2024年,全球勒索软件攻击事件达到5,414起,较2023年增长了11%。
尽管年初增长较为缓慢,但在第二季度和第四季度,攻击事件激增,其中第四季度共发生1,827起事件,占全年总数的33%。执法机构对LockBit等主要组织的打击导致这些组织分裂,引发了更多竞争,并促使小型勒索团伙数量上升。活跃的勒索软件组织数量从2023年的68个增至2024年的95个,增幅达40%。
2024年涌现的新勒索软件组织
2023年仅有27个新勒索软件组织出现,而2024年则检测到46个新组织,且数量在第四季度加速增长,达到48个活跃组织。在2024年的新组织中,RansomHub表现尤为突出,其活跃度甚至超过了LockBit。作为一家现已并入Check Point的公司,Cyberint的研究团队持续追踪最新的勒索软件组织并分析其潜在影响。本文将从RansomHub、Fog和Lynx这三个新兴组织入手,探讨它们在2024年的活动、起源及其战术、技术和程序(TTPs)。
RansomHub:2024年的领军者
RansomHub自2024年2月开始运作以来,已在其数据泄露网站上记录了531次攻击,成为2024年的主要勒索软件组织。在FBI对ALPHV组织实施打击后,RansomHub被视为其“精神继承者”,可能吸收了前ALPHV的成员。作为一款勒索软件即服务(RaaS),RansomHub对合作伙伴实行严格的协议,违反者将被禁止或终止合作。其赎金分配比例为90/10,合作伙伴占大头。
尽管RansomHub自称拥有全球黑客社区,但它明确避免攻击独联体国家、古巴、朝鲜、中国以及非营利组织,这一行为特征与传统的俄罗斯勒索软件团伙如出一辙。此外,其规避俄罗斯关联国家及与其他俄罗斯勒索组织的目标公司重叠,进一步表明其可能与俄罗斯的网络犯罪生态系统有密切联系。
Cyberint在2024年8月的研究发现,RansomHub的赎金支付率较低,只有11.2%的受害者支付了赎金(190人中有20人),且谈判通常会降低赎金要求。RansomHub更注重攻击数量,而非支付率,通过扩大合作伙伴规模确保长期盈利能力,尽管单次攻击的成功率较低。
RansomHub的恶意软件、工具集与TTPs
RansomHub的勒索软件基于Golang和C++开发,支持Windows、Linux和ESXi系统,以其快速加密功能见长。其与GhostSec勒索软件的相似性表明了一种趋势。RansomHub承诺,如果合作伙伴在受害者支付赎金后未能提供解密服务,或攻击了被禁止的组织,将免费解密数据。攻击模式表明其可能与ALPHV存在关联,且使用了相似的工具和TTPs。Sophos的研究还发现,其与Knight勒索软件有相似之处,包括使用GoObfuscate混淆的Go语言有效负载及相同的命令行菜单。
Fog勒索软件:针对美国教育网络的威胁
Fog勒索软件于2024年4月初首次出现,主要利用被盗的VPN凭证攻击美国的教育网络。其采用双重勒索策略,若受害者拒绝支付赎金,会将数据发布到基于TOR的泄露网站上。2024年,Fog在全球范围内攻击了87家组织。Arctic Wolf在2024年11月的报告中指出,Fog至少发起了30次入侵,所有入侵均通过被黑的SonicWall VPN账户完成。值得注意的是,其中75%的入侵与Akira组织有关,其余则归因于Fog,这表明两者可能共享基础设施。
Fog的主要攻击目标包括教育、商业服务、旅游和制造业,且其特别关注教育领域,这在勒索软件团伙中较为罕见。
Fog 攻击速度惊人,从初始访问到完成加密的最短时间仅为两小时。攻击遵循典型的勒索软件杀伤链,包括网络枚举、横向移动、加密和数据外泄。Fog的勒索软件支持Windows和Linux平台。
Lynx:活跃的双重勒索团伙
Lynx是近期非常活跃的双重勒索团伙,其网站上展示了大量受害公司。该组织声明,避免攻击政府机构、医院、非营利组织及其他关键社会部门。
一旦入侵系统,Lynx会加密文件并附加“.LYNX”扩展名,随后在多个目录中放置名为“README.txt”的勒索说明。仅2024年,Lynx就声称攻击了超过70家受害者,展现出其在勒索软件领域的频繁活动与重要地位。
2025年将会怎样?
由于对勒索软件团伙的打击力度加大,有记录以来新出现的团伙数量创下新高,这些新兴组织正试图打响自身名号。网络安全公司Cyberint预测,到2025年,其中部分新兴团伙将通过能力升级成为勒索领域的主导力量,而不仅仅是当前备受关注的RansomHub。