勒索軟件作為一種重要的威脅媒介,每年都會給企業組織和基礎設施運營商造成數十億美元的損失。這些威脅的背后往往是一些專業的勒索軟件團伙,他們有些會直接攻擊受害者,而另一些則運營流行的勒索軟件即服務(Ransomware-as-a-Service、RaaS)模式,讓第三方團伙(affiliates)去完成勒索活動,并從中收益分成。
隨著勒索軟件威脅不斷加劇,了解這些勒索團伙及其運作方式是提前阻止勒索攻擊的一種有效方式。以下梳理了目前最活躍的5個非法勒索軟件組織:
1、Conti
Conti是一個臭名昭著的勒索軟件團伙,從2018年開始長期霸占著媒體相關安全事件報道中的頭條。它經常性地使用“雙重勒索”方法,這意味著該組織不僅會勒索贖金,還會泄露被攻擊企業的敏感數據。它甚至還專門運營了一個泄密網站Conti News來發布被盜數據信息。
Conti與其他勒索軟件組織的不同之處在于其活動缺乏道德限制,曾多次針對教育和醫療保健部門發起攻擊,并要求受害組織支付數百萬美元的贖金。
Conti勒索軟件組織長期以來一直以關鍵公共基礎設施為目標,例如醫療、保健、能源、IT和農業等,代表性事件包括入侵印度尼西亞中央銀行、襲擊了國際碼頭運營商SEA-invest、攻擊布勞沃德縣公立學校。最具代表性的是,哥斯達黎加總統在Conti襲擊多個政府機構后宣布進入“國家緊急狀態”。
2、DarkSide
DarkSide勒索軟件組織遵循RaaS模式,以大型企業為目標勒索資金。這一過程主要通過獲取對目標企業網絡的訪問權限并加密網絡上的所有文件來實現。關于DarkSide勒索軟件組織的起源有幾種不同的看法。一些分析人士認為,它的總部設在東歐的某個地方,但也有人認為該組織在多個國家均有分布,包括西亞和歐洲其它地區。
DarkSide組織聲稱自己有底線:從不針對學校、醫院、政府機構和任何影響公眾的基礎設施實施攻擊活動。然而在2021年5月,DarkSide針對Colonial Pipeline發起了攻擊并索要500萬美元的贖金。這是美國歷史上對石油基礎設施的最大網絡攻擊,擾亂了17個州的汽油和航空燃料供應。該事件引發了關于關鍵基礎設施安全性,以及政府和公司應該如何更加努力地保護它們的討論。
事情發生后,DarkSide組織解釋稱是有第三方團隊利用其勒索工具發起的攻擊,并在美國政府的巨大施壓下,該組織一度關閉了其業務。但最近的觀察發現,DarkSide或已改頭換面,卷土重來。
3、DoppelPaymer
DoppelPaymer勒索軟件團伙和2019年出現的BitPaymer勒索軟件團伙一脈相承,它主要通過RDP暴力破解和垃圾郵件進行傳播,郵件附件中帶有一個自解壓文件,運行后釋放勒索軟件程序并執行。
DoppelPaymer組織遵循“雙重勒索”勒索軟件模式,主要以北美地區的組織機構為攻擊目標。在DarkSide勒索軟件攻擊美國最大的燃料管道運營商之一Colonial Pipeline大約一周后,DoppelPaymer的活動頻率也一度降低,但分析人士認為,該組織將自己重新命名為Grief組織,因為兩者具有相同的加密文件格式并使用相同的分發渠道,即Dridex僵尸網絡。
DopplePaymer經常針對石油公司、汽車制造商以及醫療保健、教育和急救服務等關鍵行業。而它也是首個致人死亡的勒索軟件組織,據報道,在一次勒索攻擊活動中,因DopplePaymer鎖定通訊系統導致急救服務人員無法與醫院溝通,最終耽誤了對患者的救治。該組織的代表性勒索攻擊活動還包括發布喬治亞州霍爾縣選民信息、破壞起亞汽車美國公司面向客戶的系統等。
4、LockBit
由于執法部門的持續性打擊,一些傳統勒索軟件團體開始衰落,LockBit成為最新活躍的勒索軟件團伙之一。自2019年首次亮相以來,LockBit保持了快速發展的趨勢,并不斷增強其攻擊能力和策略。
LockBit最初是一個低調的團伙,但隨著2021年底LockBit 2.0勒索軟件的推出而廣為人知。該組織遵循RaaS模式,并采用“雙重勒索”策略來敲詐受害者。數據顯示,2022年5月發生的勒索軟件攻擊中,40%以上和LockBit有關,其主要攻擊目標主要為美國、印度和歐洲地區的組織。
今年早些時候,LockBit針對法國電子跨國公司泰雷茲集團發起攻擊,它還入侵了法國司法部并加密了他們的文件。最近,該組織又聲稱已經入侵了意大利稅務機構并竊取了100GB的數據。
5、REvil
REvil勒索軟件組織,又名Sodinokibi,于2019年4月首次出現。它被西方國家認為是與俄羅斯政府機構有密切關聯的勒索軟件組織,因此具有極強的勒索攻擊能力。鑒于其強悍的技術實力和系統化的攻擊手段,該組織在發現之初便吸引了網絡安全專業人士的注意。
2021年3月,REvil攻擊了電子和硬件公司Acer,并破壞了其服務器。一個月后,該組織對蘋果供應商廣達電腦(Quanta Computers)公司進行了攻擊。之后,REvil勒索軟件組織陸續針對JBS Foods、Invenergy、Kaseya等著名企業進行攻擊,結果導致數家公司被迫暫停業務,其中針對Kaseya的攻擊事件更是直接影響了全球1,500多家企業。
據媒體報道,俄羅斯執法部門于2022年1月逮捕了該團隊的多名核心成員,并沒收了價值數百萬美元的資產。自2022年4月,REvil勒索軟件團伙又出現恢復運行的跡象。
