勒索软件作为重要的威胁载体,每年给企业组织和基础设施运营商造成数十亿美元的损失。这些威胁的背后往往是专业的勒索软件团伙,其中一些直接对受害者进行攻击,而另一些则采用流行的勒索软件即服务(RaaS)模式,让第三方团伙(附属机构)完成勒索活动并从中分一杯羹收益。随着勒索软件的威胁持续增长,了解这些团伙及其运作方式是防患于未然的有效方法。以下是最活跃的五个勒索软件非法组织的总结:1.ContiConti是一个臭名昭著的勒索软件团伙,自2018年以来长期占据媒体相关安全事件报道的头条,经常使用“双重勒索”方式,这意味着该团伙不仅索要赎金,还泄露了被攻击企业的敏感数据。它甚至运营着一个泄密网站ContiNews,专门发布有关被盗数据的信息。Conti与其他勒索软件组织的不同之处在于其活动缺乏道德约束,一再针对教育和医疗保健行业并向受害者索要数百万美元的赎金。Conti勒索软件组织长期以来一直以关键的公共基础设施为目标,例如医疗保健、医疗保健、能源、IT和农业。代表性事件包括入侵印尼央行、攻击国际码头运营商SEA-invest、攻击Browar。德县公立学校。最值得注意的是,在孔蒂袭击了几家政府机构后,哥斯达黎加总统宣布进入“紧急状态”。2.DarkSideDarkSide勒索组织遵循RaaS模式,针对大型企业进行勒索。此过程的工作原理主要是获得对目标公司网络的访问权限并加密网络上的所有文件。关于DarkSide勒索软件组的起源有几种不同的理论。一些分析人士认为,它的总部位于东欧某地,但其他人则认为该集团在多个国家设有分支机构,包括西亚和欧洲其他地区。DarkSide组织声称有一条底线:永远不要以学校、医院、政府机构或任何影响公众的基础设施为目标。然而,2021年5月,DarkSide对ColonialPipeline发起了攻击,并索要500万美元的赎金。这是美国历史上针对石油基础设施的最大规模网络攻击,中断了17个州的汽油和喷气燃料供应。该事件引发了一场关于关键基础设施安全以及政府和公司应如何采取更多措施来保护它的讨论。事后,DarkSide组织解释称,是第三方团队利用其勒索软件工具发起攻击,在美国政府的巨大压力下,该组织一度关闭业务。但最近的观察发现,DarkSide可能以全新面貌卷土重来。3、DoppelPaymerDoppelPaymer勒索团伙与2019年出现的BitPaymer勒索团伙一脉相承,主要通过RDP暴力破解和垃圾邮件传播。邮件附件中有一个自解压文件,勒索程序运行后释放并执行。DoppelPaymer组织遵循“双重勒索”勒索软件模式,主要针对北美地区的组织。在美国最大的燃料管道运营商之一的ColonialPipeline遭到DarkSide勒索软件攻击后大约一周,DoppelPaymer也不太活跃,但分析人士认为,该组织将自己更名为GriefGroup,因为两者共享相同的加密文件格式并使用相同的分发渠道,即Dridex僵尸网络。DopplePaymer经常针对石油公司、汽车制造商以及医疗保健、教育和紧急服务等关键行业。也是第一个致人死亡的勒索软件组织。据报道,在一次勒索软件攻击中,由于DopplePaymer锁定了通信系统,急救服务人员无法与医院进行通信,最终延误了患者的救治。该组织的代表性勒索软件攻击还包括在佐治亚州霍尔县发布选民信息,以及破坏起亚汽车美国公司面向客户的系统。4、LockBit由于执法部门的不断打击,一些传统的勒索软件组织开始没落,LockBit成为最新活跃的勒索软件组织之一。自2019年出道以来,LockBit一直保持着高速发展的态势,不断提升攻击能力和策略。LockBit最初是一个低调的团伙,但随着2021年底LockBit2.0勒索软件的推出而广为人知。该团伙遵循RaaS模式,采用“双重勒索”策略对受害者进行勒索。数据显示,2022年5月发生的勒索软件攻击中,超过40%与LockBit有关,其主要目标是美国、印度和欧洲的组织。今年早些时候,LockBit瞄准了法国电子跨国公司Thales,它还入侵了法国司法部并加密了他们的文件。最近,该组织声称入侵了意大利税务机构并窃取了100GB的数据。5.REvilREvil勒索软件组,也称为Sodinokibi,于2019年4月首次出现。它被西方国家认为是与俄罗斯政府机构关系密切的勒索软件组织,因此具有极强的勒索软件攻击能力。由于其雄厚的技术实力和系统的攻击手段,该团伙一经发现就引起了网络安全专业人士的关注。2021年3月,REvil攻击了电子和硬件公司宏碁并破坏了其服务器。一个月后,该组织对苹果供应商广达电脑发起了攻击。随后,REvil勒索病毒组织先后对JBSFoods、Invenergy、Kaseya等知名企业发起攻击。结果,几家公司被迫停业。其中,对Kaseya的攻击直接影响了全球1500多家公司。据媒体报道,俄罗斯执法部门于2022年1月逮捕了该团队的多名核心成员,并没收了价值数百万美元的资产。2022年4月以来,REvil勒索软件团伙有恢复活动迹象。
