隨著全球新冠病毒大流行，世界各地的經(jīng)濟處于崩潰的邊緣，失業(yè)率攀升。然而，勒索軟件由于其匿名性和暴力性，導(dǎo)致一些使用勒索軟件進行分發(fā)斂財?shù)膱F隊愈發(fā)增多。

　　2020年以來，這些制造勒索軟件的服務(wù)商，以及從這些服務(wù)商購置勒索軟件用于投遞給受害者的攻擊者（會員），二者配合，外加服務(wù)商提供的恐嚇勒索之?dāng)?shù)據(jù)曝光服務(wù)，讓世界各地公司，政府，學(xué)校等等機構(gòu)深惡痛疾。

　　但勒索軟件也并不是不能醫(yī)治，如果殺毒軟件廠商及時更新勒索軟件特征，用戶及時更新殺毒軟件，便能在一定程度上降低系統(tǒng)被殺毒軟件加密的概率，下面黑鳥就來給大家看一下2020年以來活躍的提供勒索軟件使用服務(wù)團伙，也就是我們平常說的勒索軟件即服務(wù)（RaaS）。

　　如下面的表格顯示，一般有博客的團伙都會使用恐嚇方法，即將加密公司系統(tǒng)前的數(shù)據(jù)，發(fā)布在博客上，從而要挾公司趕緊交贖金。

　　新成立的Raas團伙：

　　勒索市場的中堅力量：

　　勒索軟件市場的最強力量：

　　DopplePaymer

　　自2019年以來，DoppelPaymer，由前BitPaymer（FriedEx）勒索軟件成員組成。勒索軟件本身通常是在拷貝敏感數(shù)據(jù)后，再手動部署。DoppelPaymer團隊運營著一個基于Tor的博客，該博客用于發(fā)布有關(guān)受感染公司及其被盜數(shù)據(jù)的信息。

　　Egregor/Maze

　　目前Maze（迷宮）勒索軟件服務(wù)幕后團伙已經(jīng)宣布將關(guān)閉其運營。然而，有分析人員指出Maze的成員或者會員已經(jīng)融入Egregor勒索軟件背后的服務(wù)中。

　　Egregor在操作中遵循一種熟悉的模式：破壞公司網(wǎng)絡(luò)以竊取敏感數(shù)據(jù)并部署勒索軟件，與受害者進行通信并索取贖金，然后在受害者組織拒絕支付贖金時將敏感數(shù)據(jù)轉(zhuǎn)儲到博客中。

　　有證據(jù)表明，Egregor也與Sekhmet勒索軟件有關(guān)。Egregor包含與Sekhmet相同的Base64編碼數(shù)據(jù)，其中最后一行包含來自受感染系統(tǒng)的其他參數(shù)。研究人員還發(fā)現(xiàn)，Egregor贖金記錄與Sekhmet所使用的記錄極為相似。

　　Netwalker

　　NetWalker最早在2019年9月被發(fā)現(xiàn)，背后的攻擊者在2020年使用了釣魚郵件攻擊，這些郵件利用了對疫情大流行的影響和恐懼來誘使受害者將惡意軟件安裝到系統(tǒng)中。5月，運營商啟動了一個基于Tor的博客，以發(fā)布從受害者組織那里偷來的敏感數(shù)據(jù)，這些組織拒絕支付所要求的贖金。

　　NetWalker的會員使用了無文件感染技術(shù)，據(jù)稱可以繞過Windows 7和更新版本操作系統(tǒng)的用戶帳戶控制組件。NetWalker可以在兩種模式下操作：在網(wǎng)絡(luò)模式下，可以對單個計算機或整個網(wǎng)絡(luò)的計算機進行勒索，而受害者可以購買具有主密鑰的解密工具或購買必要的密鑰以對所有網(wǎng)絡(luò)中的計算機進行解密。在個人模式下，一次贖金僅解密一臺計算機。

　　REvil/Sodinokibi

　　REvil是市場上最普遍的勒索軟件變體之一，首次部署于2019年4月17日，攻擊者利用了Oracle WebLogic服務(wù)器中的漏洞CVE-2019-2725。兩個月后，XSS論壇上開始出現(xiàn)售賣勒索軟件服務(wù)的廣告。

　　該組織攻擊方法，最常見采用遠程桌面協(xié)議（RDP）漏洞，例如 BlueGate漏洞，該漏洞允許授權(quán)用戶遠程執(zhí)行代碼。此外還有通過Citrix 和 Pulse Secure VPN漏洞進行遠程代碼攻擊。據(jù)稱攻擊者在大約三分鐘內(nèi)就可以訪問整個網(wǎng)絡(luò)。

　　REvil的會員負(fù)責(zé)攻擊和訪問目標(biāo)網(wǎng)絡(luò)，下載有價值的文件并部署實際的勒索軟件，而REvil團伙則負(fù)責(zé)受害者談判以及勒索，勒索贖金和分發(fā)。這種模式顯然導(dǎo)致了利潤的飛漲：根據(jù)REvil的說法，一個會員的收入從每個目標(biāo)約20,000美元增加到30,000美元，而另一家RaaS提供的收益在與REvil聯(lián)手后僅六個月內(nèi)就達到了每個目標(biāo)約700萬美元至800萬美元。

　　Ryuk

　　Ryuk勒索軟件，是一個通過使用Trickbot僵尸網(wǎng)絡(luò)和Emotet惡意軟件進行最后階段分發(fā)的勒索軟件。

　　Ryuk的會員在攻擊中遵循一種模式：雇用黑客發(fā)起釣魚郵件活動，以傳播黑客的銀行惡意軟件。然后，另一組黑客在公司網(wǎng)絡(luò)內(nèi)進行提升權(quán)限并部署勒索軟件。

　　2020年以來，Ryuk勒索軟件爆炸式增長，全球數(shù)百萬起勒索軟件事件中都有它的影子。一些安全研究人員估計，在今年發(fā)起的勒索軟件攻擊中，有多達三分之一發(fā)現(xiàn)了Ryuk。

　　Ryuk今年一直集中針對醫(yī)療保健領(lǐng)域進行勒索攻擊，曾針對美國最大的醫(yī)院系統(tǒng)：全民健康服務(wù)公司進行勒索。