2024年勒索软件领域经历了重大变化,尽管ALPHV/BlackCat和LockBit等主要勒索软件集团受到执法打击,勒索软件即服务(RaaS)显示出强大韧性,新组织不断涌现。Infosecurity根据Ransomware.live、RansomLook、Corvus Insurance和Recorded Future等来源数据,评选出本年度最活跃的10大勒索软件组织,包括RansomHub、Play、Akira、Hunters International、Medusa、Qilin、BlackBasta、BianLian、INC Ransom和BlackSuit。这些组织通过利用漏洞、供应链攻击和数据泄露等手段对全球组织造成威胁。特别值得注意的是RansomHub,它在2024年2月出现,迅速成为最活跃的RaaS品牌之一。此外,LockBit 3.0虽然遭受打击,但依然保持活跃。这些组织的成功展示了勒索软件生态系统的适应性和持续威胁,预示着2025年网络安全领域需继续保持警惕,加强防御策略和国际合作。

据ransomware.live的实时数据,截止2024年12月29日,共跟踪勒索软件组织231个,全年共有6092被勒索者,12月当月共有643个受害者。记录以来的累计受害者已达16450个。

根据年底活跃度,以下列出最活跃的前10个。

组织名称

创立

时间

2024年声称的受害者数量

累计受害者数量

备注

RansomHub

2024年2月

593

593

多样化平台攻击,包括Windows, Linux和ESXi等

Play

2022年6月

362

716

通过漏洞利用初始入侵目标,特别是供应链漏洞

Akira

2023年3月

291

454

与Conti有代码重叠,可能继承了Conti的基础设施

Hunters International

2023年末

227

252

在Hive勒索软件集团被取缔后,声称购买了其基础设施源代码并修复漏洞

Medusa

2022年末

212

357

在暗网和明网上都有活动,特别是通过“OSINT without borders”进行宣传

Qilin

2022年7月

179

230

从Chrome浏览器中大规模窃取凭证

BlackBasta

2022年4月

176

507

核心成员可能源自Conti,与FIN7有关联

BianLian

2021年12月

166

518

从双重勒索转变为不加密的勒索

INC Ransom

2023年7月

162

208

声称其攻击可以使受害者环境更安全

BlackSuit

2023年4/5月

156

175

被认为是Royal Ransomware的更名

LockBit 3.0

2022年3月

534

1973

尽管受到重创,但仍然是最活跃的勒索软件集团

  1. RansomHub:2024年2月,RansomHub作为一个新的勒索软件联盟项目在俄罗斯语言黑客论坛RAMP上宣布,以其90/10的收入分成模式迅速崛起,该组织以其多功能性著称,能够攻击包括Windows、Linux和ESXi在内的多种平台。

  2. Play:Play勒索软件自2022年6月出现以来,通过利用软件供应链中的漏洞,如Fortinet、Citrix和VMWare的ESXi,对全球多个国家的组织进行了攻击。

  3. Akira:Akira勒索软件组织可能是与Conti勒索软件组织联系最紧密的,继承了Conti的基础设施和代码,2024年11月,Akira的活动显著增加,单月声称的受害者就达到了73个。

  4. Hunters International:Hunters International在Hive勒索软件集团被取缔后出现,声称购买了Hive的源代码并修复了漏洞,该组织表示将优先考虑数据盗窃而不是文件加密。

  5. Medusa:Medusa勒索软件组织以其独特的在线存在而闻名,通过“OSINT without borders”这一清晰的网络身份在社交媒体上活跃,其操作结合了暗网和明网活动。

  6. Qilin:Qilin勒索软件组织自2022年7月以来一直活跃,2024年8月,Sophos X-Ops团队观察到该组织大规模窃取网络端点上Google Chrome浏览器中存储的凭证。

  7. BlackBasta:BlackBasta勒索软件组织的核心成员被认为源自现已解散的Conti威胁行为者组织,因其恶意软件开发技术、泄露站点和谈判、支付及数据恢复方法的相似性而闻名。

  8. BianLian:自2021年末以来一直活跃的BianLian勒索软件组织,主要针对欧洲和北美的医疗保健和制造业实体,最近从双重勒索转变为不加密的勒索。

  9. INC Ransom:INC Ransom勒索软件组织将自己定位为向受害者提供服务的组织,声称其攻击可以使受害者环境更安全,但该组织似乎没有限制目标实体的类型。

  10. BlackSuit:BlackSuit勒索软件组织被认为是2022年最活跃的勒索软件组织之一Royal Ransomware的更名,继续使用合法软件和开源工具进行勒索软件操作。

  11. LockBit 3.0:尽管在2024年2月受到重创,LockBit 3.0仍然是最活跃的勒索软件组织之一,这可能与其快速响应和2022年秋季泄露的源代码有关,导致许多与LockBit没有正式关系的网络犯罪分子使用LockBit 3.0来攻击受害者。

2024年勒索软件领域经历了深刻变革,特征是越来越复杂和激进的网络勒索策略。威胁行为者超越了传统的基于加密的攻击,开创了双重和三重勒索技术,这些技术通过战略性地窃取敏感信息并威胁公开发布,大幅增加了对目标组织的压力,迫使受害者考虑支付赎金以避免潜在的声誉和法律损害。勒索软件即服务(RaaS)平台的出现使网络犯罪民主化,使技术能力较低的犯罪分子也能发动复杂的攻击。这些攻击越来越多地针对高价值领域,如医疗保健、关键基础设施和金融服务,显示出为了最大化潜在勒索回报而采取的战略性方法。技术革新进一步放大了这些威胁,网络犯罪分子现在利用AI自动化活动制作、更高效地识别系统漏洞,并优化勒索软件交付。高吞吐量的区块链技术和利用去中心化金融(DeFi)平台的整合为快速资金流动和交易混淆提供了额外机制,给执法追踪和干预带来了重大挑战。

参考资源

1、https://www.ransomware.live/stats

2、https://www.ransomlook.io/status

3、https://www.infosecurity-magazine.com/news-features/top-10-most-active-ransomware/

声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。