Conti 和 REvil 等大型勒索软件团伙的衰落催生了很多较小的团伙，并对威胁情报提出了挑战。

勒索软件生态系统在 2022 年发生了重大变化，攻击者从主导格局的大型团伙转向规模较小的以勒索软件即服务 (RaaS) 的形式作战，以寻求更大的灵活性并减少执法部门的关注。勒索软件的这种民主化对企业组织来说是个坏消息，因为它还带来了战术、技术和程序 (TTP) 的多样化，需要跟踪更多的妥协指标 (IOC)，以及在尝试谈判或付款时可能需要跨越的更多障碍赎金。

思科 Talos 小组的研究人员在他们的年度报告中表示：“我们可以将加速的格局变化追溯到至少 2021 年的年中，当时 Colonial Pipeline DarkSide 勒索软件攻击以及随后执法部门对 REvil 的取缔导致几个勒索软件合作伙伴关系的分裂。”。“快进到今年，勒索软件领域似乎一如既往地充满活力，各种团体都在适应执法部门和私营企业不断增加的破坏性努力、内斗和内部威胁，以及一个竞争激烈的市场，勒索软件开发商和运营商不断改变他们的隶属关系寻找最有利可图的勒索软件运营方式。”

大型勒索软件团伙引起过多关注

自 2019 年以来，勒索软件领域一直由大型专业化勒索软件运营主导，这些攻击不断成为新闻头条，甚至寻求媒体关注以获得潜在受害者的合法解释。我们已经看到勒索软件组织的发言人为记者提供采访或在 Twitter 及其数据泄露网站上发布“新闻稿”以应对重大违规行为。

针对 Colonial Pipeline的DarkSide攻击导致 2021 年美国东海岸的燃料供应严重中断，突显了勒索软件攻击可能对关键基础设施造成的风险，并导致政府最高层加大打击这一威胁的力度。执法部门的高度关注促使地下网络犯罪论坛的所有者重新考虑他们与勒索软件团体的关系，一些论坛禁止发布此类威胁的广告。此后不久，DarkSide 停止运营，同年晚些时候紧随其后的是REvil（也称为 Sodinokibi），其创作者被起诉，其中一人甚至被捕。REvil 是自 2019 年以来最成功的勒索软件组织之一。

俄罗斯于 2022 年 2 月入侵乌克兰，这迅速给许多在俄罗斯和乌克兰或其他前苏联国家成员和附属机构的勒索软件组织之间的关系带来了压力。一些团伙，如conti，在战争中争先恐后地站队，威胁要攻击支持俄罗斯的西方基础设施。这与通常的类似商业的非政治方法背道而驰，在这种方法中，勒索软件团伙开展业务并招致其他竞争团体的批评。

随后还发生了内部通讯泄露事件，暴露了 Conti 团伙的许多运营机密，并引起了其附属公司的不安。在哥斯达黎加政府遭到重大袭击后，美国国务院悬赏 1000 万美元，以获取与 Conti 团伙领导人的身份或位置有关的信息，这可能是该组织在 5 月份决定关闭行动的原因之一。

Conti 的消失导致勒索软件活动在几个月内有所下降，但这并没有持续多久，因为空白很快被其他团体填补，其中一些是新成立的，并且被怀疑由 Conti 前成员创建，例如 REvil 和其他团伙在过去两年停止运营的组织。

2023 年最值得关注的活跃勒索软件团伙

LockBit一马当先

LockBit是在 Conti 关闭后通过改进其附属程序并启动新的改进版本的勒索软件程序来加强其运营的主要团伙。尽管它自 2019 年以来一直在运作，但直到LockBit 3.0 之后，该组织才设法在勒索软件威胁领域处于领先地位。

根据多家安全公司的报告，LockBit 3.0 在 2022 年第三季度造成了最多的勒索软件事件，并且是其数据泄露网站上列出的全年受害者人数最多的组别。这个小组可能会在 2013 年看到自己的衍生产品，因为 LockBit 的构建器被一位心怀不满的前开发人员泄露了。任何人现在都可以构建他们的勒索软件程序的自定义版本。据 Cisco Talos 称，一个名为 Bl00dy Gang 的新勒索软件组织已经开始在最近的攻击中使用泄露的 LockBit 3.0 生成器。

LockBit是一个著名的勒索软件即服务 (RaaS) 软件，已就对多伦多病童医院（也称为 SickKids）的攻击道歉，并提供免费解密器。

12 月 19 日，一家重要的儿科教学医院 SickKids宣布名为 Code Gray 的系统出现故障，因为它正在应对影响医院多个网络系统的网络安全事件。

该事件影响了一些内部临床和公司系统，以及医院电话热线和网页。12 月 29 日，SickKids 表示已恢复其 50% 的优先系统，包括那些导致诊断或治疗延误的系统。

LockBit 附属公司并不总是遵守其针对医院的政策。例如，去年 8 月，LockBit 被用来对付 Center Hospitalier Sud Francilien (CHSF)，并被勒索 1000 万美元的赎金。在医院拒绝付款后，患者数据随后被泄露。

显然，LockBit 已成为顶级勒索软件团伙，其勒索软件 3.0 版成为2022 年第三季度的主要勒索软件。

它的活动仍在继续。12 月 25 日，里斯本港成为 LockBit 的目标，尽管该港口表示没有任何运营活动受到损害。LockBit 已经在 Tor 暗网中的官方网站上发布了一张索要 150 万美元的赎金票据。该团伙表示，赎金票据需要在 1 月 18 日之前支付。

LockBit 的创建者将他们的勒索软件出租给称为附属公司的第三方，并控制该程序的加密器和数据泄露网站。该勒索软件被附属公司用来破坏网络，窃取或加密数据，以便从受害者支付的赎金中抽取高达 75% 的费用。

Hive勒索超过1亿美元

根据 Cisco Talos 的数据，在 LockBit 之后，2022 年受害者人数最多的团伙是 Hive。这是在今年 Talos 的事件响应活动中观察到的主要勒索软件系列，在 Palo Alto Networks 的事件响应案例列表中排名第三，仅次于 Conti 和 LockBit。根据 FBI、美国网络安全和基础设施安全局 (CISA) 以及美国卫生与公众服务部 (HHS) 的联合咨询，该集团在 2021 年 6 月至 2021 年 6 月期间从全球 1,300 多家公司勒索了超过 1 亿美元。

“众所周知，Hive 攻击者会使用 Hive 勒索软件或其他勒索软件变体重新感染受害者组织的网络，这些组织在没有支付赎金的情况下恢复了网络，”这些机构表示。

Black Basta，Conti 衍生产品

根据 Talos 的观察，今年第三多产的勒索软件团伙是Black Basta，该团伙被怀疑是 Conti 的衍生组织，其技术有一些相似之处。该团伙于 4 月开始运营，就在 Conti 关闭前不久，并迅速改进了其工具集。该团伙依赖 Qbot 木马进行分发并利用 PrintNightmare 漏洞。

从 6 月开始，该组织还推出了用于 Linux 系统的文件加密器，主要针对 VMware ESXi 虚拟机。这种跨平台扩展也出现在其他勒索软件组中，例如 LockBit 和 Hive，它们都有 Linux 加密器的勒索软件，例如用 Rust 编写的ALPHV (BlackCat)，可以在多个操作系统上运行。Golang 是另一种跨平台编程语言和运行时，也被一些较小的勒索软件团伙采用，例如 HelloKitty (FiveHands)。

Royal 勒索软件团伙势头强劲

另一个被怀疑与 Conti 有联系并在今年早些时候出现的组织叫做Royal。虽然它最初使用的是来自其他组织（包括 BlackCat 和 Zeon）的勒索软件程序，但该组织似乎受到 Conti 的启发或基于 Conti 开发了自己的文件加密器，并迅速获得了发展势头，在 11 月的受害者数量上超过了 LockBit。按照这个速度，Royal 预计将成为 2023 年最主要的勒索软件威胁之一。

Vice Society 瞄准教育行业

Royal 并不是唯一一个通过重复使用他人开发的勒索软件程序而取得成功的勒索软件团伙。根据 Cisco Talos 的数据，根据其数据泄露网站上列出的受害者数量，其中一个名为Vice Society的组织是第四大团伙。该团伙主要针对教育部门的组织，并依赖于 HelloKitty 和 Zeppelin 等现有勒索软件系列的分支。