當前，勒索軟件攻擊正在以多種方式持續(xù)演進。例如：越來越多的新玩家“入場”，許多傳統(tǒng)玩家偶爾會“退場”；一些團伙正在運行復雜的“勒索軟件即服務”（RaaS）操作，并挖角網絡滲透、談判、惡意軟件開發(fā)等方面的專家；有些團伙由于缺乏足夠的預算和人手，只能繼續(xù)在外圍運作等。隨著勒索軟件攻擊的持續(xù)演進，其生態(tài)系統(tǒng)呈現(xiàn)出以下7種趨勢。

　　01

　　參與者整體維持平衡

　　勒索軟件攻擊領域的參與者整體維持平衡——老牌玩家退場，往往伴隨著新玩家入場。以今年第三季度為例，走向衰落的群體有 Avaddon、Noname等，而相對較新的玩家有 Prometheus、REvil（又名Sodinokibi）、CryptBD、Grief、Hive、Karma、Thanos 以及 Vice Society 等。不過，9月份重新回歸的 REvil，上個月再度消失，這可能與執(zhí)法部門的取締活動有關。

　　02

　　結構重組愈發(fā)普遍

　　一些所謂的“新玩家”很可能只是改頭換面的老牌玩家。例如，在2021年第三季度，SynAck 勒索軟件組織托管了一個名為“File Leaks”的數(shù)據泄露網站，并將自己更名為“El_Cometa”。此外，DoppelPaymer 可能已更名為“Grief”勒索軟件組織，Karma 很有可能是 Nemty 勒索團伙的新名稱。

　　03

　　攻擊活動的參與群體日益增多

　　Cisco Talos研究人員表示，不管名稱如何變，2021年第三季度似乎有更多玩家參與了更多攻擊活動。特別是在Cisco Talos開展的事件響應活動中，只有Vice Society和REvil出現(xiàn)在多起攻擊活動中，這表明新興勒索軟件團伙更加“民主化”，攻擊活動的參與群體日益增多。

　　不過奇怪的是，之前多產的Ryuk并未出現(xiàn)在Cisco Talos視線中。許多研究人員認為Conti勒索軟件家族是Ryuk的繼任者，這可能正是Ryuk活動量下降的原因所在。勒索軟件事件響應公司Coveware證實了這一結論，該公司稱在其第三季度協(xié)助處理的數(shù)千個案例中，Conti攻擊量急劇增加而Ryuk攻擊量大幅減少。

　　2021年第三季度攻擊中出現(xiàn)的Top10勒索軟件名稱及市場份額（來源：Coveware）

　　04

　　并非所有勒索軟件運營商都賺得“盆滿缽滿”

　　目前，似乎仍然有大量勒索軟件組織十分活躍。例如，以色列威脅情報公司Kela報告稱，自10月25日以來，已有11個組織——Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing等在其數(shù)據泄露門戶網站列出了受害者信息。有些勒索軟件組織正賺得“盆滿缽滿”，Coveware發(fā)布的數(shù)據顯示，在2021年第三季度，企業(yè)、政府機構或其他受害組織平均支付了140,000美元贖金。

　　但 McAfee 研究員 Thibault Seret 指出，并非每個勒索軟件即服務操作都能得到六位數(shù)或更多贖金回報。他表示，“根據最近的頭條新聞，您可能會認為所有勒索軟件運營商每年都能從其邪惡活動中攫取數(shù)百萬美元。不過事實是，在大型犯罪團伙的陰影之下，還有許多較小的參與者，他們無法獲取最新的勒索軟件樣本，沒能力成為‘后DarkSide RaaS世界’中的附屬公司，也沒有快速發(fā)展的金融影響力?！?/p>

　　05

　　惡意軟件泄露養(yǎng)活了小型玩家

　　小型玩家可以在其他方面發(fā)揮創(chuàng)新能力。例如，今年6月份泄露的Babuk勒索軟件構建器就被一些小型玩家使用，構建其更高級的加密鎖定惡意軟件。在另一案例中，攻擊者只是簡單地調整了Babuk贖金記錄——插入其控制的比特幣錢包地址，用它瞄準受害者，并索要數(shù)千美元贖金。

　　06

　　泄露被盜數(shù)據也充滿挑戰(zhàn)

　　雖然“從受害者那里竊取數(shù)據，并威脅其泄露數(shù)據以達到目的”是勒索團伙廣泛采用的策略，但它并非萬無一失。關鍵挑戰(zhàn)在于，受害者可能還是會選擇不付款，如果攻擊者并未竊取敏感數(shù)據，可能情況更是如此。

　　第三季度勒索軟件組織在其數(shù)據泄露站點上列出的受害者數(shù)量（來源：Digital Shadows）

　　許多勒索軟件團伙在管理數(shù)據泄漏站點，以及在暗網上托管數(shù)據以供下載時都會遇到困難，這導致一些勒索軟件團體使用公共文件共享網站（例如Mega[.]nz或PrivatLab[.]com）公開數(shù)據。由于這些服務托管在明網上，它們通常會被刪除，并且大多數(shù)下載鏈接會在一兩天內被刪除。

　　由于暗網是只能通過匿名Tor瀏覽器訪問的網站，它優(yōu)先考慮的是隱私而非性能，因此，想在暗網中下載泄露的數(shù)據就會變得比較困難。XSS俄語網絡犯罪論壇的許多用戶就曾報告稱，當他們嘗試下載Clop竊取的數(shù)據時，就遭遇了下載速度緩慢的問題。有些用戶聲稱花了將近一周的時間才下載完成第一個數(shù)據集，有些用戶甚至直接放棄了下載。

　　托管數(shù)據泄漏站點和支付門戶也會使它們更易成為執(zhí)法機構的目標。REvil勒索軟件運營商就遇到了這種情況。當管理員重新啟動其基于Tor的站點時，卻發(fā)現(xiàn)其他人（可能是前管理員，也可能是執(zhí)法官員，也許兩者兼有）也有安裝文件的副本，允許他們劫持REvil的Tor站點。

　　07

　　運營商風險暴露

　　一些勒索團伙的收入似乎格外高，部分原因是受害者支付了價值數(shù)百萬美元的加密貨幣贖金，執(zhí)法機構按圖索驥，很有可能找到勒索團伙的成員。

　　據德國周報Die Zeit報道稱，德國警方已經確定了REvil團伙的一名疑似領導人——一名自稱“Nikolay K.”（非真名）的比特幣企業(yè)家。據了解，警方在追蹤GandCrab受害者之一斯圖加特國家劇院（于2019年向GandCrab支付了價值17,000美元的加密貨幣）時，發(fā)現(xiàn)加密貨幣與Nikolay K.使用的電子郵件帳戶存在關聯(lián)，便成功鎖定了他。

　　勒索軟件驅動的生活方式和試圖保持匿名的模式也可能對從業(yè)者造成傷害。例如，一些勒索軟件的頭目傾向于通過在俄語網絡犯罪論壇上發(fā)帖來發(fā)泄情緒，而非簡單地獲取收益后悄然離場。這表明為了保持運營節(jié)奏和匿名性，他們確實承擔著越來越大的壓力。這種情緒已經瀕臨崩潰，如果執(zhí)法部門持續(xù)打擊，未來一定會出現(xiàn)更多情緒的大爆發(fā)。