勒索软件即服务（RaaS）模式、双倍勒索策略以及人工智能的广泛应用，共同构成了当前不断演变的勒索软件威胁格局。执法部门对LockBit等组织的打击，使得勒索软件市场更加碎片化，新玩家试图从中分一杯羹。攻击者包括国家行为体、RaaS运营商、独立操作者以及数据盗窃勒索团伙。以下是当前活跃的主要威胁组织的不完全列表，入选依据是它们的影响力或创新特征。

图片来源：DC Studio / Shutterstock

Akira

历史背景：Akira是一个复杂的RaaS组织，于2023年初出现，至今仍活跃。

运作方式：部署Akira的组织通常利用企业VPN设备的认证缺失、开放的RDP（远程桌面协议）客户端以及泄露的凭证来攻击企业系统。

目标受害者：主要目标包括北美、欧洲和澳大利亚的中小型企业。Palo Alto Networks的Unit 42情报部门指出，受影响行业包括制造业、专业法律服务、教育、电信、技术和制药业。

归属推测：间接证据表明其可能与俄罗斯有关，并与已解散的Conti勒索软件有关联，但归属仍不明确。HackerOne的EMEA解决方案架构师Shobhit Gautam表示：“该威胁组织因其数据泄露网站（DLS）和信息的‘复古美学’而引起关注。”

Black Basta

历史背景：Black Basta于2022年初出现在勒索软件领域，被认为是Conti的分支，后者以攻击大型组织而臭名昭著。

运作方式：Black Basta通常通过利用已知漏洞和社会工程活动部署恶意软件。Rapid7的威胁分析高级总监Christiaan Beek表示：“目标环境中的员工会遭到邮件轰炸，随后该组织冒充公司技术支持部门与他们联系。”

目标受害者：云安全公司Qualys的分析显示，全球超过500个组织受到Black Basta的影响。

归属推测：安全研究人员推测，Black Basta可能与FIN7网络犯罪集团有关，因为两者在逃避端点检测和响应系统的自定义模块上存在相似之处。

Blackcat (ALPHV)

历史背景：BlackCat，也被称为ALPHV或Noberus，于2021年11月出现，据称由已解散的Darkside组织前成员组成，后者曾因攻击Colonial Pipeline而臭名昭著。

运作方式：BlackCat使用的恶意软件针对Windows和Linux系统，采用三重勒索策略：要求支付赎金以解密文件、承诺不泄露被盗数据以及阻止分布式拒绝服务（DDoS）攻击。

目标受害者：BlackCat涉嫌多起高调攻击，最著名的是2023年9月对Caesars Entertainment和2024年2月对UnitedHealth Group子公司Change Healthcare的攻击。

归属推测：BlackCat组织已隐匿，可能是对执法行动的回应以及Change Healthcare攻击的影响。其核心成员可能成为美国起诉的目标。

BlackLock

历史背景：BlackLock（又名El Dorado）自2024年3月出现以来增长迅速。威胁情报公司ReliaQuest预测，它可能取代RansomHub成为今年最活跃的勒索软件组织。

运作方式：该组织通过开发自定义恶意软件脱颖而出，这是像“Play”和“Qilin”这样顶级组织的标志。其恶意软件针对Windows、VMware ESXi（虚拟化服务器）和Linux环境。攻击者通常加密数据并窃取敏感信息，威胁如果不满足勒索要求就公开这些信息。

目标受害者：BlackLock已攻击了多种目标，包括美国的房地产、制造业和医疗保健组织。

归属推测：BlackLock在专注于勒索软件的俄语论坛RAMP上非常活跃，积极招募包括初始访问经纪人在内的各种角色。其结构归属尚未明确。

Cl0p

历史背景：Cl0p勒索软件的历史可以追溯到2019年，过去六年的广泛滥用主要与俄语网络犯罪集团TA505和FIN11有关。

运作方式：Cl0p利用零日漏洞攻击目标，通常避免使用常规有效载荷，但仍依赖泄露网站勒索受害者。Rapid7的Beek表示：“我们观察到该组织利用高知名度平台的漏洞，在最短停机时间内窃取数据，例如利用Cleo文件传输软件中的漏洞。”

目标受害者：Cl0p攻击了全球多家大型组织，最臭名昭著的是2023年利用MOVEit漏洞发起的大规模攻击，影响了数千家组织。

归属推测：Cl0p勒索软件被归属于多个（主要是俄语）网络犯罪集团。

Funksec

历史背景：FunkSec是一个新的RaaS组织，于2024年底出现，仅在12月就宣称有超过85名受害者。

运作方式：FunkSec在恶意软件开发中使用人工智能，要求低额赎金，但其数据泄露的“可信度存疑”。Rapid7的Beek表示，部分泄露数据可能是从早期漏洞中重新利用的。

目标受害者：FunkSec宣称有大量受害者，但研究人员警告，一些泄露数据可能是重新整理的。

归属推测：FunkSec以RaaS模式运营，可能与俄语附属机构有关。

LockBit

历史背景：LockBit是一个通过RaaS模式运营的网络犯罪组织，在2024年受到打击后仍有复活的迹象。该组织以其高效的加密和双倍勒索策略而臭名昭著。

运作方式：尽管去年执法部门对其进行了大规模打击，LockBit仍继续使用日益强大的RaaS模式和双倍勒索策略。Searchlight Cyber的威胁情报主管Luke Donovan表示：“LockBit继续在暗网论坛上列示受害者、招募附属机构并试图恢复其声誉。”

目标受害者：在其鼎盛时期，LockBit攻击了全球数千名受害者，包括政府部门、私营公司和关键基础设施提供商。

归属推测：LockBit在俄语论坛上的活动以及目标模式让一些分析师认为该组织总部位于俄罗斯。俄罗斯公民Dmitry Yuryevich Khoroshev被西方执法机构列为LockBit的开发者和管理者，面临美国的起诉、资产冻结和旅行禁令。

Lynx

历史背景：Lynx的源代码与早期的INC勒索软件有48%的相似度，表明可能是同一威胁组织的更名或进化版本。

运作方式：Lynx 运营着 RaaS 并采用双重勒索策略。渗透到系统后，勒索软件可以窃取敏感信息并加密受害者的数据，从而有效地将他们锁定在外面。为了使恢复更加困难，它为加密文件添加了“.lynx”扩展名，并删除了卷影副本等备份文件。

目标受害者：自出现以来，该勒索软件已积极针对美国和英国的多个行业，包括零售、房地产、建筑、金融服务和环境服务。据帕洛阿尔托的 Unit 42 威胁情报小组称，Lynx 背后的组织在 2024 年 7 月至 2024 年 11 月期间攻击了美国各地的多个设施，其中包括与能源、石油和天然气相关的受害者。

归属推测：Lynx 作为RaaS模式 运行，这意味着它可能被多个网络犯罪分子而不是单个实体使用。

Medusa 

历史背景：  Medusa是一种RaaS，于 2022 年首次亮相。

运作方式： 该组织通常通过利用面向公众的资产中的漏洞、网络钓鱼电子邮件或使用初始访问代理来入侵系统。

目标受害者： Medusa 背后的网络犯罪分子以美国、欧洲和印度的医疗保健、教育、制造和零售组织为目标。

归属推测： 与 Medusa 相关的俄语网络犯罪论坛上的活动表明，该核心组织及其许多附属机构可能来自俄罗斯或邻国，但未得到完全证实。

Play

历史背景：Play 是 2022 年 6 月出现的勒索软件威胁。在瓦解其他主要威胁行为者后，该组织加强了其活动。

运作方式： 攻击者通常在泄露敏感数据后加密系统。除了其泄密网站外，Play 在暗网上保持相当低调，不在暗网论坛上进行宣传。

目标受害者：该组织针对各个行业，包括医疗保健、电信、金融和政府服务。

归属推测：Play 可能与朝鲜国家结盟的 APT 组织有关。

Qilin

历史背景：Qilin也称为 Agenda，是一家总部位于俄罗斯的 RaaS 集团，自 2022 年 5 月开始运营。

运作方式：该组织使用以 Golang 和 Rust 编写的勒索软件变体为目标，包括 Windows 和 Linux 系统，包括 VMware ESXi 服务器。Qilin遵循双重勒索模式——加密受害者的文件，并威胁如果不支付赎金就泄露被盗数据。

目标受害者：Qilin 在地下论坛上招募分支机构，并禁止攻击与俄罗斯接壤的独立国家联合体 （CIS） 组织。

归属推测：Qilin 的构成仍然未知，但被怀疑是与俄罗斯的网络犯罪组织有关。

RansomHub

历史背景：RansomHub 于 2024 年 2 月出现，并迅速成为主要网络威胁。该组织最初被称为 Cyclops，后来被称为 Knight，通过招募其他被打击的勒索软件组织（如 LockBit 和 ALPHV/BlackCat）及其附属组织来扩大其影响。

运作方式：一旦进入网络，RansomHub 附属公司就会泄露数据并部署加密工具，通常利用合法的管理实用程序来促进他们的恶意活动。

目标受害者：据 Rapid7 称，RansomHub 已与欧洲和北美各个关键领域的 210 多名受害者有关，包括医疗保健、金融、政府服务以及关键基础设施。

归属推测：归属仍未得到证实，但间接证据表明，这是一个有组织的讲俄语的网络犯罪活动，与其他已建立的勒索软件组织有联系。

参考来源：

The dirty dozen: 12 worst ransomware groups active today