勒索軟二十年演變史

（原標題：盤點勒索軟件這二十年）

勒索軟件的“鼻祖”誕生于1989年，當時不法分子使用軟盤和光盤（CD）傳播木馬程序，然后通過社會工程技術向用戶勒索錢財。但是，木馬程序無法加密數據，在那個互聯網的蠻荒時代，攻擊者還沒有找到敲詐之外的其他貨幣化方法。

牛刀小試

但是直到2004年，第一個真正意義上的，能夠加密受害者數據的勒索軟件PGPcoder才出現，PGPcoder更接近我們今天所熟知的勒索軟件的概念。PGPcoder運營團伙主要針對個人用戶，向受害者索要約13美元的贖金——與今天的勒索軟件贖金標準相比，這是微不足道的數字，當今的贖金動輒數千萬美元。然而，PGPcoder并沒有掀起大的風浪，因為它只針對個人，而且由于對當時性能低下的個人電腦的性能產生較大影響，使其很容易被檢測到。

2000年代后期出現了一個新趨勢：攻擊者開始通過鎖定某些操作系統功能來索要贖金。這標志著WinLock時代的到來，同時也締造了今天稱為勒索軟件即服務(RaaS)的模式。操作系統鎖定程序的受歡迎程度持續增長，并在2012年達到頂峰，之后開始下降。它們被臭名昭著的Cryptolocker勒索軟件所取代，導致地下論壇中銷售勒索軟件和RaaS廣告的數量激增。當時，勒索軟件運營商的主要攻擊目標是個人。

值得插播的是，勒索也是過去二十年中DDoS攻擊者從受害者身上賺錢的常用方法，當時由于缺乏內容交付網絡（CDN），網絡服務極易受到DDoS攻擊。 

巨人殺手

勒索軟件歷史的重要轉折點發生在2015年，當時攻擊者的目標從個人轉移到了企業，因為他們意識到從商業角度來看，商業組織，尤其是大型企業，是更有價值的獵物。2018年誕生了最臭名昭著的勒索軟件聯盟計劃之一——GandCrab，根據一些消息來源，該惡意軟件的源代碼構成了REvil木馬的基礎。

GandGrab成為勒索軟件“大型狩獵”活動（Big Game Hunting）的先驅：它為不同的攻擊活動創建了專門的團隊，其中之一是專門攻擊大型企業。勒索軟件行業的另一個結構性轉變是由勒索軟件幫派Snatch和Maze率先推動的“雙重勒索模式”——除了加密公司的數據外，還從受害者的網絡下載數據并在自己的數據泄漏站點上發布。這些網站專門發布有關拒絕以所謂的雙重勒索技術支付數據的受感染組織的數據，被稱為數據泄漏站點(DLS)。數據泄漏站點被廣泛采用，因為這種技術顯著提高了轉換率，即選擇支付贖金的公司的份額。

基于數據泄漏站點的雙重勒索技術的使用，變現容易的勒索軟件在網絡犯罪分子中日益流行，都大大推動了RaaS市場的發展，網絡犯罪正在進入勒索軟件帝國時代。

戰國時代

勒索軟件正在進入強者愈強的戰國時代，根據GroupBI的《2020-2021高科技犯罪趨勢報告》，過去三年業界觀測到至少51個RaaS勒索軟件聯盟計劃。其中一些像LockBit、Hive、SunCrypt或Avaddon發展迅猛，而另一些，例如realOnline Locker、Keystore Locker和Jingo Locker則每況愈下。

從2020年下半年到2021年上半年，地下論壇上至少出現了21個新的RaaS聯盟計劃，與去年同期相比增長了19%。從2019年上半年到2021年下半年，由俄語管理員管理的至少15個暗網論壇上出現了宣傳這些程序的廣告。Darknet forumexploit[.]in是其中最受歡迎的，RAMP和xss.is也進入了前三名。

值得注意的是，在審查期間，在各團體尤其是REvil的大規模攻擊浪潮之后，論壇主禁止在地下論壇上投放廣告聯盟計劃。他們解釋說，傳播勒索軟件引起了對其他黑客活動的過多關注，RAMP是為了響應所謂的不再索要贖金運動而創建的。

新的RaaS聯盟計劃的出現在2020年下半年達到頂峰，當時出現了14個新框架，與2020年前六個月相比增長了75%。但是，新數據泄漏站點出現的速度要快得多：相比之下，Group-IB分析師在2021年檢測到29個新的數據泄漏站點，只有12個新的勒索軟件聯盟程序，這表明許多勒索軟件團伙的程序仍然是私有的。

然而，雙重勒索技術在私人和公共RaaS附屬程序中同樣流行，過去兩年，在數據泄露站點上發布數據的受害者數量猛增。在2020年下半年至2021年上半年，在數據泄漏站點上泄露數據的勒索軟件受害者數量達到2371，與上一個調查周期相比激增了935%。值得注意的是，在2021年的前三個季度，勒索軟件運營商發布的數據（1966家公司）比整個2020年（1335家公司）多47%。

這些統計數據僅部分反映了勒索軟件事件數量增長的速度，而實際數字大約高出一個數量級。勒索軟件Hive聯盟計劃泄漏的數據佐證了這一點，被該團伙泄漏信息的受害者只占受害者總數的13％左右。

根據對數據泄漏站點的進一步分析，2020年，Maze、Egregor、Conti和REvil是最具攻擊性的勒索軟件，而2021年最具攻擊性的五大家族是：Conti、Lockbit、Avaddon、Revil和Pysa（下圖）。

2020-2021年最具攻擊性的勒索軟件

相比2020年，2021年情況有所改變，一些勒索軟件團伙的份額有所下降，小型勒索軟件團體的數量有所增加。Conti成為當之無愧的“勒索之王”，被其在數據泄露站點上“點名”的受害者多達361個。

全球危機

根據Group-IB威脅情報分析師分析的數據泄露站點數據，美國是2020年遭受攻擊最多的國家，其次是加拿大和英國。遭受攻擊最多的前五名國家還包括法國和德國。2020年，受害者最多的地區是北美、歐洲和亞太地區。

這一趨勢保持到了2021年。勒索軟件受害者數量最多的國家排名沒有發生顯著變化，其中法國出現在前三名，而德國則跌至第六位。

2021年在數據泄漏站點上發布的勒索軟件受害者的國家分布

行業方面，2020年勒索軟件運營商最常“光顧”的行業是制造業、房地產和運輸業。2021年這一情況幾乎保持不變。

變與不變

勒索軟件即服務(RaaS)市場迅速擴大，許多出于經濟動機的黑客團體已將重點轉移到勒索軟件攻擊上，這兩個因素都導致此類調查事件數量激增。在2021年第一季度至第三季度，勒索軟件攻擊占Group-IB調查的所有事件的60%以上。然而，盡管這種類型的攻擊迅速增加并且涉及許多不同的網絡犯罪集團，但攻擊者使用的策略、技術和流程存在大量重疊。此外，典型的勒索軟件技術和工具集基本保持不變。

另一個顯著影響勒索軟件攻擊的數量和成功的因素是企業網絡初始訪問憑證代理市場的發展，這使許多攻擊者能夠輕松訪問目標網絡。總的來說，與上一個報告期類似，最常用的初始訪問技術是破壞遠程訪問服務、網絡釣魚和利用面向公眾的應用程序。關于后利用，最常用的攻擊技術是命令和腳本解釋器、遠程服務和遠程系統發現。

勒索軟件市場的當前發展依然處于非壟斷階段，RaaS程序的數量在增長，但范圍在縮小。此外，為了使潛在的起訴過程復雜化，同一個團伙可能會以不同品牌推出眾多RaaS程序。

最后，隨著新參與者的不斷涌入以及RaaS與企業網絡初始訪問憑證經銷商之間的合作更加密切，RaaS造成的總損失可能會繼續增加。

（來源：GoUpSec）