勒索软件团伙是网络犯罪分子，他们通过窃取、加密和威胁泄露数据来向组织索要钱财。随着勒索软件团伙的手段越来越激进，它们对全球组织的影响越来越大。本文介绍了 2024 年最值得关注的勒索软件团伙，包括它们常用的攻击方法。了解这些团体有助于您更好地防御。

长话短说

LockBit、RansomHub、PLAY、Hunters International 和 Akira 是 2024 年最活跃、影响力最大的勒索软件家族。勒索软件团伙使用双重和三重勒索等先进的手段，并经常利用软件漏洞入侵并索要赎金。Meow、KillSec、DragonForce、Cicada3301 等新的勒索软件组织正在带来新的攻击方式，因此您需要保持警惕并采取适当的网络安全实践。

注：

• 单重勒索：仅加密数据，要求支付赎金解密。
• 双重勒索：加密数据并窃取敏感数据，威胁公开或出售数据。
• 三重勒索：加密数据、窃取数据并对受害者及其客户或合作伙伴施加更多压力（如DDoS攻击、对其他第三方的勒索）。

最臭名昭著的勒索软件组织

勒索软件越来越受到关注，给全球组织造成了经济和声誉损失。从 2022 年到 2023 年，涉及勒索软件的攻击激增了 70% 以上。勒索软件团伙以勒索软件即服务的形式运营，针对特定行业并开发新的加密技术，对全球企业和组织产生了重大影响。

2023 年，勒索软件达到了历史最高水平，赎金支付和攻击数量大幅增加。2024 年上半年，每次攻击的平均赎金要求超过520 万美元。

在最活跃的勒索软件家族中，LockBit、RansomHub、PLAY、Hunters International 和 Akira 是最常见和影响力最大的。

随着勒索软件团体的发展，新的参与者不断涌现：

• Medusa
• BlackSuit
• Meow
• BianLian
• 8Base
• INC Ransom
• Qilin
• Rhysida
• Cactus
• Hive

勒索组织多如牛毛，不可能全部列举出来。想具体了解可以参考这几个网站。

• https://www.ransomlook.io/
• https://www.watchguard.com/wgrd-security-hub/ransomware-tracker
• https://www.nomoreransom.org/zh/index.html

这些新威胁行为者带来了新的技术和目的。了解他们的行动和策略是防御其载荷和勒索攻击的关键。

1.LockBit

尽管 2024 年初执法部门采取了重大打击行动，但 LockBit 仍然在全球勒索软件攻击中处于领先地位，并且仍然是最主要的勒索软件组织。虽然这些活动大部分与泄露的 LockBit 3.0 构建器以及该勒索软件家族在无关团体中的全球扩散有关，但 LockBit 仍然声称对比其他任何人都发动了更多攻击。他们没有放慢脚步的迹象，并且正在使用多种勒索软件变体和先进的技术进行入侵。

最引人注目的LockBit 勒索软件攻击之一是2023 年初针对皇家邮政的攻击。这次攻击导致国际航运中断 6 周，最初的赎金要求为 6570 万英镑，后来降至 3300 万英镑。另一起重大攻击是 2023 年 6 月针对台积电的攻击，LockBit 要求支付 7000 万美元的赎金。

LockBit 3.0 是最新版本，它继续通过网络钓鱼和社会工程利用漏洞。该勒索软件组织在北美、欧洲和亚太地区开展活动，使其成为全球威胁。自 2020 年以来，LockBit 在美国发动了 1,700 次攻击，收取了约 9100 万美元的赎金，是一股不容小觑的力量。

2.RansomHub

RansomHub 是一个新兴的勒索软件组织，因其对全球关键基础设施的攻击而迅速声名狼藉。该组织于 2024 年初首次被发现，采用双重勒索策略，不仅加密受害者数据，还威胁如果不支付赎金，就会泄露敏感信息。RansomHub 的目标是北美、欧洲和亚洲的行业，重点关注拥有关键基础设施的行业，例如医疗保健、制造业和教育。他们的一个显着特征是使用自定义勒索软件变体，这些变体经常更新以逃避安全工具的检测。他们还利用远程桌面协议 (RDP) 和虚拟专用网络 (VPN) 中的漏洞来获取初始访问权限。

最引人注目的 RansomHub 攻击之一包括2024 年 8 月对石油和天然气服务巨头哈里伯顿的攻击。随着该组织的知名度不断提高，其全球影响力和不断发展的策略使其成为安全措施过时或脆弱的组织的重大威胁。随着 RansomHub 的崛起，安全专家正在密切监视他们的活动，因为他们没有显示出任何放缓的迹象。

3.PLAY

PLAY 勒索软件组织于 2022 年中期出现，并迅速成为勒索软件领域的严重威胁。PLAY 以其激进的策略和精心协调的攻击而闻名，主要针对政府机构、金融机构和医疗保健组织等关键部门。该组织采用双重勒索模式，加密数据，同时威胁如果不支付赎金，将公开发布敏感信息。PLAY 因利用远程访问系统和未修补软件中的漏洞而臭名昭著，尤其是通过 Cobalt Strike 等工具在网络内进行横向移动。

该组织最严重的一次攻击发生在 2022 年底，当时他们针对南美一个主要城市的市政服务，导致政府职能中断数周。由于使用了复杂的加密算法和持久性技术，PLAY 特别难以检测和缓解。他们的国际影响力，针对北美、欧洲和拉丁美洲的组织，引起了网络安全专家和执法部门的关注。PLAY 不断发展，频繁调整策略以绕过安全防御，这使其成为安全措施薄弱或过时的组织日益关注的问题。

4.Hunters International

猎人国际是一个相对较新的勒索软件组织，近期势头很猛。于 2023 年出现，由于针对全球企业和关键基础设施进行有针对性的高风险攻击而迅速引起关注。该组织遵循双重勒索模式，加密受害者数据，同时威胁如果赎金要求得不到满足，就泄露数据。许多研究人员认为，猎人国际是现已不复存在的 Hive 勒索软件组织的直接继承者。猎人国际以其有条不紊的方法而闻名，通常会在网络内部花费数周或数月的时间识别和窃取最敏感的数据，然后再启动加密负载。他们利用远程访问工具和未修补软件中的漏洞，这对网络安全实践薄弱的组织尤其危险。

Hunters International 对其目标非常挑剔，通常会攻击有能力支付巨额赎金的大型企业。他们的手段越来越复杂，而且使用定制的勒索软件变体，这让他们成为网络安全专业人士越来越关注的问题，因为他们不断调整和改进策略以逃避检测并最大限度地发挥影响。

5.Akira

Akira 勒索软件组织于 2023 年初首次被发现，因其有效的双重勒索策略而迅速引起关注，该组织针对医疗保健、教育和技术等各行各业的组织。Akira 以加密关键数据和泄露敏感信息而闻名，并威胁如果不支付赎金，就会公布这些信息。该组织通常通过利用远程桌面服务 (RDP) 和虚拟专用网络 (VPN) 中的漏洞来获得初始访问权限，通常利用被盗凭据或未修补的系统。

据估计，Akira在全球各地发动了 250 多起攻击，获得了超过 4200 万美元的收入。该组织的特点是其激进的谈判策略和快速调整勒索软件变种以绕过安全防御。Akira 的活动范围遍布北美、欧洲和亚洲部分地区，重点关注网络安全态势较弱或系统过时的组织。随着它们的不断发展，Akira 仍然是一个重大威胁，尤其是对于那些没有准备好抵御复杂而持续的勒索软件攻击的组织而言。

6.Medusa

Medusa勒索软件组织近年来崛起，成为网络犯罪领域的重要威胁。该组织通过双重勒索手段进行攻击，既加密受害者的文件，还威胁如果不支付赎金将泄露数据。这种策略使受害者面临更大的压力。Medusa主要使用AES-256和RSA-2048加密算法，使破解几乎不可能。其攻击目标广泛，涉及金融、教育、医疗等行业。受害者通常会收到详细的勒索信，指示如何通过匿名的Tor网络支付赎金并联系黑客。Medusa的复杂勒索技术和精准目标选择，给全球众多机构带来了严重的安全威胁。

7.BlackSuit

BlackSuit勒索软件组织于2023年4月左右首次出现，以多重勒索手法为主，包括数据加密和外泄威胁。该组织的主要攻击目标包括医疗、教育、政府等关键行业。与其他勒索团伙类似，BlackSuit会通过鱼叉式钓鱼邮件、第三方框架（如Cobalt Strike）等途径投放恶意软件，并对Windows和Linux系统进行攻击。它的攻击策略尤其针对虚拟化环境，例如利用命令行参数终止VMware ESXi服务器，展现了其技术上的复杂性。

BlackSuit的加密机制采用OpenSSL的AES加密，支持渐进式加密，以减少对系统性能的影响。此外，它会删除影子副本，阻止系统恢复数据，进一步增加受害者支付赎金的压力。攻击时，它还会通过排除部分文件和目录来确保系统的关键进程不被打断

8.BlackSuit

BlackSuit勒索软件组织于2023年4月左右首次出现，以多重勒索手法为主，包括数据加密和外泄威胁。该组织的主要攻击目标包括医疗、教育、政府等关键行业。与其他勒索团伙类似，BlackSuit会通过鱼叉式钓鱼邮件、第三方框架（如Cobalt Strike）等途径投放恶意软件，并对Windows和Linux系统进行攻击。它的攻击策略尤其针对虚拟化环境，例如利用命令行参数终止VMware ESXi服务器，展现了其技术上的复杂性。

BlackSuit的加密机制采用OpenSSL的AES加密，支持渐进式加密，以减少对系统性能的影响。此外，它会删除影子副本，阻止系统恢复数据，进一步增加受害者支付赎金的压力。攻击时，它还会通过排除部分文件和目录来确保系统的关键进程不被打断。

9.Meow

Meow勒索软件组织首次出现于2022年，最初是源自Conti勒索软件的变种。该组织以其加密文件和数据勒索著称，常见的攻击手段包括通过网络钓鱼、远程桌面协议（RDP）漏洞及恶意广告等方式入侵系统。一旦入侵成功，Meow会使用ChaCha20和RSA-4096加密算法锁定数据，并通过勒索赎金要求解密。

Meow在2023年暂时停止活动，但2024年卷土重来，继续实施大规模的攻击，尤其针对医疗保健和研究等拥有敏感数据的行业。该组织还利用数据泄露网站公布未支付赎金的受害者信息，进一步威胁其声誉和数据安全。

与其他勒索组织不同，Meow近年来更倾向于采用“纯勒索”模式，可能不再仅依赖加密文件，而是直接威胁公布敏感数据来勒索赎金。

10.BianLian

BianLian勒索软件组织自2022年崛起后，迅速成为网络安全领域的重大威胁。起初，该组织通过加密攻击勒索受害者，但由于其早期加密算法存在漏洞，安全公司在2023年初发布了解密工具，使其损失严重。因此，BianLian从2023年起调整策略，转向主要依赖数据窃取和勒索，而不再过度依赖文件加密。

BianLian的攻击往往通过钓鱼邮件、凭证泄露或漏洞利用等常见手段入侵系统。入侵后，攻击者会部署多个后门程序，确保对系统的长期控制，并使用自定义工具进行数据窃取。该组织的后门工具主要用于下载和执行额外的恶意负载，通信通过多个C2服务器进行，以确保隐蔽性和持续性。

与许多勒索组织不同，BianLian更专注于通过威胁公开敏感数据来迫使受害者支付赎金，而非仅依赖文件加密。该组织特别瞄准医疗、制造等高价值行业，利用公司对数据隐私的关注，增加勒索的成功率。

勒索软件组织的运作方式

勒索软件团伙使用各种方法来破坏和部署恶意软件。这些方法包括勒索软件即服务 (RaaS)、双重和三重勒索以及软件漏洞利用。了解这些是建立勒索软件防御的关键。

勒索软件即服务 (RaaS)

勒索软件即服务 (RaaS)允许网络犯罪分子利用他人的技能和基础设施来做超出其能力范围的事情。在网络犯罪世界中，开发人员创建 RaaS 工具出租给其他恶意行为者，并扩大勒索软件攻击的频率和影响。这使得技术水平较低的犯罪分子更容易利用勒索软件进行大规模攻击。

双重和三重敲诈

双重勒索是指网络犯罪分子加密敏感数据并威胁如果不支付赎金就会公开数据。Maze勒索软件以这种策略而闻名，因为它会在加密受害者数据后，如果未支付赎金，就会公开被盗数据。这给受害者增加了更多压力，使他们更有可能支付赎金。

三重勒索将变得越来越普遍，它通过威胁进行分布式拒绝服务 (DDoS) 攻击或勒索受数据盗窃影响的第三方个人和组织，增加了另一层压力。例如，REvil 会删除影子副本并禁用恢复模式，因此无法恢复系统，使受害者更难恢复。

利用软件漏洞

利用软件漏洞是这些团体获取初始访问权限并部署恶意软件的常用策略。在这种情况下，访问代理在寻找漏洞和向网络犯罪团体出售访问权限方面发挥着重要作用。REvil 最初是通过 Oracle WebLogic 漏洞 ( CVE-2019-2725 )传播的，但后来扩展到 RDP 攻击和垃圾邮件活动。

一旦获得初始访问权限，威胁组织便可以利用特定漏洞来提升权限并在网络中横向移动。这样一来，他们便可以最大化破坏，并通过针对关键系统和数据增加获得报酬的机会。

如何防范勒索软件

防范勒索软件需要采取多层次的方法，包括多因素身份验证 (MFA)、定期数据备份以及全面的网络安全培训和意识计划。76 % 的组织经历过未知或管理不善的面向互联网的资产被攻击，因此需要设置和维护适当的保护措施。这将降低勒索软件感染的风险，并使组织更准备好应对攻击。

实施多因素身份验证 (MFA)

多重身份验证 (MFA) 要求用户提供两个或更多验证因素才能访问资源，这些资源可以是用户知道、拥有或天生拥有的资源。即使密码被泄露，这也将大大降低未经授权访问的风险，从而增强安全性。

MFA 可以通过添加更多验证层来防止未经授权的访问，因此它是任何网络安全策略中必不可少的。实施 MFA 的企业不仅可以保护其系统，还可以赢得公众对其数字服务的信任，表明他们关心安全。

定期数据备份

定期备份数据是最大限度减少勒索软件影响的关键。在谈到数据备份时，Allan Liska表示：

“我认为事情开始逐渐明朗，越来越多的人开始这样做，这意味着支付赎金的人越来越少”

这是一个好兆头，表明组织希望保证其数据的安全。

3-2-1 备份规则是一种常见做法，即拥有三份数据副本、两种不同类型的介质和一份异地副本。(特别要警惕云盘的备份，不是很安全) 这样，无需支付赎金即可恢复数据，从而减少停机时间和数据丢失。

由于93% 的勒索软件攻击都针对备份，因此确保备份安全也至关重要。备份必须离线存储或存储在云中，才能免受勒索软件的侵害。以下是备份存储和维护的一些最佳实践：

• 将备份存储在离线或云端，以便勒索软件无法访问它们。
• 加密异地备份，以便没有人可以访问它们。
• 使用自动备份解决方案来减少数据保护中的人为错误。
• 定期维护和测试备份以防受到攻击。

网络安全意识培训

全面的网络安全培训和意识是预防勒索软件感染的关键。由于人为错误是数据泄露的首要原因，因此必须培训员工识别和应对安全威胁。

为了提高识别和应对实时安全威胁的能力，员工应：

• 定期接受网络安全最佳实践培训
• 参与模拟袭击以练习他们的反应
• 了解最新的安全威胁和趋势
• 关注独眼情报公众号学习网络安全知识
• 识别网络钓鱼尝试，这是勒索软件的常见媒介
• 定期更新培训计划，确保员工了解最新的勒索软件策略
• 模拟网络钓鱼测试，帮助员工实时识别和避免威胁

在组织内创建网络安全意识文化是最大限度降低勒索软件攻击风险的关键。

总结

勒索软件是 2024 年最大的威胁之一。了解 LockBit、PLAY、Hunters International、RansomHub 和 Akira 勒索软件团体的运作方式以及新兴团体是制定防御策略的关键。他们使用 RaaS、双重和三重勒索以及软件漏洞等复杂策略来最大限度地发挥影响。

预防勒索软件攻击需要采取多层次的方法、MFA、定期备份和全面的网络安全培训。随时了解最新的勒索软件威胁并实施强有力的安全措施，关注独眼情报这样的公众号，以最大限度地降低风险并做好应对攻击的准备。