截止2025年最为活跃的12个勒索软件组

勒索软件在所有行业中都在上升。以下是网络安全专业人士必须了解的犯罪行动。

来源：DC Studio / Shutterstock

勒索软件即服务（RaaS）模型、双重敲诈策略和人工智能的日益采用是不断变化的勒索软件威胁格局的特点。

执法部门对LockBit等团体的打压使勒索软件市场更加分散，新兴玩家试图采取行动。

攻击者从民族国家行为者到RaaS运营、孤独运营商和数据盗窃敲诈集团。以下非详尽列表包含当前主要活跃的威胁群体的列表，这些群体是根据其影响或创新功能选择的。

Akira

历史：Akira是一个复杂的RaaS行动，于2023年初出现，并且仍然活跃。

工作原理：部署Akira的团队经常利用公司VPN设备、开放RDP（远程桌面协议）客户端和泄露的凭据中缺乏身份验证来攻击公司系统。

目标受害者：关键目标是北美、欧洲和澳大利亚的中小型企业。据帕洛阿尔托网络第42部情报部门称，受影响的行业包括制造业、专业和法律服务、教育、电信、技术和制药。

归因：间接证据表明源自俄罗斯，并与已停业的Conti勒索软件有关，但归因仍不清楚。漏洞赏金平台HackerOne的EMEA员工解决方案架构师Shobhit Gautam说：“[对于”的[对]行为者的行为者，由于应用于他们的DLS（数据泄露网站）和消息的’复古美学’而引起了人们的关注。”

Black Basta

历史：Black Basta于2022年初出现在勒索软件领域，据信是Conti的衍生品，Conti是一个以攻击主要组织而臭名昭著的团体。

工作原理：Black Basta通常通过利用已知的漏洞和社会工程活动来部署恶意软件。Rapid7威胁分析高级总监Christiaan Beek表示：“目标环境中的员工被电子邮件轰炸，然后被冒充该组织服务台的团队联系。”

目标受害者：根据云安全公司Qualys的分析，全球有500多个组织受到Black Basta的影响。

归因：安全研究人员推测，由于恶意软件样本中规避端点检测和响应系统的自定义模块的相似性，Black Basta可能与FIN7网络犯罪集团有关。

BlackCat（ALPHV）

历史：BlackCat，也被称为ALPHV或Noberus，于2021年11月出现。据说它由现已解散的Darkside集团的前成员组成，该集团臭名昭著地瞄准了殖民地管道。

工作原理：BlackCat使用的恶意软件针对Windows和Linux系统。BlackCat以使用三重敲诈策略而闻名，该策略涉及要求文件解密的赎金，承诺不披露被盗数据，以及防止分布式拒绝服务（DDoS）攻击。

目标受害者：BlackCat（ALPHV）勒索软件组织应对几起引人注目的攻击负责，最引人注目的是凯撒娱乐（2023年9月）和Change Healthcare的UnitedHealth Group子公司（2024年2月）。

归属：BlackCat集团已经变黑了，可能是为了应对执法行动和Change Healthcare攻击的影响。其负责人，可能是经验丰富的网络犯罪分子，已成为美国起诉的目标。

BlackLock

历史：BlackLock（又名El Dorado）自2024年3月出现以来，出现了爆炸性的增长。威胁情报公司ReliaQuest预测，它可能会超越RansomHub，成为今年最活跃的勒索软件群组。

工作原理：根据ReliaQuest的说法，该组织通过开发自己的自定义恶意软件而脱颖而出——这是“Play”和“Qilin”等顶级组织的标志。其恶意软件针对Windows、VMware ESXi（虚拟化服务器）和Linux环境。攻击者通常加密数据，同时洩露敏感信息，威胁说，如果敲诈要求不满足，就会发布敏感信息。

目标受害者：BlackLock针对各种各样的受害者，包括美国房地产、制造业和医疗保健组织。

归属：BlackLock在RAMP论坛上非常活跃，RAMP论坛是一个专注于勒索软件的俄语平台，积极招募各种角色，包括初始访问经纪人，他们向其附属公司出售部分受损网络的访问权限。BlackLock勒索软件组的构成没有明确的归因。

CI0p

历史：Cl0p勒索软件的历史可以追溯到2019年。在过去六年中，它的广泛滥用主要与讲俄语的网络犯罪组织有关，主要是TA505和FIN11。

工作原理：Cl0p利用零日漏洞来攻击其猎物。Cl0p集团倾向于避免使用传统有效载荷，但仍然依靠泄漏站点向受害者勒索付款。据Rapid7的Beek称：“我们看到该小组使用高知名度的平台漏洞，停机时间最少，以最少的停机时间来挖掘数据，例如利用Cleo文件传输软件中的漏洞。”

目标受害者：Cl0p针对世界各地的主要组织。最臭名昭著的是，Cl0p开展了一场利用MOVEit漏洞的大规模运动，在2023年影响了数千个组织。

归因：Cl0p勒索软件归因于几个（大部分是俄语）网络犯罪集团。

FunkSec

历史：FunkSec是一个新的RaaS组织，于2024年底出现，仅在12月就声称有超过85名受害者。

工作原理：根据Rapid7的Beek的说法，FunkSec在恶意软件开发中使用人工智能，要求低赎金，并且“其数据泄露的可信度值得怀疑”。

目标受害者：FunkSec声称有大量受害者，但研究人员警告说，一些泄密可能从之前的违规事件中被重新加工或回收。

归属：FunkSec作为RaaS模型运行，可能与讲俄语的附属公司合作。

LockBit

历史：LockBit是一个网络犯罪集团，通过勒索软件即服务模式运营，它开创了先锋。尽管在2024年被破坏，但LockBit已经显示出复出的迹象。恶意软件操作因其高效的加密和双重敲诈策略而臭名昭著。

工作原理：LockBit，尽管去年执法部门进行了重大的拆除操作，但继续使用越来越强大的RaaS模型以及双重敲诈，也称为“锁定和泄漏”。Searchlight Cyber威胁情报主管Luke Donovan告诉CSO：“LockBit继续列出受害者，招募附属公司，并试图在暗网论坛上恢复声誉。”

目标受害者：LockBit在其鼎盛时期针对全球数千名受害者，包括政府服务、私营部门公司和关键基础设施提供商。

归因：LockBit对俄语论坛和定位模式的使用导致一些分析师认为该集团位于俄罗斯。俄罗斯国民Dmitry Yuryevich Khoroshev去年被西方执法机构命名为LockBit的开发商和管理员，他面临美国起诉，同时面临资产冻结和旅行禁令。两名俄罗斯国民因针对目标组织部署LockBit勒索软件而被起诉。

Lynx

历史：Lynx与早期的INC勒索软件共享48%的源代码，这表明同一威胁者进行了合理的品牌重塑或演变。

工作原理：Lynx还操作RaaS，并采用双重敲诈策略。渗透系统后，勒索软件可以窃取敏感信息并加密受害者的数据，有效地将他们锁定。为了使恢复更加困难，它为加密文件添加了“.lynx”扩展名，并删除了阴影副本等备份文件。

目标受害者：自出现以来，勒索软件积极针对美国和英国的几个行业，包括零售、房地产、建筑、金融服务和环境服务。据帕洛阿尔托42部队威胁情报小组称，Lynx背后的组织在2024年7月至2024年11月期间袭击了美国各地的多个设施，其中包括与能源、石油和天然气有关的受害者。Rapid7的Beek补充说：“根据Lynx在2024年7月发布的一份声明，他们声称在选择受害者方面是’道德的’。”

归属：Lynx作为RaaS模型运行，这意味着它可能被多个网络犯罪分子而不是单个实体使用。

Medusa

历史：Medusa美杜莎是2022年首次亮相的勒索软件即服务操作的软件。

工作原理：该小组通常通过利用面向公众的资产、网络钓鱼电子邮件或使用初始访问代理中的漏洞来入侵系统。

目标受害者：美杜莎背后的网络犯罪分子针对美国、欧洲和印度的医疗保健、教育、制造业和零售组织。

归因：与美杜莎相关的俄语网络犯罪论坛上的活动表明，核心团体及其许多附属机构可能来自俄罗斯或邻国，但这仍未得到证实。

Play

历史：Play是2022年6月出现的勒索软件威胁。在其他主要威胁行为者受到干扰后，该组织加强了活动。

工作原理：攻击者通常在渗透敏感数据后对系统进行加密。除了泄露网站外，Play在暗网上保持相当低调，没有在暗网论坛上做广告。Searchlight Cyber的Donovan解释说：“它甚至声称根本不是RaaS帮派，尽管有相反的证据，但它维持着一个’秘密的团体来保证交易的保密性’。”

目标受害者：该组织针对各个部门，包括医疗保健、电信、金融和政府服务。

归属：Play可能与朝鲜国家结盟的APT团体有联系。

2024年10月，帕洛阿尔托网络42单元的安全研究人员公布了由朝鲜支持的威胁行为者，特别是APT45部署Play勒索软件的证据。Donovan说：“这个威胁行为者和Play之间的联系尚不清楚，但表明了国家赞助的网络活动和表面上独立的网络犯罪网络之间交叉的潜力。”

Qilin

历史：Qilin麒麟，也被称为议程，是一家总部位于俄罗斯的RaaS集团，自2022年5月以来一直在运营。

工作原理：该小组针对Windows和Linux系统，包括VMware ESXi服务器，使用Golang和Rust编写的勒索软件变体。麒麟遵循双重敲诈模式——加密受害者的文件，并威胁要泄露被盗的数据，如果不支付赎金。

目标受害者：麒麟在地下论坛上招募附属机构，并禁止攻击与当今俄罗斯接壤的独立国家联合体（独联体）国家的组织。

归属：麒麟的构成仍然未知，但强烈怀疑是讲俄语的有组织的网络犯罪行动。

RansomHub

历史：RansomHub于2024年2月出现，并迅速成为重大网络威胁。该组织最初被称为Cyclops，后来被称为Knight，通过从LockBit和ALPHV/BlackCat等其他中断的勒索软件组织招募附属公司来重塑品牌并扩大其业务。

工作原理：一旦进入网络，RansomHub附属机构就会渗透数据并部署加密工具，通常使用合法的管理实用程序来促进他们的恶意活动。RansomHub运营着一个“附属友好型”的RaaS模型，最初为使用其勒索软件进行攻击的人提供10%的固定费用，并可以选择在支付核心群体之前直接向受害者收取赎金。Searchlight Cyber的Donovan说：“这些因素使其成为寻求有保证回报的附属公司有吸引力的选择，过去其他RaaS业务在支付方面是不可靠的。”

目标受害者：根据Rapid7的数据，RansomHub已经与欧洲和北美各个关键部门的210多名受害者联系在一起，包括医疗保健、金融、政府服务以及关键基础设施。

归因：归因仍未得到证实，但间接证据表明，有组织的俄语网络犯罪行动与其他既定的勒索软件威胁行为者有联系。

消息来源：CSOonline, 编译：安全114； 

本文由 anquan114.com 翻译整理，封面来源于网络；  

转载请注明“转自 anquan114.com”并附上原文