2024年勒索软件领域经历了重大变化,尽管ALPHV/BlackCat和LockBit等主要勒索软件集团受到执法打击,勒索软件即服务(RaaS)显示出强大韧性,新组织不断涌现。Infosecurity根据Ransomware.live、RansomLook、Corvus Insurance和Recorded Future等来源数据,评选出本年度最活跃的10大勒索软件组织,包括RansomHub、Play、Akira、Hunters International、Medusa、Qilin、BlackBasta、BianLian、INC Ransom和BlackSuit。这些组织通过利用漏洞、供应链攻击和数据泄露等手段对全球组织造成威胁。特别值得注意的是RansomHub,它在2024年2月出现,迅速成为最活跃的RaaS品牌之一。此外,LockBit 3.0虽然遭受打击,但依然保持活跃。这些组织的成功展示了勒索软件生态系统的适应性和持续威胁,预示着2025年网络安全领域需继续保持警惕,加强防御策略和国际合作。
据ransomware.live的实时数据,截止2024年12月29日,共跟踪勒索软件组织231个,全年共有6092被勒索者,12月当月共有643个受害者。记录以来的累计受害者已达16450个。
根据年底活跃度,以下列出最活跃的前10个。
组织名称 | 创立 时间 | 2024年声称的受害者数量 | 累计受害者数量 | 备注 |
---|---|---|---|---|
RansomHub | 2024年2月 | 593 | 593 | 多样化平台攻击,包括Windows, Linux和ESXi等 |
Play | 2022年6月 | 362 | 716 | 通过漏洞利用初始入侵目标,特别是供应链漏洞 |
Akira | 2023年3月 | 291 | 454 | 与Conti有代码重叠,可能继承了Conti的基础设施 |
Hunters International | 2023年末 | 227 | 252 | 在Hive勒索软件集团被取缔后,声称购买了其基础设施源代码并修复漏洞 |
Medusa | 2022年末 | 212 | 357 | 在暗网和明网上都有活动,特别是通过“OSINT without borders”进行宣传 |
Qilin | 2022年7月 | 179 | 230 | 从Chrome浏览器中大规模窃取凭证 |
BlackBasta | 2022年4月 | 176 | 507 | 核心成员可能源自Conti,与FIN7有关联 |
BianLian | 2021年12月 | 166 | 518 | 从双重勒索转变为不加密的勒索 |
INC Ransom | 2023年7月 | 162 | 208 | 声称其攻击可以使受害者环境更安全 |
BlackSuit | 2023年4/5月 | 156 | 175 | 被认为是Royal Ransomware的更名 |
LockBit 3.0 | 2022年3月 | 534 | 1973 | 尽管受到重创,但仍然是最活跃的勒索软件集团 |
RansomHub:2024年2月,RansomHub作为一个新的勒索软件联盟项目在俄罗斯语言黑客论坛RAMP上宣布,以其90/10的收入分成模式迅速崛起,该组织以其多功能性著称,能够攻击包括Windows、Linux和ESXi在内的多种平台。
Play:Play勒索软件自2022年6月出现以来,通过利用软件供应链中的漏洞,如Fortinet、Citrix和VMWare的ESXi,对全球多个国家的组织进行了攻击。
Akira:Akira勒索软件组织可能是与Conti勒索软件组织联系最紧密的,继承了Conti的基础设施和代码,2024年11月,Akira的活动显著增加,单月声称的受害者就达到了73个。
Hunters International:Hunters International在Hive勒索软件集团被取缔后出现,声称购买了Hive的源代码并修复了漏洞,该组织表示将优先考虑数据盗窃而不是文件加密。
Medusa:Medusa勒索软件组织以其独特的在线存在而闻名,通过“OSINT without borders”这一清晰的网络身份在社交媒体上活跃,其操作结合了暗网和明网活动。
Qilin:Qilin勒索软件组织自2022年7月以来一直活跃,2024年8月,Sophos X-Ops团队观察到该组织大规模窃取网络端点上Google Chrome浏览器中存储的凭证。
BlackBasta:BlackBasta勒索软件组织的核心成员被认为源自现已解散的Conti威胁行为者组织,因其恶意软件开发技术、泄露站点和谈判、支付及数据恢复方法的相似性而闻名。
BianLian:自2021年末以来一直活跃的BianLian勒索软件组织,主要针对欧洲和北美的医疗保健和制造业实体,最近从双重勒索转变为不加密的勒索。
INC Ransom:INC Ransom勒索软件组织将自己定位为向受害者提供服务的组织,声称其攻击可以使受害者环境更安全,但该组织似乎没有限制目标实体的类型。
BlackSuit:BlackSuit勒索软件组织被认为是2022年最活跃的勒索软件组织之一Royal Ransomware的更名,继续使用合法软件和开源工具进行勒索软件操作。
LockBit 3.0:尽管在2024年2月受到重创,LockBit 3.0仍然是最活跃的勒索软件组织之一,这可能与其快速响应和2022年秋季泄露的源代码有关,导致许多与LockBit没有正式关系的网络犯罪分子使用LockBit 3.0来攻击受害者。
2024年勒索软件领域经历了深刻变革,特征是越来越复杂和激进的网络勒索策略。威胁行为者超越了传统的基于加密的攻击,开创了双重和三重勒索技术,这些技术通过战略性地窃取敏感信息并威胁公开发布,大幅增加了对目标组织的压力,迫使受害者考虑支付赎金以避免潜在的声誉和法律损害。勒索软件即服务(RaaS)平台的出现使网络犯罪民主化,使技术能力较低的犯罪分子也能发动复杂的攻击。这些攻击越来越多地针对高价值领域,如医疗保健、关键基础设施和金融服务,显示出为了最大化潜在勒索回报而采取的战略性方法。技术革新进一步放大了这些威胁,网络犯罪分子现在利用AI自动化活动制作、更高效地识别系统漏洞,并优化勒索软件交付。高吞吐量的区块链技术和利用去中心化金融(DeFi)平台的整合为快速资金流动和交易混淆提供了额外机制,给执法追踪和干预带来了重大挑战。
参考资源
1、https://www.ransomware.live/stats
2、https://www.ransomlook.io/status
3、https://www.infosecurity-magazine.com/news-features/top-10-most-active-ransomware/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。