新兴勒索软件团伙崛起：他们是谁，以及是如何运作的

本文来自 企业网D1net公众号

新的和正在发展的勒索软件团伙通过不同的策略和目标，填补了大的勒索团伙的解散和执法威慑所留下的空白。

随着BlackCat（ALPHV）在三月的关闭和LockBit基础设施在二月的执法威慑，勒索软件生态系统中出现了一个空白，这个空白很快被经验较少的团伙填补了。

到目前为止，今年安全公司Cyberint的研究人员已经看到25个新的勒索软件团伙在他们的数据泄漏网站上发布了至少一个受害者，其他已经建立但之前规模较小的团伙最近几个月也增加了他们的运营节奏，现在在月度受害者数量中占据了前几名的位置。

“虽然我们继续跟踪勒索软件的格局以确定长期变化，但我们预计以前的‘中级’正在发展和已经建立的勒索软件团伙将变得越来越明显，无论是由于更高产的竞争对手的减少，还是由于附属对齐的变化，”安全公司GuidePoint Security的研究人员在最近的一份报告中写道，该报告也注意到了同样的趋势。

Play崛起至顶峰

上个月，一个名为Play的勒索软件团伙取代了LockBit，成为2023年顶级勒索软件即服务（RaaS）操作。尽管Play并不是勒索软件领域的新手，自2022年以来一直存在，但它现在利用了更大对手的消失，可能吸引了一些他们的附属公司。

RaaS运营商主要依靠被称为附属公司的第三方来获得企业网络的访问权限，进行横向移动，窃取敏感信息，并部署他们的文件加密恶意软件，这些网络犯罪分子选择为他们最信任且支付给他们最多赎金的程序工作。

当ALPHV在三月宣布关闭他们的运营时，其中一个前附属公司站出来指责他们在Change Healthcare攻击后逃走了 allegedly paid 的2200万美元。当LockBit在二月被执法部门查封其服务器时，该团伙的主要管理员表示，运营不会关闭。

但这种事件在网络犯罪世界中迅速导致信任的丧失，合作伙伴会迅速转向下一个程序，这种效应在LockBit最近的活动中很明显。根据GuidePoint的统计，LockBit在三月仍占据了60%的勒索软件事件，但其市场份额在四月下降到30%。

与此同时，像Hunters International、8Base、RansomHub和其他之前较小的新兴团伙的活动激增。Play的受害者数量实际上从三月到四月有所减少，但由于LockBit的大幅下降，最终排在首位，但根据NCC Group的统计数据，该团伙自年初以来一直处于上升趋势。

8Base是一个像Play一样自2022年以来一直存在的勒索软件团伙，但Hunters International相对较新，去年十月首次出现，与在2023年初执法部门成功查封其服务器后关闭的勒索软件团伙Hive有很多相似之处。RansomHub甚至更新，首次出现在今年二月，并迅速攀升至前列。

“我们观察到RansomHub威胁要在他们的品牌数据泄漏网站（DLS）上出售泄露的数据，并声称数据已经售出的情况——这与更典型的公开发布这些数据的做法有显著区别，”GuidePoint的研究人员写道，“这种独特方法的可能性包括托管被盗数据的难度和成本，团伙认为数据销售比公开发布更有价值，以及这种活动对受害组织的固有压力，迫使他们与团伙达成协议。”

此外，攻击Change Healthcare并指责ALPHV携款潜逃的附属公司现在成为了RansomHub的附属公司。研究人员指出，这一转换的原因可能是RansomHub对附属公司的慷慨待遇，即对受害者支付的赎金提供90%的分成，并允许附属公司直接接收赎金，而无需通过RansomHub的管理员。

更多的新来者

还有一些其他新的团伙以其工具或增长而引人注目，其中一个名为Muliaka，主要针对俄罗斯组织——在勒索软件生态系统中这是一个不寻常的目标选择，该团伙似乎在使用一个版本的Conti文件加密恶意软件，该版本于2020年在网上泄露，并通过劫持目标组织使用的防病毒程序中的一个功能来部署。

“我们强调这个案例，因为大多数现代RaaS团伙都遵循不针对总部位于俄罗斯和前苏联多个国家的组织的规则，”GuidePoint的研究人员写道，“这些规则可能存在是为了避免引起当地安全部门的注意。”

与此同时，Cyberint的研究人员在其报告中重点提到了另外三个新团伙：dAn0n、APT73和DragonForce，同时提到了今年已经公布受害者的另外二十多个团伙。

dAn0n团伙在四月底出现，已经在他们的数据泄漏网站上公布了12个受害者，其中10个来自美国。与此同时，APT73是另一个新团伙，尽管这个团伙表现出业余水平，但他们选择使用通常由安全公司分配给高级网络间谍威胁行为者的APT（高级持续威胁）称号。APT73的数据泄漏网站是以前LockBit使用的数据泄漏网站的复制品，目前列出了五个受害者。

DragonForce稍微老一些，首次出现在2023年12月，该团伙似乎在使用一个泄露的LockBit勒索软件生成器的版本，目前已经针对来自美国、英国、澳大利亚、阿根廷和瑞士的制造业、技术、医疗保健、金融、建筑和房地产等行业的组织。

“展望未来，2024年新勒索软件团伙的出现，如第二季度新增25个团伙，表明威胁格局在持续演变和发展，”Cyberint的研究人员写道。

好消息是，这些新团伙中的许多目前还不如他们试图取代的主要团伙那么复杂。他们的恶意软件、技术和工具还没有那么完善，可能更容易被检测到，但如果有经验的附属公司因更好的待遇加入他们的行列，这种情况将迅速改变。