2025年新兴勒索软件组织的崛起与影响

安全
网络安全公司Cyberint预测,到2025年,其中部分新兴团伙将通过能力升级成为勒索领域的主导力量,而不仅仅是当前备受关注的RansomHub。

2024年,全球勒索软件攻击事件达到5,414起,较2023年增长了11%。

尽管年初增长较为缓慢,但在第二季度和第四季度,攻击事件激增,其中第四季度共发生1,827起事件,占全年总数的33%。执法机构对LockBit等主要组织的打击导致这些组织分裂,引发了更多竞争,并促使小型勒索团伙数量上升。活跃的勒索软件组织数量从2023年的68个增至2024年的95个,增幅达40%。

2024年涌现的新勒索软件组织

2023年仅有27个新勒索软件组织出现,而2024年则检测到46个新组织,且数量在第四季度加速增长,达到48个活跃组织。在2024年的新组织中,RansomHub表现尤为突出,其活跃度甚至超过了LockBit。作为一家现已并入Check Point的公司,Cyberint的研究团队持续追踪最新的勒索软件组织并分析其潜在影响。本文将从RansomHub、Fog和Lynx这三个新兴组织入手,探讨它们在2024年的活动、起源及其战术、技术和程序(TTPs)。

RansomHub:2024年的领军者

RansomHub自2024年2月开始运作以来,已在其数据泄露网站上记录了531次攻击,成为2024年的主要勒索软件组织。在FBI对ALPHV组织实施打击后,RansomHub被视为其“精神继承者”,可能吸收了前ALPHV的成员。作为一款勒索软件即服务(RaaS),RansomHub对合作伙伴实行严格的协议,违反者将被禁止或终止合作。其赎金分配比例为90/10,合作伙伴占大头。

尽管RansomHub自称拥有全球黑客社区,但它明确避免攻击独联体国家、古巴、朝鲜、中国以及非营利组织,这一行为特征与传统的俄罗斯勒索软件团伙如出一辙。此外,其规避俄罗斯关联国家及与其他俄罗斯勒索组织的目标公司重叠,进一步表明其可能与俄罗斯的网络犯罪生态系统有密切联系。

Cyberint在2024年8月的研究发现,RansomHub的赎金支付率较低,只有11.2%的受害者支付了赎金(190人中有20人),且谈判通常会降低赎金要求。RansomHub更注重攻击数量,而非支付率,通过扩大合作伙伴规模确保长期盈利能力,尽管单次攻击的成功率较低。

RansomHub的恶意软件、工具集与TTPs

RansomHub的勒索软件基于Golang和C++开发,支持Windows、Linux和ESXi系统,以其快速加密功能见长。其与GhostSec勒索软件的相似性表明了一种趋势。RansomHub承诺,如果合作伙伴在受害者支付赎金后未能提供解密服务,或攻击了被禁止的组织,将免费解密数据。攻击模式表明其可能与ALPHV存在关联,且使用了相似的工具和TTPs。Sophos的研究还发现,其与Knight勒索软件有相似之处,包括使用GoObfuscate混淆的Go语言有效负载及相同的命令行菜单。

Fog勒索软件:针对美国教育网络的威胁

Fog勒索软件于2024年4月初首次出现,主要利用被盗的VPN凭证攻击美国的教育网络。其采用双重勒索策略,若受害者拒绝支付赎金,会将数据发布到基于TOR的泄露网站上。2024年,Fog在全球范围内攻击了87家组织。Arctic Wolf在2024年11月的报告中指出,Fog至少发起了30次入侵,所有入侵均通过被黑的SonicWall VPN账户完成。值得注意的是,其中75%的入侵与Akira组织有关,其余则归因于Fog,这表明两者可能共享基础设施。

Fog的主要攻击目标包括教育、商业服务、旅游和制造业,且其特别关注教育领域,这在勒索软件团伙中较为罕见。

Fog 攻击速度惊人,从初始访问到完成加密的最短时间仅为两小时。攻击遵循典型的勒索软件杀伤链,包括网络枚举、横向移动、加密和数据外泄。Fog的勒索软件支持Windows和Linux平台。

Lynx:活跃的双重勒索团伙

Lynx是近期非常活跃的双重勒索团伙,其网站上展示了大量受害公司。该组织声明,避免攻击政府机构、医院、非营利组织及其他关键社会部门。

一旦入侵系统,Lynx会加密文件并附加“.LYNX”扩展名,随后在多个目录中放置名为“README.txt”的勒索说明。仅2024年,Lynx就声称攻击了超过70家受害者,展现出其在勒索软件领域的频繁活动与重要地位。

2025年将会怎样?

由于对勒索软件团伙的打击力度加大,有记录以来新出现的团伙数量创下新高,这些新兴组织正试图打响自身名号。网络安全公司Cyberint预测,到2025年,其中部分新兴团伙将通过能力升级成为勒索领域的主导力量,而不仅仅是当前备受关注的RansomHub。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-01-17 10:41:43

2021-09-14 11:57:01

双重勒索勒索软件黑客攻击

2021-08-10 11:42:45

勒索软件网络攻击数据泄露

2011-11-04 14:40:58

金山手机软件

2023-11-15 16:48:32

2025-03-03 08:00:00

勒索软件数据泄露网络安全

2025-01-13 00:00:20

AI.NET应用场景

2021-06-14 08:10:41

勒索组织Prometheus网络安全

2022-10-11 15:06:50

安全勒索软件零信任

2022-09-08 08:49:25

勒索软件网络攻击

2025-02-25 08:56:20

2024-04-12 14:20:04

2023-07-06 14:26:43

2021-08-10 08:59:26

勒索软件黑客恶意软件

2023-07-04 16:12:13

2021-10-06 13:55:14

勒索软件攻击网络安全

2022-07-22 12:02:20

勒索软件H0lyGh0st

2018-09-05 09:22:04

2021-10-17 15:52:52

勒索软件恶意软件安全
点赞
收藏

51CTO技术栈公众号