勒索软件作为一种重要的威胁媒介,每年都会给企业组织和基础设施运营商造成数十亿美元的损失。这些威胁的背后往往是一些专业的勒索软件团伙,他们有些会直接攻击受害者,而另一些则运营流行的勒索软件即服务(Ransomware-as-a-Service、RaaS)模式,让第三方团伙(affiliates)去完成勒索活动,并从中收益分成。
随着勒索软件威胁不断加剧,了解这些勒索团伙及其运作方式是提前阻止勒索攻击的一种有效方式。以下梳理了目前最活跃的5个非法勒索软件组织:
一、Conti
Conti是一个臭名昭著的勒索软件团伙,从2018年开始长期霸占着媒体相关安全事件报道中的头条。它经常性地使用“双重勒索”方法,这意味着该组织不仅会勒索赎金,还会泄露被攻击企业的敏感数据。它甚至还专门运营了一个泄密网站Conti News来发布被盗数据信息。
Conti与其他勒索软件组织的不同之处在于其活动缺乏道德限制,曾多次针对教育和医疗保健部门发起攻击,并要求受害组织支付数百万美元的赎金。
Conti勒索软件组织长期以来一直以关键公共基础设施为目标,例如医疗、保健、能源、IT和农业等,代表性事件包括入侵印度尼西亚中央银行、袭击了国际码头运营商SEA-invest、攻击布劳沃德县公立学校。最具代表性的是,哥斯达黎加总统在Conti袭击多个政府机构后宣布进入“国家紧急状态”。
二、DarkSide
DarkSide勒索软件组织遵循RaaS模式,以大型企业为目标勒索资金。这一过程主要通过获取对目标企业网络的访问权限并加密网络上的所有文件来实现。关于DarkSide勒索软件组织的起源有几种不同的看法。一些分析人士认为,它的总部设在东欧的某个地方,但也有人认为该组织在多个国家均有分布,包括西亚和欧洲其它地区。
DarkSide组织声称自己有底线:从不针对学校、医院、政府机构和任何影响公众的基础设施实施攻击活动。然而在2021年5月,DarkSide针对Colonial Pipeline发起了攻击并索要500万美元的赎金。这是美国历史上对石油基础设施的最大网络攻击,扰乱了17个州的汽油和航空燃料供应。该事件引发了关于关键基础设施安全性,以及政府和公司应该如何更加努力地保护它们的讨论。
事情发生后,DarkSide组织解释称是有第三方团队利用其勒索工具发起的攻击,并在美国政府的巨大施压下,该组织一度关闭了其业务。但最近的观察发现,DarkSide或已改头换面,卷土重来。
三、DoppelPaymer
DoppelPaymer勒索软件团伙和2019年出现的BitPaymer勒索软件团伙一脉相承,它主要通过RDP暴力破解和垃圾邮件进行传播,邮件附件中带有一个自解压文件,运行后释放勒索软件程序并执行。
DoppelPaymer组织遵循“双重勒索”勒索软件模式,主要以北美地区的组织机构为攻击目标。在DarkSide勒索软件攻击美国最大的燃料管道运营商之一Colonial Pipeline大约一周后,DoppelPaymer的活动频率也一度降低,但分析人士认为,该组织将自己重新命名为Grief组织,因为两者具有相同的加密文件格式并使用相同的分发渠道,即Dridex僵尸网络。
DopplePaymer经常针对石油公司、汽车制造商以及医疗保健、教育和急救服务等关键行业。而它也是首个致人死亡的勒索软件组织,据报道,在一次勒索攻击活动中,因DopplePaymer锁定通讯系统导致急救服务人员无法与医院沟通,最终耽误了对患者的救治。该组织的代表性勒索攻击活动还包括发布乔治亚州霍尔县选民信息、破坏起亚汽车美国公司面向客户的系统等。
四、LockBit
由于执法部门的持续性打击,一些传统勒索软件团体开始衰落,LockBit成为最新活跃的勒索软件团伙之一。自2019年首次亮相以来,LockBit保持了快速发展的趋势,并不断增强其攻击能力和策略。
LockBit最初是一个低调的团伙,但随着2021年底LockBit 2.0勒索软件的推出而广为人知。该组织遵循RaaS模式,并采用“双重勒索”策略来敲诈受害者。数据显示,2022年5月发生的勒索软件攻击中,40%以上和LockBit有关,其主要攻击目标主要为美国、印度和欧洲地区的组织。
今年早些时候,LockBit针对法国电子跨国公司泰雷兹集团发起攻击,它还入侵了法国司法部并加密了他们的文件。最近,该组织又声称已经入侵了意大利税务机构并窃取了100GB的数据。
五、REvil
REvil勒索软件组织,又名Sodinokibi,于2019年4月首次出现。它被西方国家认为是与俄罗斯政府机构有密切关联的勒索软件组织,因此具有极强的勒索攻击能力。鉴于其强悍的技术实力和系统化的攻击手段,该组织在发现之初便吸引了网络安全专业人士的注意。
2021年3月,REvil攻击了电子和硬件公司Acer,并破坏了其服务器。一个月后,该组织对苹果供应商广达电脑(Quanta Computers)公司进行了攻击。之后,REvil勒索软件组织陆续针对JBS Foods、Invenergy、Kaseya等著名企业进行攻击,结果导致数家公司被迫暂停业务,其中针对Kaseya的攻击事件更是直接影响了全球1,500多家企业。
据媒体报道,俄罗斯执法部门于2022年1月逮捕了该团队的多名核心成员,并没收了价值数百万美元的资产。自2022年4月,REvil勒索软件团伙又出现恢复运行的迹象。