2025年新興勒索軟件組織的崛起與影響
2024年,全球勒索軟件攻擊事件達到5,414起,較2023年增長了11%。
盡管年初增長較為緩慢,但在第二季度和第四季度,攻擊事件激增,其中第四季度共發(fā)生1,827起事件,占全年總數(shù)的33%。執(zhí)法機構(gòu)對LockBit等主要組織的打擊導(dǎo)致這些組織分裂,引發(fā)了更多競爭,并促使小型勒索團伙數(shù)量上升。活躍的勒索軟件組織數(shù)量從2023年的68個增至2024年的95個,增幅達40%。
2024年涌現(xiàn)的新勒索軟件組織
2023年僅有27個新勒索軟件組織出現(xiàn),而2024年則檢測到46個新組織,且數(shù)量在第四季度加速增長,達到48個活躍組織。在2024年的新組織中,RansomHub表現(xiàn)尤為突出,其活躍度甚至超過了LockBit。作為一家現(xiàn)已并入Check Point的公司,Cyberint的研究團隊持續(xù)追蹤最新的勒索軟件組織并分析其潛在影響。本文將從RansomHub、Fog和Lynx這三個新興組織入手,探討它們在2024年的活動、起源及其戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。
RansomHub:2024年的領(lǐng)軍者
RansomHub自2024年2月開始運作以來,已在其數(shù)據(jù)泄露網(wǎng)站上記錄了531次攻擊,成為2024年的主要勒索軟件組織。在FBI對ALPHV組織實施打擊后,RansomHub被視為其“精神繼承者”,可能吸收了前ALPHV的成員。作為一款勒索軟件即服務(wù)(RaaS),RansomHub對合作伙伴實行嚴格的協(xié)議,違反者將被禁止或終止合作。其贖金分配比例為90/10,合作伙伴占大頭。
盡管RansomHub自稱擁有全球黑客社區(qū),但它明確避免攻擊獨聯(lián)體國家、古巴、朝鮮、中國以及非營利組織,這一行為特征與傳統(tǒng)的俄羅斯勒索軟件團伙如出一轍。此外,其規(guī)避俄羅斯關(guān)聯(lián)國家及與其他俄羅斯勒索組織的目標公司重疊,進一步表明其可能與俄羅斯的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)有密切聯(lián)系。
Cyberint在2024年8月的研究發(fā)現(xiàn),RansomHub的贖金支付率較低,只有11.2%的受害者支付了贖金(190人中有20人),且談判通常會降低贖金要求。RansomHub更注重攻擊數(shù)量,而非支付率,通過擴大合作伙伴規(guī)模確保長期盈利能力,盡管單次攻擊的成功率較低。
RansomHub的惡意軟件、工具集與TTPs
RansomHub的勒索軟件基于Golang和C++開發(fā),支持Windows、Linux和ESXi系統(tǒng),以其快速加密功能見長。其與GhostSec勒索軟件的相似性表明了一種趨勢。RansomHub承諾,如果合作伙伴在受害者支付贖金后未能提供解密服務(wù),或攻擊了被禁止的組織,將免費解密數(shù)據(jù)。攻擊模式表明其可能與ALPHV存在關(guān)聯(lián),且使用了相似的工具和TTPs。Sophos的研究還發(fā)現(xiàn),其與Knight勒索軟件有相似之處,包括使用GoObfuscate混淆的Go語言有效負載及相同的命令行菜單。
Fog勒索軟件:針對美國教育網(wǎng)絡(luò)的威脅
Fog勒索軟件于2024年4月初首次出現(xiàn),主要利用被盜的VPN憑證攻擊美國的教育網(wǎng)絡(luò)。其采用雙重勒索策略,若受害者拒絕支付贖金,會將數(shù)據(jù)發(fā)布到基于TOR的泄露網(wǎng)站上。2024年,F(xiàn)og在全球范圍內(nèi)攻擊了87家組織。Arctic Wolf在2024年11月的報告中指出,F(xiàn)og至少發(fā)起了30次入侵,所有入侵均通過被黑的SonicWall VPN賬戶完成。值得注意的是,其中75%的入侵與Akira組織有關(guān),其余則歸因于Fog,這表明兩者可能共享基礎(chǔ)設(shè)施。
Fog的主要攻擊目標包括教育、商業(yè)服務(wù)、旅游和制造業(yè),且其特別關(guān)注教育領(lǐng)域,這在勒索軟件團伙中較為罕見。
Fog 攻擊速度驚人,從初始訪問到完成加密的最短時間僅為兩小時。攻擊遵循典型的勒索軟件殺傷鏈,包括網(wǎng)絡(luò)枚舉、橫向移動、加密和數(shù)據(jù)外泄。Fog的勒索軟件支持Windows和Linux平臺。
Lynx:活躍的雙重勒索團伙
Lynx是近期非常活躍的雙重勒索團伙,其網(wǎng)站上展示了大量受害公司。該組織聲明,避免攻擊政府機構(gòu)、醫(yī)院、非營利組織及其他關(guān)鍵社會部門。
一旦入侵系統(tǒng),Lynx會加密文件并附加“.LYNX”擴展名,隨后在多個目錄中放置名為“README.txt”的勒索說明。僅2024年,Lynx就聲稱攻擊了超過70家受害者,展現(xiàn)出其在勒索軟件領(lǐng)域的頻繁活動與重要地位。
2025年將會怎樣?
由于對勒索軟件團伙的打擊力度加大,有記錄以來新出現(xiàn)的團伙數(shù)量創(chuàng)下新高,這些新興組織正試圖打響自身名號。網(wǎng)絡(luò)安全公司Cyberint預(yù)測,到2025年,其中部分新興團伙將通過能力升級成為勒索領(lǐng)域的主導(dǎo)力量,而不僅僅是當(dāng)前備受關(guān)注的RansomHub。
