2023年最危險的勒索軟件五大家族

2022年勒索軟件生態系統發生了重大變化，從少數大型勒索組織主導轉向碎片化的勒索軟件即服務（RaaS）運營模式，以尋求更大的靈活性并減少執法部門的關注。勒索軟件的這種“民主化”對企業來說是個壞消息，因為這意味著勒索軟件策略、技術和程序（TTP）的多樣化，企業需要跟蹤更多的危害指標（IOC），在嘗試談判或支付贖金時也面臨更多障礙。

思科Talos團隊的研究人員在其年度報告中指出：“勒索軟件生態的碎片化趨勢至少可以追溯到2021年中期，執法部門突襲并瓦解了風頭正勁的勒索軟件組織REvil和攻擊殖民地管道的DarkSide。”

2022，諸魔的黃昏

自2019年以來，勒索軟件生態一直由大型專業化勒索軟件組織主導，這些組織頻頻登上媒體的新聞頭條，甚至主動尋求媒體關注向受害者施壓。有些勒索軟件組織還有自己的市場營銷部門和“新聞發言人”，接受記者采訪或在Twitter上發布“新聞稿”，他們還有自己的“官方”數據泄露網站用以披露重大數據泄露事件并威脅受害者。

2021年DarkSide針對殖民地管道的攻擊導致美國東海岸發生重大燃料供應中斷，表明勒索軟件攻擊已經成為關鍵基礎設施的重大風險，并促使各國政府加大打擊力度，地下網絡犯罪論壇紛紛與勒索軟件組織撇清關系，一些論壇甚至禁止宣傳此類威脅。此后不久，DarkSide迫于壓力停止運營，并于當年晚些時候由REvil（也稱為Sodinokibi）接替，后者是2019年以來最成功的勒索軟件組織之一。但REvil的開發者也被起訴，其中一人甚至被捕。

2022年2月爆發的俄烏戰爭也對勒索軟件生態系統產生了重大影響。許多在俄羅斯、烏克蘭或其他前蘇聯國家擁有成員和附屬機構的勒索軟件組織之間的關系開始變得緊張。Conti等勒索軟件組織急于在戰爭中站隊，威脅要攻擊西方基礎設施以支持俄羅斯。這與勒索軟件組織一貫秉持的“悶聲發財，不問政事”的行規背道而馳，招來其他勒索軟件組織的猛烈抨擊。

隨后不久，Conti內部通信信息泄露，暴露了Conti的大量運營機密，并引起了其眾多加盟組織的不安。在哥斯達黎加政府遭到重大襲擊后，美國國務院懸賞1000萬美元，以獲取Conti領導人的身份或位置信息，這導致該組織決定在5月關閉業務。

Conti的“失聯”導致全球重大勒索軟件攻擊活動在隨后的數月內下降，但這種情況并沒有持續多久，因為Conti的空白很快就被其他新成立的勒索軟件組織填補了，業界懷疑這些改頭換面的新組織是Conti、REvil和其他過去兩年休眠的勒索軟件組織的前成員創辦的。

2023，“五大家族”值得關注

雖然勒索軟件即服務（RaaS）的“民主化”和碎片化趨勢已經不可逆轉，但是在勒索軟件去中心化的背后，一些最危險的勒索軟件組織依然是關鍵目標和重大數據泄露事件的幕后黑手，以下是2023年值得關注的勒索軟件“五大家族”：

LockBit：一馬當先

LockBit是在Conti關閉后通過改進Conti的聯盟計劃以及軟件版本來加強其運營的主要勒索軟件組織。盡管LockBit自2019年以來一直在運行，但直到LockBit3.0，該組織才成為勒索軟件生態的領頭羊。

根據多家安全公司的報告，LockBit3.0是2022年第三季度勒索軟件事件中使用數量最多的勒索軟件，其數據泄露網站全年公布的受害者數量也最多。2023年LockBit很可能會衍生出新的版本，因為此前LockBit的開發工具被一位心懷不滿的前開發人員泄露了。現在，任何人都可用泄露的LockBit開發工具開發自己的勒索軟件版本。根據Talos的報告，一個名為Bl00dy Gang的新勒索軟件組織已經在最近的攻擊中開始使用泄露的LockBit3.0開發工具。

Hive：勒索超過1億美元

根據Talos的數據，在LockBit之后，2022年受害者數量排名第二的勒索軟件組織是Hive。后者是2022年Talos事件響應團隊監測到的主要勒索軟件，在Palo Alto Networks的事件響應案例列表中排名第三，僅次于Conti和LockBit。根據美國聯邦調查局、網絡安全和基礎設施安全局（CISA）和美國衛生與公眾服務部（HHS）的聯合調查，Hive在2021年6月至2022年11月期間從全球1300多家公司勒索了超過1億美元。

根據調查，對于沒有支付贖金的企業，Hive組織會嘗試用Hive勒索軟件或其他勒索軟件變種重新感染其網絡。

Black Basta：Conti的變種

2022年第三多產的勒索軟件團伙是Black Basta，該組織被懷疑是Conti的衍生組織，技術方面有一些相似之處。Black Basta于2022年4月開始運營，就在Conti關閉前不久，并迅速開發了自己的工具集。該組織依托Qbot木馬進行分發，并會利用PrintNightmare漏洞。

從六月開始，Black Basta還推出了用于Linux系統的文件加密器，主要針對VMware ESXi虛擬機。這種跨平臺擴展趨勢也出現在其他勒索軟件組織中，如LockBit和Hive，兩者都開始提供Linux加密器，或者用Rust編寫的ALPHV（BlackCat）等勒索軟件，支持在多個操作系統上運行。Golang是另一種得到勒索軟件組織青睞的跨平臺編程語言，被一些小型勒索軟件團伙采用，例如HelloKitty（FiveHands）。

Royal：勢頭強勁

2022年誕生的另一個可能與Conti有關聯的勒索組織是Royal。雖然它最初使用來自其他組織（包括BlackCat和Zeon）的勒索軟件程序，但該組織開發了自己的文件加密器，該加密器似乎是受Conti啟發或基于Conti，發展迅猛，在11月的受害者人數上領先于LockBit。按照這個速度，Royal預計將成為2023年最大的勒索軟件威脅之一。

Vice Society：主要針對教育行業

Royal并不是唯一一個通過重用第三方勒索軟件取得成功的勒索軟件組織。根據Talos的數據泄露網站受害者數量統計報告，一個名為Vice Society的組織已經成長為第四大勒索軟件組織。該組織主要針對教育行業，攻擊時使用的是第三方勒索軟件程序（如HelloKitty和Zeppelin）的衍生版本。

總結：

2023年勒索軟件給威脅情報帶來新挑戰

“勒索軟件壟斷格局的終結給威脅情報分析師帶來了挑戰，”思科Talos研究人員表示：“Talos主動監控的數據泄露站點披露事件數量的75%來自至少八個勒索軟件組織。新組織的涌現使溯源變得困難，因為對手可能會在多個RaaS平臺間穿梭。”

此外，LockBit等一些勒索軟件組織已經開始積極嘗試其他“不加密”勒索方法，例如DDoS攻擊，以迫使受害者支付贖金。這種趨勢可能會在2023年繼續下去。勒索軟件組織還可能會采用其他新的勒索策略，例如在部署最終勒索軟件有效載荷之前，就預先將攻擊貨幣化。