勒索軟件作為一種重要的威脅媒介，每年都會給企業(yè)組織和基礎(chǔ)設(shè)施運(yùn)營商造成數(shù)十億美元的損失。這些威脅的背后往往是一些專業(yè)的勒索軟件團(tuán)伙，他們有些會直接攻擊受害者，而另一些則運(yùn)營流行的勒索軟件即服務(wù)（Ransomware-as-a-Service、RaaS）模式，讓第三方團(tuán)伙（affiliates）去完成勒索活動，并從中收益分成。

　　隨著勒索軟件威脅不斷加劇，了解這些勒索團(tuán)伙及其運(yùn)作方式是提前阻止勒索攻擊的一種有效方式。以下梳理了目前最活躍的5個非法勒索軟件組織：

　　01 Conti

　　Conti是一個臭名昭著的勒索軟件團(tuán)伙，從2018年開始長期霸占著媒體相關(guān)安全事件報道中的頭條。它經(jīng)常性地使用“雙重勒索”方法，這意味著該組織不僅會勒索贖金，還會泄露被攻擊企業(yè)的敏感數(shù)據(jù)。它甚至還專門運(yùn)營了一個泄密網(wǎng)站Conti News來發(fā)布被盜數(shù)據(jù)信息。

　　Conti與其他勒索軟件組織的不同之處在于其活動缺乏道德限制，曾多次針對教育和醫(yī)療保健部門發(fā)起攻擊，并要求受害組織支付數(shù)百萬美元的贖金。

　　Conti勒索軟件組織長期以來一直以關(guān)鍵公共基礎(chǔ)設(shè)施為目標(biāo)，例如醫(yī)療、保健、能源、IT和農(nóng)業(yè)等，代表性事件包括入侵印度尼西亞中央銀行、襲擊了國際碼頭運(yùn)營商SEA-invest、攻擊布勞沃德縣公立學(xué)校。最具代表性的是，哥斯達(dá)黎加總統(tǒng)在Conti襲擊多個政府機(jī)構(gòu)后宣布進(jìn)入“國家緊急狀態(tài)”。

　　02 DarkSide

　　DarkSide勒索軟件組織遵循RaaS模式，以大型企業(yè)為目標(biāo)勒索資金。這一過程主要通過獲取對目標(biāo)企業(yè)網(wǎng)絡(luò)的訪問權(quán)限并加密網(wǎng)絡(luò)上的所有文件來實(shí)現(xiàn)。關(guān)于DarkSide勒索軟件組織的起源有幾種不同的看法。一些分析人士認(rèn)為，它的總部設(shè)在東歐的某個地方，但也有人認(rèn)為該組織在多個國家均有分布，包括西亞和歐洲其它地區(qū)。

　　DarkSide組織聲稱自己有底線：從不針對學(xué)校、醫(yī)院、政府機(jī)構(gòu)和任何影響公眾的基礎(chǔ)設(shè)施實(shí)施攻擊活動。然而在2021年5月，DarkSide針對Colonial Pipeline發(fā)起了攻擊并索要500萬美元的贖金。這是美國歷史上對石油基礎(chǔ)設(shè)施的最大網(wǎng)絡(luò)攻擊，擾亂了17個州的汽油和航空燃料供應(yīng)。該事件引發(fā)了關(guān)于關(guān)鍵基礎(chǔ)設(shè)施安全性，以及政府和公司應(yīng)該如何更加努力地保護(hù)它們的討論。

　　事情發(fā)生后，DarkSide組織解釋稱是有第三方團(tuán)隊利用其勒索工具發(fā)起的攻擊，并在美國政府的巨大施壓下，該組織一度關(guān)閉了其業(yè)務(wù)。但最近的觀察發(fā)現(xiàn)，DarkSide或已改頭換面，卷土重來。

　　03 DoppelPaymer

　　DoppelPaymer勒索軟件團(tuán)伙和2019年出現(xiàn)的BitPaymer勒索軟件團(tuán)伙一脈相承，它主要通過RDP暴力破解和垃圾郵件進(jìn)行傳播，郵件附件中帶有一個自解壓文件，運(yùn)行后釋放勒索軟件程序并執(zhí)行。

　　DoppelPaymer組織遵循“雙重勒索”勒索軟件模式，主要以北美地區(qū)的組織機(jī)構(gòu)為攻擊目標(biāo)。在DarkSide勒索軟件攻擊美國最大的燃料管道運(yùn)營商之一Colonial Pipeline大約一周后，DoppelPaymer的活動頻率也一度降低，但分析人士認(rèn)為，該組織將自己重新命名為Grief組織，因?yàn)閮烧呔哂邢嗤募用芪募袷讲⑹褂孟嗤姆职l(fā)渠道，即Dridex僵尸網(wǎng)絡(luò)。

　　DopplePaymer經(jīng)常針對石油公司、汽車制造商以及醫(yī)療保健、教育和急救服務(wù)等關(guān)鍵行業(yè)。而它也是首個致人死亡的勒索軟件組織，據(jù)報道，在一次勒索攻擊活動中，因DopplePaymer鎖定通訊系統(tǒng)導(dǎo)致急救服務(wù)人員無法與醫(yī)院溝通，最終耽誤了對患者的救治。該組織的代表性勒索攻擊活動還包括發(fā)布喬治亞州霍爾縣選民信息、破壞起亞汽車美國公司面向客戶的系統(tǒng)等。

　　04 LockBit

　　由于執(zhí)法部門的持續(xù)性打擊，一些傳統(tǒng)勒索軟件團(tuán)體開始衰落，LockBit成為最新活躍的勒索軟件團(tuán)伙之一。自2019年首次亮相以來，LockBit保持了快速發(fā)展的趨勢，并不斷增強(qiáng)其攻擊能力和策略。

　　LockBit最初是一個低調(diào)的團(tuán)伙，但隨著2021年底LockBit 2.0勒索軟件的推出而廣為人知。該組織遵循RaaS模式，并采用“雙重勒索”策略來敲詐受害者。數(shù)據(jù)顯示，2022年5月發(fā)生的勒索軟件攻擊中，40%以上和LockBit有關(guān)，其主要攻擊目標(biāo)主要為美國、印度和歐洲地區(qū)的組織。

　　今年早些時候，LockBit針對法國電子跨國公司泰雷茲集團(tuán)發(fā)起攻擊，它還入侵了法國司法部并加密了他們的文件。最近，該組織又聲稱已經(jīng)入侵了意大利稅務(wù)機(jī)構(gòu)并竊取了100GB的數(shù)據(jù)。

　　05 REvil

　　REvil勒索軟件組織，又名Sodinokibi，于2019年4月首次出現(xiàn)。它被西方國家認(rèn)為是與俄羅斯政府機(jī)構(gòu)有密切關(guān)聯(lián)的勒索軟件組織，因此具有極強(qiáng)的勒索攻擊能力。鑒于其強(qiáng)悍的技術(shù)實(shí)力和系統(tǒng)化的攻擊手段，該組織在發(fā)現(xiàn)之初便吸引了網(wǎng)絡(luò)安全專業(yè)人士的注意。

　　2021年3月，REvil攻擊了電子和硬件公司Acer，并破壞了其服務(wù)器。一個月后，該組織對蘋果供應(yīng)商廣達(dá)電腦（Quanta Computers）公司進(jìn)行了攻擊。之后，REvil勒索軟件組織陸續(xù)針對JBS Foods、Invenergy、Kaseya等著名企業(yè)進(jìn)行攻擊，結(jié)果導(dǎo)致數(shù)家公司被迫暫停業(yè)務(wù)，其中針對Kaseya的攻擊事件更是直接影響了全球1,500多家企業(yè)。

　　據(jù)媒體報道，俄羅斯執(zhí)法部門于2022年1月逮捕了該團(tuán)隊的多名核心成員，并沒收了價值數(shù)百萬美元的資產(chǎn)。自2022年4月，REvil勒索軟件團(tuán)伙又出現(xiàn)恢復(fù)運(yùn)行的跡象。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<