi)發(fā)了自己的工具集。該團(tuán)伙依靠Qbot木馬進(jìn)行傳播，并利用Print Nightmare漏洞進(jìn)行攻擊。

從2022年6月開(kāi)始，該團(tuán)伙還為L(zhǎng)inux系統(tǒng)推出了一種文件加密器，主要針對(duì)VMware ESXi虛擬機(jī)進(jìn)行攻擊。這種跨平臺(tái)擴(kuò)展也出現(xiàn)在其他勒索軟件團(tuán)伙中，如LockBit和Hive，它們都有Linux加密器，或者是用Rust編寫(xiě)的勒索軟件，如ALPHV(BlackCat)，這允許它在多個(gè)操作系統(tǒng)上運(yùn)行。Golang是另一種跨平臺(tái)編程語(yǔ)言和運(yùn)行時(shí)，也被一些規(guī)模較小的勒索軟件團(tuán)伙采用，例如HelloKitty(FiveHands)。

(4)Royal發(fā)展勢(shì)頭強(qiáng)勁

今年早些時(shí)候出現(xiàn)的另一個(gè)被懷疑與Conti有聯(lián)系的勒索軟件團(tuán)伙的名稱為Royal。雖然該團(tuán)伙最初使用了來(lái)自其他團(tuán)伙(包括BlackCat和Zeon)的勒索軟件程序，但該團(tuán)伙開(kāi)發(fā)了自己的文件加密程序，似乎是受到Conti的啟發(fā)或是采用Conti的程序，并得以迅速發(fā)展，在2022年11月攻擊的受害者數(shù)量超過(guò)了LockBit。按照這個(gè)發(fā)展速度，Royal預(yù)計(jì)將成為2023年最大的勒索軟件威脅之一。

(5)Vice Society以教育部門為目標(biāo)

Royal并不是唯一一個(gè)通過(guò)重新利用他人開(kāi)發(fā)的勒索軟件程序而獲得成功的勒索軟件團(tuán)伙。根據(jù)思科Talos在網(wǎng)站上列出的受害者數(shù)量，Vice Society勒索軟件攻擊名列第四。該團(tuán)伙主要針對(duì)教育部門進(jìn)行攻擊，并依賴于現(xiàn)有勒索軟件家族的分支，例如HelloKitty和Zeppelin。

更多的勒索軟件團(tuán)伙對(duì)網(wǎng)絡(luò)安全構(gòu)成挑戰(zhàn)

思科Talos的研究人員表示：“勒索軟件壟斷的終結(jié)給網(wǎng)絡(luò)安全分析人員帶來(lái)了挑戰(zhàn)?！痹赥alos監(jiān)控的數(shù)據(jù)泄露網(wǎng)站上，至少有8個(gè)勒索軟件團(tuán)伙發(fā)布了75%的帖子。由于對(duì)手在多個(gè)勒索軟件即服務(wù)(RaaS)團(tuán)體工作，了解新出現(xiàn)的勒索軟件團(tuán)伙的歸屬變得更加困難?！?/p>

LockBit等一些勒索軟件團(tuán)伙已經(jīng)開(kāi)始引入其他勒索手段，例如DDoS攻擊，迫使受害者支付贖金。這種趨勢(shì)很可能會(huì)在2023年持續(xù)下去，勒索軟件團(tuán)伙預(yù)計(jì)會(huì)提出新的勒索策略，在部署最終勒索軟件之前，對(duì)受害者的勒索攻擊實(shí)現(xiàn)貨幣化。思科Talos與勒索軟件相關(guān)的事件響應(yīng)服務(wù)的調(diào)查有一半處于勒索軟件攻擊之前的階段，這表明企業(yè)在檢測(cè)與勒索軟件前活動(dòng)相關(guān)的戰(zhàn)術(shù)、技術(shù)和程序方面正在變得越來(lái)越好。