勒索軟件攻擊仍然是許多網(wǎng)絡(luò)犯罪分子的首選，穩(wěn)妥地勒索或大或小的受害者，追求一個(gè)安全、容易和可靠的收益來源。但勒索軟件本身仍在以多種方式發(fā)展演化。例如，新玩家不斷出現(xiàn)，而大牌偶爾會(huì)退出江湖。一些犯罪團(tuán)伙采用復(fù)雜的勒索軟件即服務(wù)的方式，吸引并利用網(wǎng)絡(luò)滲透、談判、惡意軟件開發(fā)等方面的專家。然而，也有許多勒索團(tuán)伙缺乏必要的預(yù)算和人員來有效地實(shí)現(xiàn)更大的目標(biāo)，所以它們只能在外圍運(yùn)作。盡管許多勒索組織都有自己的數(shù)據(jù)泄露網(wǎng)站，但即便是這些網(wǎng)站也面臨運(yùn)營上的挑戰(zhàn)。在網(wǎng)絡(luò)安全公司和國際反勒索聯(lián)盟的共同努力下，外交、經(jīng)濟(jì)、金融、法律等手段多管齊下，勒索軟件攻擊組織的生存空間正在逐步被壓縮。在此背景下，勒索組織生態(tài)系統(tǒng)演化正呈現(xiàn)一些新的變化。

　　隨著勒索軟件攻擊的繼續(xù)，勒索組織整體運(yùn)營生態(tài)系統(tǒng)呈現(xiàn)出如下持續(xù)進(jìn)化的趨勢(shì)。

　　1. 勒索組織的興衰就在一瞬間

　　網(wǎng)絡(luò)安全公司繼續(xù)追蹤勒索軟件攻擊者領(lǐng)域的穩(wěn)定變化，包括新面孔或至少是新名字的涌入。

　　第三季度，出現(xiàn)了Avaddon, Noname，相對(duì)較新的Prometheus和REvil，又名Sodinokibi。但是REvil在9月份又回來了，然后在上個(gè)月又消失了，可能是因?yàn)槭艿綀?zhí)法部門的打擊。

　　思科塔洛斯（Cisco Talos）安全研究員大衛(wèi)·利本伯格和凱特琳·修伊在博客中寫道，第三季度還出現(xiàn)了新玩家，或至少是新名字，包括CryptBD、Grief、Hive、Karma、Thanos和Vice Society。

　　2. 勒索品牌重塑很常見

　　然而，其中一些所謂的新業(yè)務(wù)，可能只是重新命名的現(xiàn)有組織。以第三季度為例，Digital Shadows公司的網(wǎng)絡(luò)威脅情報(bào)分析師伊萬·瑞吉（Ivan Righi）在一份關(guān)于第三季度趨勢(shì)的分析報(bào)告中表示，“SynAck勒索軟件組織將自己更名為‘El_Cometa’，該組織旗下?lián)碛幸粋€(gè)名為‘File Leaks’的數(shù)據(jù)泄露網(wǎng)站。”

　　“DoppelPaymer勒索軟件被發(fā)現(xiàn)可能被重新命名為‘Grief’勒索軟件組織，而Karma勒索軟件組織被認(rèn)為是Nemty勒索軟件組織的重新命名，”他補(bǔ)充道。

　　3.攻擊在許多組織中蔓延

　　思科Talos研究人員表示，無論名稱是什么，第三季度似乎有更多勒索攻擊者實(shí)施了更多的攻擊。他們說，特別是在 Cisco Talos參與調(diào)查的事件響應(yīng)活動(dòng)中，只有Vice Society和REvil出現(xiàn)在不止一次活動(dòng)中，“突顯了新興勒索軟件變體的更大程度的攻擊廣泛性”。

　　而Ryuk勒索，盡管之前很活躍，但Cisco Talos并沒有觀測(cè)到其在已有的攻擊事件中出現(xiàn)。Cisco Talos的Liebenberg和Huey認(rèn)為：“許多安全研究人員認(rèn)為Conti勒索軟件家族是Ryuk的繼任者，這可能解釋了觀察到Ryuk參與勒索活動(dòng)數(shù)量下降的原因?！?/p>

　　這些發(fā)現(xiàn)與其他公司的記錄大體一致。例如，勒索軟件事件響應(yīng)公司 Coveware根據(jù)其在第三季度協(xié)助處理的數(shù)千個(gè)案例，記錄了Conti攻擊的急劇增加和 Ryuk攻擊的減少。因?yàn)樵摴編椭芎φ咛幚聿⒉豢偸枪_的事件，所以它可能是對(duì)野外實(shí)際發(fā)生的事情的更準(zhǔn)確評(píng)估之一。

　　4. 對(duì)勒索軟件運(yùn)營者而言賺大錢并不是那么容易

　　大量勒索軟件組織似乎仍然活躍。例如，就在10月25日，以色列威脅情報(bào)公司Kela報(bào)告稱，11個(gè)勒索組織在其數(shù)據(jù)泄露門戶網(wǎng)站上列出了受害者名單，這個(gè)勒索組織的名單依次為Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing。

　　有些勒索運(yùn)營者賺了大錢。根據(jù)Coveware幫助調(diào)查的數(shù)千起案件，在第三季度，當(dāng)一家企業(yè)、政府機(jī)構(gòu)或任何其他組織選擇支付贖金時(shí)，他們平均支付了14萬美元。雖然這一平均值與第二季度相比保持穩(wěn)定，但報(bào)告指出，在同一時(shí)間段內(nèi)，支付中值增長了50%以上，這表明在拜登政府去年夏天宣布打擊勒索軟件之后，攻擊者開始更多地關(guān)注中小型受害者。

　　但是McAfee的研究員Thibault Seret在一篇博客文章中指出，并不是每一個(gè)“勒索軟件即服務(wù)”的運(yùn)營者都看到了六位數(shù)的贖金支付，甚至更多。

　　“根據(jù)最近的頭條新聞，您可能會(huì)認(rèn)為所有勒索軟件運(yùn)營商每年都通過其邪惡活動(dòng)賺取數(shù)百萬美元，這是情有可原的，”他說?！叭欢?，在有組織的網(wǎng)絡(luò)犯罪團(tuán)伙發(fā)起的每一次大規(guī)模攻擊的陰影下，都可以發(fā)現(xiàn)許多較小規(guī)模的攻擊參與者，他們無法訪問最新的勒索軟件樣本，無法成為后DarkSide RaaS 的附屬機(jī)構(gòu) ，只能以擴(kuò)大其金融影響力以加快發(fā)展?！?/p>

　　5. 惡意軟件泄露給較小的玩家

　　但是規(guī)模較小的勒索軟件運(yùn)營者可以在其他方面具有創(chuàng)新性。例如，Seret 詳細(xì)介紹了6月份Babuk勒索軟件構(gòu)建器的泄漏是如何被一些人利用作為構(gòu)建他們自己的更高級(jí)加密鎖定惡意軟件的構(gòu)建塊。

　　但在另一種情況下，他說，以前與 .NET 勒索軟件Delta Plus相關(guān)的攻擊者只是調(diào)整了Babuk贖金記錄——插入他們（而不是 Babuk）控制的比特幣錢包地址，讓受害者支付贖金——然后用它來瞄準(zhǔn)受害者。他指出，有了這個(gè)新的惡意軟件，盡管只是稍微調(diào)整了一下，攻擊組織開始要求贖金，贖金不是數(shù)百美元，而是數(shù)千美元。

　　最近流行的Delta Plus攻擊（來源：McAfee）

　　6. 泄露被盜數(shù)據(jù)面臨不少挑戰(zhàn)

　　雖然從受害者那里竊取數(shù)據(jù)并威脅泄露是勒索軟件團(tuán)伙普遍采用的策略，但這并不是萬無一失的。但問題是，受害者當(dāng)然仍然可能選擇不付錢——如果攻擊者沒有竊取敏感數(shù)據(jù)，可能會(huì)更嚴(yán)重。此外，數(shù)字陰影（Digital Shadows）的Righi在一篇博客文章中表示，托管數(shù)據(jù)也充滿了挑戰(zhàn)。

　　第三季度，勒索軟件組織在其數(shù)據(jù)泄露網(wǎng)站上列出的受害者人數(shù)。（本文為游戲邦/ gamerboom.com編譯）

　　他表示：“許多勒索軟件組織在管理數(shù)據(jù)泄露網(wǎng)站和在暗網(wǎng)托管數(shù)據(jù)供下載方面遇到了困難?！薄斑@導(dǎo)致一些勒索軟件組織使用公共文件共享網(wǎng)站，如Mega.nz或PrivatLab.com。由于這些服務(wù)托管在清晰的網(wǎng)絡(luò)上，它們經(jīng)常會(huì)被刪除，大多數(shù)下載鏈接會(huì)在一兩天內(nèi)被刪除?！?/p>

　　他指出，另一個(gè)挑戰(zhàn)是暗網(wǎng)站，即只能通過匿名的Tor瀏覽器訪問的網(wǎng)站，其設(shè)計(jì)優(yōu)先考慮隱私而不是性能。因此，瀏覽暗網(wǎng)可能會(huì)很慢，試圖下載泄露的數(shù)據(jù)可能會(huì)讓人沮喪。

　　至少，XSS俄語網(wǎng)絡(luò)犯罪論壇的許多用戶在試圖下載Clop勒索軟件三月份泄露的數(shù)據(jù)時(shí)是這么說的，這些數(shù)據(jù)是從安全公司Qualys那里竊取的。

　　“下載速度如此之慢，以至于一些用戶聲稱他們花了近一周的時(shí)間才下載到第一個(gè)數(shù)據(jù)集，而據(jù)報(bào)道，其他用戶放棄了，”Righi說。

　　數(shù)據(jù)泄露網(wǎng)站和支付門戶網(wǎng)站的托管也使它們成為執(zhí)法機(jī)構(gòu)的目標(biāo)。REvil似乎發(fā)生了什么事，當(dāng)管理員啟動(dòng)操作的Tor-based網(wǎng)站，卻發(fā)現(xiàn)別人——也許前管理員，也許一位執(zhí)法官員，也許——也都設(shè)置的副本文件，允許他們劫持REvil Tor的網(wǎng)站。

　　（Q3 2021勒索受者行業(yè)排行）

　　7. 運(yùn)營者面臨暴露的風(fēng)險(xiǎn)

　　一些勒索軟件運(yùn)營似乎特別賺錢，部分原因是一些受害者支付了價(jià)值數(shù)百萬美元的加密貨幣贖金。

　　最近，德國周報(bào)《Die Zeit》報(bào)道稱，德國警方認(rèn)為他們已經(jīng)確認(rèn)了REvil的一名疑似領(lǐng)導(dǎo)人，他自稱是比特幣企業(yè)家，名叫“Nikolay k”?！@不是他的真名——部分原因是追蹤了與GandCrab攻擊有關(guān)的加密貨幣，GandCrab是REvil的前身。據(jù)報(bào)道，警方在跟蹤了據(jù)信是2019年受害者之一斯圖加特國家劇院支付給GandCrab的價(jià)值1.7萬美元的加密貨幣后確定了他的身份，并發(fā)現(xiàn)它與 Nikolay K的一個(gè)電子郵件賬戶有關(guān)。

　　據(jù)《Die Zeit》報(bào)道，如果他是REvil的管理人員，這將有助于解釋他的妻子在社交媒體上記錄的奢華生活方式，包括游艇度假，手腕上戴著豪華Vanguard Encrypto手表，車道上停著一輛高端寶馬。

　　但是，受勒索軟件驅(qū)動(dòng)的生活方式和保持匿名的嘗試也可能對(duì)從業(yè)者造成損害。

　　例如，10月22日，Groove勒索軟件的管理員（網(wǎng)名為Orange）在Groove的數(shù)據(jù)泄露網(wǎng)站上發(fā)布了一條消息，稱整個(gè)行動(dòng)是一場(chǎng)旨在挑戰(zhàn)西方媒體的實(shí)驗(yàn)。他還用TetyaSluha和boriselcin來形容俄羅斯首任當(dāng)選總統(tǒng)葉利欽。這則消息是由boriselcin在XSS網(wǎng)絡(luò)犯罪論壇上發(fā)布的。

　　他的帖子“聲稱沒有Groove團(tuán)伙這樣的東西，整個(gè)事件的背后是一個(gè)人，他與許多勒索軟件附屬程序合作，包括BlackMatter、LockBit等，”Kela的威脅研究主管維多利亞·基維列維奇（Victoria Kivilevich）告訴信息安全媒體集團(tuán)?！白髡呗暦Q，他被要求寫一篇關(guān)于大眾媒體操縱的文章，Groove網(wǎng)站就是為此而創(chuàng)建的。”

　　McAfee Enterprise高級(jí)威脅研究（Advanced Threat Research）首席工程師、網(wǎng)絡(luò)調(diào)查主管約翰？?？耍↗ohn Fokker）建議，對(duì)所有刑事指控都要抱有強(qiáng)烈的懷疑態(tài)度?！安还蹽roove是不是惡作劇，他們或他都與多個(gè)漏洞有關(guān)。所以這對(duì)受害者來說絕對(duì)不是一個(gè)騙局，”他說。

　　一些勒索軟件頭目傾向于通過在俄語網(wǎng)絡(luò)犯罪論壇發(fā)帖發(fā)泄情緒，而不是簡單地拿了錢然后悄悄退出，這也表明，他們承受著越來越大的壓力，要保持行動(dòng)的節(jié)奏，如果不能保持匿名的話。?？苏f：“我認(rèn)為這種情緒確實(shí)在高漲，如果執(zhí)法部門開始打擊，我們可以預(yù)期更多的這種情緒爆發(fā)。