勒索软件组织商业模式再创新：升级‘加盟制’！你的数据还安全吗？

安小圈

第655期

数据安全 · 勒索软件

网络安全公司Secureworks于2025年4月24日发布研究报告，揭露勒索软件团伙DragonForce和Anubis通过新型商业模式扩大攻击规模。DragonForce更名为“卡特尔”，推出“去中心化”联盟模式，允许附属团队使用自有恶意软件并共享基础设施（包括Tor泄密网站、加密工具及存储系统），以此降低技术门槛并吸引更多黑客加入。该模式虽提升攻击灵活性，但共享架构也带来风险——单一附属团队被攻破可能导致全局数据泄露。另一团伙Anubis则推出分层分润体系，提供三种合作模式：传统加密攻击（附属方获80%赎金）、数据勒索（60%）及访问权限变现（50%）。其“数据赎金”模式结合内容营销策略，将受害者敏感数据分析报告发布于密码保护的暗网页面，威胁公开数据并通知监管机构，以此施压支付赎金。Secureworks指出，此类模式创新反映勒索软件组织正企业化运营，通过适应执法打击和支付率下降的市场环境，最大化犯罪收益。研究强调，新模式可能重塑勒索软件生态。DragonForce的“基础设施托管”与Anubis的“定制化勒索”标志着攻击者从技术竞争转向服务竞争，通过降低参与门槛吸引更多附属方，从而扩大攻击覆盖面。据分析，2024年全球勒索支付额虽因执法行动（如LockBit取缔）出现下降，但新型商业模式或推动犯罪活动反弹。

尽管国际执法行动已成功破获多起知名勒索软件阴谋，但网络犯罪分子仍在持续展现其韧性和适应能力。2025年，Secureworks® 反威胁部门™ (CTU) 的研究人员观察到，DragonForce 和 Anubis 勒索软件运营商引入了新的模式来吸引关联企业并增加利润。

DragonForce：分布式联盟品牌模式

DragonForce于2023 年 8 月出现，是一款传统的勒索软件即服务 (RaaS) 方案。自 2024 年 2 月运营商开始在地下论坛上宣传该产品以来，相关泄漏网站上发布的受害者数量稳步增长，截至2025年3月24日已达136 人。在2025年3月19 日的一篇地下帖子中，DragonForce将自己重新命名为“卡特尔”，并宣布转向分布式模式，允许关联方创建自己的“品牌”（见图 1）。

图 1. DragonForce 宣布转向可定制联盟模式。（来源：Secureworks）

在这种模式下，DragonForce 提供其基础设施和工具，但不要求关联公司部署其勒索软件。其宣传的功能包括管理和客户端面板、加密和赎金协商工具、文件存储系统、基于 Tor 的泄密网站和 .onion 域名，以及支持服务。

这种方法使DragonForce有别于其他RaaS产品，并可能吸引众多关联企业。例如，成熟的基础设施和便捷的工具为技术知识有限的威胁行为者提供了更多机会。即使是经验丰富的威胁行为者也可能欣赏这种灵活性，它使他们无需创建和维护自己的基础设施即可部署自己的恶意软件。通过扩大关联企业基础，DragonForce可以提高其财务收益潜力。然而，共享的基础设施确实会给 DragonForce及其关联企业带来风险。如果一个关联企业受到攻击，其他关联企业的运营和受害者信息也可能被泄露。

Anubis：三种勒索选项

Anubis 运营者使用不同的策略来吸引联盟会员。该勒索方案于 2025 年 2 月下旬首次在地下论坛上发布，提供三种模式：

一是RaaS——一种涉及文件加密的传统方法，并向关联公司提供80%的赎金。

二是数据赎金——一种仅用于数据盗窃的勒索方式，联盟成员可获得60%的赎金。

三是访问货币化——一项帮助威胁行为者勒索已受害者的服务，并向关联方提供50%的赎金。

“数据勒索”选项涉及将一篇详细的“调查文章”发布到一个受密码保护的 Tor 网站上。该文章包含对受害者敏感数据的分析。受害者被授予访问该文章的权限，并获得一个协商付款的链接。如果受害者不支付赎金，威胁者就会威胁将文章发布到Anubis 泄密网站上。运营商通过 X（以前称为 Twitter）账户公布受害者姓名来施加压力。威胁者声称他们还会将此次入侵事件通知受害者的客户。这些策略已被多个勒索软件组织使用，但 Anubis运营商威胁要更进一步。广告中表示，他们将向以下机构报告入侵情况：

（1）英国信息专员办公室 (ICO)，专注于数据保护和信息权利

（2）美国卫生与公众服务部（HHS）

（3）欧洲数据保护委员会 (EDPB)，负责确保《通用数据保护条例》(GDPR) 的一致应用

这种升级策略尚未被广泛采用，但确实有先例。2023年11月，GOLD BLAZER威胁组织在受害者未能支付赎金后向美国证券交易委员会 (SEC)报告了一起ALPHV（也称为 BlackCat）勒索软件入侵事件。CTU™ 研究人员尚未发现其他勒索软件组织向监管或合规机构提交报告。

“访问货币化”选项专注于攻击后的活动，帮助关联方从受害者那里勒索赎金。与仅限数据盗窃的选项类似，关联方会收到受害者数据的详细分析报告，并利用这些信息在赎金谈判中施加压力（见图2）。

图 2. Anubis“访问货币化”服务的广告。（来源：Secureworks）

广告明确指出，特定地区和行业的受害者不受影响。与许多勒索软件组织一样，Anubis运营者也限制攻击后苏联国家的组织。此外，他们还排除了金砖国家（巴西、俄罗斯、印度、中国、南非、埃及、埃塞俄比亚、印度尼西亚、伊朗和阿联酋）的成员国。虽然广告表明 Anubis 明确限制攻击教育机构、政府实体和非营利组织，但并未提及医疗保健机构。医疗保健机构可能是 Anubis 模型中的理想目标，因为它们能够访问大量敏感信息，并且符合法规要求。

未来之路

Secureworks 2024年威胁状况报告强调，勒索软件仍然是企业面临的重大威胁。随着执法部门的打击，勒索软件攻击活动也逐渐增多，其他形式的勒索软件也随之出现。然而，第三方报告显示，勒索软件支付金额正在减少。勒索软件泄露网站上发布的受害者数量增加也印证了这一趋势，因为这些帖子反映的是尚未支付赎金的受害者。网络犯罪分子受经济利益驱使，因此他们正在采用创新模式和激进的压力策略，试图扭转局势，使其朝着有利于自己的方向发展。

虽然是否支付赎金的决定取决于组织机构的个人风险评估，但支付赎金并不能保证受害者能够重新获得其数据的访问权限或避免数据被公开。主动的预防方法可能更有效。CTU 研究人员建议组织机构定期修补联网设备，将防网络钓鱼的多因素身份验证 (MFA) 作为条件访问策略的一部分，维护强大的备份，并监控其网络和端点是否存在恶意活动。此外，组织机构应制定并定期测试事件响应计划，以快速修复勒索软件活动。美国网络安全与基础设施安全局(CISA) 和英国国家网络安全中心(NCSC) 也发布了降低勒索软件攻击风险的指南。

参考资源

1、https://www.darkreading.com/data-privacy/ransomware-gangs-innovate-new-affiliate-models

2、https://www.secureworks.com/blog/ransomware-groups-evolve-affiliate-models

END

【原文来源：网空闲话plus】