勒索软件组织 · TOP10
2024年勒索软件领域经历了重大变化,尽管ALPHV/BlackCat和LockBit等主要勒索软件集团受到执法打击,勒索软件即服务(RaaS)显示出强大韧性,新组织不断涌现。Infosecurity根据Ransomware.live、RansomLook、Corvus Insurance和Recorded Future等来源数据,评选出本年度最活跃的10大勒索软件组织,包括RansomHub、Play、Akira、Hunters International、Medusa、Qilin、BlackBasta、BianLian、INC Ransom和BlackSuit。这些组织通过利用漏洞、供应链攻击和数据泄露等手段对全球组织造成威胁。特别值得注意的是RansomHub,它在2024年2月出现,迅速成为最活跃的RaaS品牌之一。此外,LockBit 3.0虽然遭受打击,但依然保持活跃。这些组织的成功展示了勒索软件生态系统的适应性和持续威胁,预示着2025年网络安全领域需继续保持警惕,加强防御策略和国际合作。
据ransomware.live的实时数据,截止2024年12月29日,共跟踪勒索软件组织231个,全年共有6092被勒索者,12月当月共有643个受害者。记录以来的累计受害者已达16450个。
根据年底活跃度,以下列出最活跃的前10个。
|
|
|
2024年声称的受害者数量
|
累计受害者数量
|
|
|
|
2024年2月
|
593
|
593
|
多样化平台攻击,包括Windows, Linux和ESXi等
|
|
Play
|
2022年6月
|
362
|
716
|
通过漏洞利用初始入侵目标,特别是供应链漏洞
|
|
Akira
|
2023年3月
|
291
|
454
|
与Conti有代码重叠,可能继承了Conti的基础设施
|
|
Hunters International
|
2023年末
|
227
|
252
|
在Hive勒索软件集团被取缔后,声称购买了其基础设施源代码并修复漏洞
|
|
Medusa
|
2022年末
|
212
|
357
|
在暗网和明网上都有活动,特别是通过“OSINT without borders”进行宣传
|
|
|
2022年7月
|
179
|
230
|
从Chrome浏览器中大规模窃取凭证
|
|
BlackBasta
|
2022年4月
|
176
|
507
|
核心成员可能源自Conti,与FIN7有关联
|
|
BianLian
|
2021年12月
|
166
|
518
|
从双重勒索转变为不加密的勒索
|
|
INC Ransom
|
2023年7月
|
162
|
208
|
声称其攻击可以使受害者环境更安全
|
|
BlackSuit
|
2023年4/5月
|
156
|
175
|
被认为是Royal Ransomware的更名
|
|
LockBit 3.0
|
2022年3月
|
534
|
1973
|
尽管受到重创,但仍然是最活跃的勒索软件集团
|
-
RansomHub
:2024年2月,RansomHub作为一个新的勒索软件联盟项目在俄罗斯语言黑客论坛RAMP上宣布,以其90/10的收入分成模式迅速崛起,该组织以其多功能性著称,能够攻击包括Windows、Linux和ESXi在内的多种平台。
-
Play
:Play勒索软件自2022年6月出现以来,通过利用软件供应链中的漏洞,如Fortinet、Citrix和VMWare的ESXi,对全球多个国家的组织进行了攻击。
-
Akira
:Akira勒索软件组织可能是与Conti勒索软件组织联系最紧密的,继承了Conti的基础设施和代码,2024年11月,Akira的活动显著增加,单月声称的受害者就达到了73个。
-
Hunters International
:Hunters International在Hive勒索软件集团被取缔后出现,声称购买了Hive的源代码并修复了漏洞,该组织表示将优先考虑数据盗窃而不是文件加密。
-
Medusa
:Medusa勒索软件组织以其独特的在线存在而闻名,通过“OSINT without borders”这一清晰的网络身份在社交媒体上活跃,其操作结合了暗网和明网活动。
-
Qilin
:Qilin勒索软件组织自2022年7月以来一直活跃,2024年8月,Sophos X-Ops团队观察到该组织大规模窃取网络端点上Google Chrome浏览器中存储的凭证。
-
BlackBasta
:BlackBasta勒索软件组织的核心成员被认为源自现已解散的Conti威胁行为者组织,因其恶意软件开发技术、泄露站点和谈判、支付及数据恢复方法的相似性而闻名。
-
BianLian
:自2021年末以来一直活跃的BianLian勒索软件组织,主要针对欧洲和北美的医疗保健和制造业实体,最近从双重勒索转变为不加密的勒索。
-
INC Ransom
:INC Ransom勒索软件组织将自己定位为向受害者提供服务的组织,声称其攻击可以使受害者环境更安全,但该组织似乎没有限制目标实体的类型。
-
BlackSuit
:BlackSuit勒索软件组织被认为是2022年最活跃的勒索软件组织之一Royal Ransomware的更名,继续使用合法软件和开源工具进行勒索软件操作。
-
LockBit 3.0
:尽管在2024年2月受到重创,LockBit 3.0仍然是最活跃的勒索软件组织之一,这可能与其快速响应和2022年秋季泄露的源代码有关,导致许多与LockBit没有正式关系的网络犯罪分子使用LockBit 3.0来攻击受害者。
2024年勒索软件领域经历了深刻变革,特征是越来越复杂和激进的网络勒索策略。威胁行为者超越了传统的基于加密的攻击,开创了双重和三重勒索技术,这些技术通过战略性地窃取敏感信息并威胁公开发布,大幅增加了对目标组织的压力,迫使受害者考虑支付赎金以避免潜在的声誉和法律损害。勒索软件即服务(RaaS)平台的出现使网络犯罪民主化,使技术能力较低的犯罪分子也能发动复杂的攻击。这些攻击越来越多地针对高价值领域,如医疗保健、关键基础设施和金融服务,显示出为了最大化潜在勒索回报而采取的战略性方法。技术革新进一步放大了这些威胁,网络犯罪分子现在利用AI自动化活动制作、更高效地识别系统漏洞,并优化勒索软件交付。高吞吐量的区块链技术和利用去中心化金融(DeFi)平台的整合为快速资金流动和交易混淆提供了额外机制,给执法追踪和干预带来了重大挑战。
1、https://www.ransomware.live/stats
2、https://www.ransomlook.io/status
3、https://www.infosecurity-magazine.com/news-features/top-10-most-active-ransomware/
专题回顾:
