勒索軟件作為一種重要的威脅媒介，每年都會給企業(yè)組織和基礎設施運營商造成數(shù)十億美元的損失。這些威脅的背后往往是一些專業(yè)的勒索軟件團伙，他們有些會直接攻擊受害者，而另一些則運營流行的勒索軟件即服務（Ransomware-as-a-Service、RaaS）模式，讓第三方團伙（affiliates）去完成勒索活動，并從中收益分成。

　　隨著勒索軟件威脅不斷加劇，了解這些勒索團伙及其運作方式是提前阻止勒索攻擊的一種有效方式。以下梳理了目前最活躍的5個非法勒索軟件組織：

　　01 Conti

　　Conti是一個臭名昭著的勒索軟件團伙，從2018年開始長期霸占著媒體相關安全事件報道中的頭條。它經常性地使用“雙重勒索”方法，這意味著該組織不僅會勒索贖金，還會泄露被攻擊企業(yè)的敏感數(shù)據(jù)。它甚至還專門運營了一個泄密網站Conti News來發(fā)布被盜數(shù)據(jù)信息。

　　Conti與其他勒索軟件組織的不同之處在于其活動缺乏道德限制，曾多次針對教育和醫(yī)療保健部門發(fā)起攻擊，并要求受害組織支付數(shù)百萬美元的贖金。

　　Conti勒索軟件組織長期以來一直以關鍵公共基礎設施為目標，例如醫(yī)療、保健、能源、IT和農業(yè)等，代表性事件包括入侵印度尼西亞中央銀行、襲擊了國際碼頭運營商SEA-invest、攻擊布勞沃德縣公立學校。最具代表性的是，哥斯達黎加總統(tǒng)在Conti襲擊多個政府機構后宣布進入“國家緊急狀態(tài)”。

　　02 DarkSide

　　DarkSide勒索軟件組織遵循RaaS模式，以大型企業(yè)為目標勒索資金。這一過程主要通過獲取對目標企業(yè)網絡的訪問權限并加密網絡上的所有文件來實現(xiàn)。關于DarkSide勒索軟件組織的起源有幾種不同的看法。一些分析人士認為，它的總部設在東歐的某個地方，但也有人認為該組織在多個國家均有分布，包括西亞和歐洲其它地區(qū)。

　　DarkSide組織聲稱自己有底線：從不針對學校、醫(yī)院、政府機構和任何影響公眾的基礎設施實施攻擊活動。然而在2021年5月，DarkSide針對Colonial Pipeline發(fā)起了攻擊并索要500萬美元的贖金。這是美國歷史上對石油基礎設施的最大網絡攻擊，擾亂了17個州的汽油和航空燃料供應。該事件引發(fā)了關于關鍵基礎設施安全性，以及政府和公司應該如何更加努力地保護它們的討論。

　　事情發(fā)生后，DarkSide組織解釋稱是有第三方團隊利用其勒索工具發(fā)起的攻擊，并在美國政府的巨大施壓下，該組織一度關閉了其業(yè)務。但最近的觀察發(fā)現(xiàn)，DarkSide或已改頭換面，卷土重來。

　　03 DoppelPaymer

　　DoppelPaymer勒索軟件團伙和2019年出現(xiàn)的BitPaymer勒索軟件團伙一脈相承，它主要通過RDP暴力破解和垃圾郵件進行傳播，郵件附件中帶有一個自解壓文件，運行后釋放勒索軟件程序并執(zhí)行。

　　DoppelPaymer組織遵循“雙重勒索”勒索軟件模式，主要以北美地區(qū)的組織機構為攻擊目標。在DarkSide勒索軟件攻擊美國最大的燃料管道運營商之一Colonial Pipeline大約一周后，DoppelPaymer的活動頻率也一度降低，但分析人士認為，該組織將自己重新命名為Grief組織，因為兩者具有相同的加密文件格式并使用相同的分發(fā)渠道，即Dridex僵尸網絡。

　　DopplePaymer經常針對石油公司、汽車制造商以及醫(yī)療保健、教育和急救服務等關鍵行業(yè)。而它也是首個致人死亡的勒索軟件組織，據(jù)報道，在一次勒索攻擊活動中，因DopplePaymer鎖定通訊系統(tǒng)導致急救服務人員無法與醫(yī)院溝通，最終耽誤了對患者的救治。該組織的代表性勒索攻擊活動還包括發(fā)布喬治亞州霍爾縣選民信息、破壞起亞汽車美國公司面向客戶的系統(tǒng)等。

　　04 LockBit

　　由于執(zhí)法部門的持續(xù)性打擊，一些傳統(tǒng)勒索軟件團體開始衰落，LockBit成為最新活躍的勒索軟件團伙之一。自2019年首次亮相以來，LockBit保持了快速發(fā)展的趨勢，并不斷增強其攻擊能力和策略。

　　LockBit最初是一個低調的團伙，但隨著2021年底LockBit 2.0勒索軟件的推出而廣為人知。該組織遵循RaaS模式，并采用“雙重勒索”策略來敲詐受害者。數(shù)據(jù)顯示，2022年5月發(fā)生的勒索軟件攻擊中，40%以上和LockBit有關，其主要攻擊目標主要為美國、印度和歐洲地區(qū)的組織。

　　今年早些時候，LockBit針對法國電子跨國公司泰雷茲集團發(fā)起攻擊，它還入侵了法國司法部并加密了他們的文件。最近，該組織又聲稱已經入侵了意大利稅務機構并竊取了100GB的數(shù)據(jù)。

　　05 REvil

　　REvil勒索軟件組織，又名Sodinokibi，于2019年4月首次出現(xiàn)。它被西方國家認為是與俄羅斯政府機構有密切關聯(lián)的勒索軟件組織，因此具有極強的勒索攻擊能力。鑒于其強悍的技術實力和系統(tǒng)化的攻擊手段，該組織在發(fā)現(xiàn)之初便吸引了網絡安全專業(yè)人士的注意。

　　2021年3月，REvil攻擊了電子和硬件公司Acer，并破壞了其服務器。一個月后，該組織對蘋果供應商廣達電腦（Quanta Computers）公司進行了攻擊。之后，REvil勒索軟件組織陸續(xù)針對JBS Foods、Invenergy、Kaseya等著名企業(yè)進行攻擊，結果導致數(shù)家公司被迫暫停業(yè)務，其中針對Kaseya的攻擊事件更是直接影響了全球1,500多家企業(yè)。

　　據(jù)媒體報道，俄羅斯執(zhí)法部門于2022年1月逮捕了該團隊的多名核心成員，并沒收了價值數(shù)百萬美元的資產。自2022年4月，REvil勒索軟件團伙又出現(xiàn)恢復運行的跡象。

更多信息可以來這里獲取==>>電子技術應用-AET<<