【文章转载】DragonForce与Anubis再掀风暴：勒索软件加盟制全面升级，你的数据还安全吗？

DragonForce 于2023年8月首次出现，最初作为传统的勒索软件即服务（RaaS）模式运营。自2024年2月在地下论坛上开始推广后，截至2025年3月24日，DragonForce泄露网站上公布的受害者数量已稳定增长至136个。

2025年3月19日，DragonForce在一篇地下论坛公告中宣布，品牌将重塑为“卡特尔”（Cartel），并转向一种分布式模式，允许各加盟者（Affiliates）创建自己的“品牌”（见图1）。

在这一新模式中，DragonForce为加盟者提供基础设施和工具，但不强制要求使用其指定的勒索软件。官方宣传的功能包括：管理与客户端面板、加密与勒索谈判工具、文件存储系统、基于Tor的泄露站点及.onion域名，以及相关支持服务。

这一策略使DragonForce区别于其他RaaS平台，吸引了更广泛的加盟对象。例如，基础设施和现成工具降低了技术门槛，使技术水平有限的攻击者也能参与。而对于技术更成熟的攻击者来说，这种灵活性允许他们使用自定义的恶意软件，同时无需自行搭建和维护基础设施。

通过扩大加盟者群体，DragonForce有望实现更高的盈利潜力。然而，共享基础设施也引入了风险：一旦某个加盟者遭到破获，其他加盟者的运营细节和受害者信息也可能一并暴露。

Anubis运营者采取了另一种方式来吸引加盟者。这一勒索计划于2025年2月底在地下论坛首次曝光，提供三种勒索模式：

• RaaS模式：传统勒索，涉及文件加密，加盟者可获得赎金的80%；

• 数据勒索模式：仅窃取数据进行敲诈，加盟者可获得赎金的60%；

• 入侵变现模式：协助已经入侵成功的攻击者勒索受害者，加盟者可获得赎金的50%。

在“数据勒索”模式中，攻击者会在受密码保护的Tor网站上发布一篇详细的“调查报告”，分析受害者的敏感数据。受害者可通过链接查看报告并协商支付赎金。如果拒绝支付，攻击者威胁将在Anubis泄露站点上公开该报告。

为了增加压力，攻击者还会通过X平台（原Twitter）公布受害者名称，并声称将通知受害者的客户。更进一步，Anubis运营者威胁要向以下监管机构报告数据泄露事件：

• 英国信息专员办公室（ICO）

• 美国卫生与公共服务部（HHS）

• 欧洲数据保护委员会（EDPB）

虽然这种向监管机构举报的手段尚不普遍，但已有先例：2023年11月，GOLD BLAZER攻击组织曾在一名受害者拒绝支付赎金后，将ALPHV（又名BlackCat）攻击事件报告给了美国证券交易委员会（SEC）。截至目前，CTU研究人员尚未发现其他勒索团伙有类似操作。

在“入侵变现”模式中，加盟者可利用攻击组织提供的受害者数据分析结果，在勒索谈判中加大施压（见图2）。

广告中明确指出，不接受部分地区和行业的受害者作为目标。与许多勒索组织类似，Anubis禁止攻击后苏联国家的组织，同时也排除了金砖国家成员（巴西、俄罗斯、印度、中国、南非、埃及、埃塞俄比亚、印尼、伊朗、阿联酋）。

此外，Anubis明确禁止针对教育机构、政府机构和非营利组织，但并未提及医疗机构。由于医疗行业拥有大量敏感数据且受严格合规要求制约，因此在Anubis模式下可能成为攻击的优选目标。

Secureworks发布的《2024威胁态势报告》强调，勒索软件仍然是企业组织面临的重大威胁。尽管部分勒索组织因执法打击而瓦解，但新的运营模式不断涌现。

第三方报告显示，整体赎金支付金额正在下降。这一趋势在不断增长的泄露网站受害者数量中也得到了印证，表明越来越多的受害者选择不支付赎金。为扭转这一趋势，网络犯罪分子正采用更加创新的商业模式和更具攻击性的施压手段。

尽管是否支付赎金需基于受害组织的自身风险评估，但支付赎金并不能保证数据能够恢复或避免信息泄露。采取积极的预防措施更为有效。

CTU研究人员建议组织采取以下防御措施：

• 定期为外网设备打补丁；

• 实施抗钓鱼的多因素认证（MFA）并纳入条件访问策略；

• 保持可靠的备份体系；

• 监控网络和终端，及时发现恶意活动。

同时，组织应制定并定期演练应急响应计划，以便在遭遇勒索攻击时迅速修复。美国网络安全与基础设施安全局（CISA）和英国国家网络安全中心（NCSC）也发布了相关勒索防护指南。

https://www.secureworks.com/blog/ransomware-groups-evolve-affiliate-models