最大的勒索病毒集团及其运作方式

撰写者

Atika Lim

在Facebook分享在Twitter分享在Whatsapp分享在Telegram分享通过电子邮件分享

勒索病毒威胁没有减缓的迹象，2023年的勒索支付总额首次超过10亿美金。

这些攻击变得越来越复杂，利用勒索即服务(RansomwareasaService RaaS)平台来实施更广泛和更频繁的攻击。

RaaS在特许经营体系下运作，中央集团开发勒索病毒工具并租赁给执行攻击的加盟商。这一模式降低了网路罪犯的进入门槛，扩大了攻击的规模。

像REvil、DarkSide和LockBit等集团进行了一些最具破坏性的勒索病毒攻击，使用双重勒索战术，即要求解密金钥的赎金以及避免数据泄漏的赎金。

定期更新软体、使用VPN下载及实施强认证方法可以抵御多种类型的攻击。

在勒索病毒攻击中，建议隔离威胁并避免支付赎金，同时通知执法部门。

想像一下，你的一天以一个惊讶的电脑画面开始，画面上显示著一个付款要求。去年，成千上万的人经历了这一噩梦，因为勒索病毒攻击激增，演变成一股无情的力量，威胁著个人和企业。勒索病毒是一种恶意软体，会加密数字档案，直到赎金支付后才能解锁。2023年，支付的赎金达到10亿美金，是历史上最高的金额。

网路罪犯使用越来越复杂的加密方法，使受害者几乎不可能在不支付的情况下恢复访问。此外，使用加密货币使攻击者能够匿名接收支付，进一步 complicating 追踪和起诉的努力。攻击的范围已扩大到不仅仅是单一系统，还包括瘫痪整个网络，包括重要基础设施和大型企业，导致显著的财务和运营中断。

这些事件不仅造成即时的财务损失，还在受影响的组织的声誉上留下长久的伤痕，使顾客和合作伙伴的信任受到侵蚀。勒索病毒集团不仅仅针对大型公司他们利用对所有拥有电脑和银行账户的人的恐惧，从我们对技术的依赖中获取利润。根据2024年全ianz风险指数调查，网路风险的财务风险已经成为全球企业关注的首要问题。

预计到今年年底，网路犯罪的经济影响将达到95万亿美金，并可能在2025年增至105万亿美金，这一增长由AI技术的进步推动。在这些攻击的核心是越来越可及的勒索即服务RaaS平台，租金低至40美金。

但谁是这些行动的幕后者？是什么驱使人们参与这种高风险的数位勒索？从寻求刺激的个人到受政治驱动的团体，这些攻击的动机与攻击者本身一样多样。

我们与 ExpressVPN 的伦理黑客和网路安全专家进行了深入交谈，探讨勒索病毒的黑暗世界。让我们一起来探索世界上最强大勒索病毒集团的动机、战术和重大影响。

跳到

勒索病毒攻击的日益威胁

2023年是勒索病毒活动的有记录以来最糟糕的一年。根据Chainalysis的数据，总赎金支付飙升至10亿美金，数字勒索出现了重大变化。金额的增长不仅仅在于金钱CyberInt报告显示勒索病毒事件激增了56，共计超过4368起攻击。这些数据包含来自新闻报导和勒索病毒团伙的报告，后者经常在黑暗网上公开他们的受害者，借此威胁他们泄露被盗数据。

在2022年短暂下降之后，当年支付的赎金数量低于前一年，但2023年强劲回潮。在经验丰富的黑客集团和强大的新成员的推动下，透过区块链网络追踪的勒索支付金额达到历史新高，几乎是前一年的两倍。这一回升部分得益于“猎大游戏”即勒索病毒操作员针对无法承受攻击并且更可能支付高额赎金的实体，突显出一个令人担忧的趋势。此外，一项Statista研究进一步说明了问题的规模，指出2023年全球被检测到的勒索病毒尝试达到318万起。

什么是勒索即服务RaaS？

这一增长的显著因素之一是勒索即服务RaaS的出现和普及。这种运作方式类似于特许经营模式，让中央集团能够开发勒索病毒工具并将其租赁给执行攻击的加盟商。该系统将高风险的数字勒索行为民主化，使得任何有需求和最低资本的人都能发起毁灭性的网路攻击。

“在过去，某人必须想要攻击你并且有能力执行这种攻击。现在他们只需要有这个需求和足够的资金来获得这些服务。”

Nathan Hartzell，ExpressVPN的首席安全架构师，解释了这一变化的深远影响，并强调：“在过去，某人必须想要攻击你并且有能力执行这种攻击。现在他们只需有这个需求以及足够的资金来获得这些服务。”

这种合作的方式不仅增加了勒索病毒攻击的频率，也提高了它们的覆盖面和效果，目标从私人个人扩展到关键基础设施的实体。加盟商展开勒索病毒，对受害者的档案进行加密，并要求赎金以解密，之后利润与RaaS提供者分享，进一步鼓励勒索病毒策略的创新和侵略。

借助RaaS赋能的集团

RaaS的增长促进了专业勒索病毒集团的兴起，它们利用这些平台执行攻击，令网路罪犯的获取行为变得前所未有的容易。ExpressVPN的威胁猎人和分析师Catalin Oancea揭示了由RaaS赋能的各类组织的动机和方法：

1 存取者或初步存取经纪人 这些集团专注于识别并利用目标网络中的漏洞，从高级攻击者到业余黑客不等，他们在系统中获得初步立足点，为勒索病毒的部署铺平道路。其策略包括钓鱼攻击和对登入及伺服器的稳定攻击。

2 数据经纪人 专注于窃取或获取个人信息，如姓名、地址和社会安全号码，数据经纪人在地下市场上销售这些信息。失窃的数据可用于各种非法活动，包括身份盗窃和钓鱼诈骗，往往与初步存取经纪人合作，以锁定潜在受害者。

3 间谍机构 这些集团与传统的经济驱动勒索病毒集团不同。他们用勒索病毒攻击来实现更广泛的地缘政治目标，比如干扰目标国家的运作，突显出勒索病毒在网路战争中的战略性使用。

使用RaaS的不同类型黑客

RaaS模式不仅简化了发起勒索病毒攻击的过程，还扩大了参与这些活动的个人和团体的范围。通过降低技术门槛，RaaS吸引了一系列不同的黑客，各自带来不同的动机和方法：

黑帽黑客进行非法活动，如金融数据盗窃、勒索病毒部署或关键系统破坏。利用RaaS，他们可以以最少的努力执行更多攻击，使用计时器和数据损失威胁等策略来勒索受害者支付金额。

又称伦理黑客，这些人利用自己的技能发现并修补系统漏洞。他们通常在安全公司工作或进行授权渗透测试，使用类似于RaaS中的工具来强化系统安全。

灰帽黑客利用安全漏洞但并无明显的恶意意图。这些人可能会使用RaaS工具来识别缺陷并公开披露，有时没有通知受影响的组织，目的是推动迅速修复并提高安全意识。

黑客活动分子以政治或社会活动为目的进行骇客攻击，伤害组织以表达抗议。RaaS使他们能够执行破坏性网络攻击，吸引公共关注于他们的理念。

这些是缺乏经验的黑客，使用预制的脚本或骇客工具发起攻击。RaaS之所以吸引他们，是因为它提供了强大的能力，而无需高级的技术知识。他们瞄准已知的广泛使用系统中的漏洞。

这些团体执行网路攻击以推进其国家的地缘政治利益。他们常常使用RaaS进行复杂的间谍活动，目标是外国政府、国防承包商和大型企业，以窃取敏感信息或破坏运作。

Hartzell还指出，这些团体的驱动力不仅仅是金钱。“这些行为者针对其国家目标相符的行业、个人和政府。黑客活动分子奔向他们最厌恶的行业，而脚本小子则针对他们认为能够暴利的任何对象。”

世界上最大的勒索病毒攻击

小型企业甚至个人都有可能受到勒索病毒的袭击。但那些上新闻的攻击一般都影响大型组织，使无数顾客的基本服务受到中断，有时还伴随著数据泄露的威胁。因此，这些攻击也更可能要求更高的赎金。

然而，在业务成本的更大范畴中，赎金要求往往看起来相对微不足道对于一家大型公司来说，几百万又算得了什么呢？这反映出攻击者希望得到支付，而不是遇到抵抗。对于拒绝支付的公司来说，损失几乎肯定会大于赎金本身。

以下是一些最大的勒索病毒攻击实例：

受害者 攻击者 发生了什么Colonial Pipeline Darkside 2021年5月的攻击瘫痪了系统，导致燃料无法到达顾客。Colonial Pipeline在攻击后几小时内支付了500万美金的赎金。稍后，司法部能够收回230万美金的加密货币赎金。哥斯达黎加政府 Conti 2022年4月，Conti对哥斯达黎加发动了一场勒索病毒攻击，导致公共行政和财务运作严重延误。哥斯达黎加政府宣布国家紧急状态，并坚决拒绝支付1000万美金的赎金，这笔赎金后来增加到2000万美金。哥斯达黎加的损失为每天3000万美金。Impresa Lapsus 2022年1月，Lapsus攻入葡萄牙媒体集团Impresa，导致多个网站和电视频道停摆。Lapsus将大量敏感数据在线泄露，包括电子邮件、合同以及员工和客户的个人信息。Windows系统，特别是英国国民医疗服务 Lazarus Group 2017年的WannaCry勒索病毒影响了全球的系统，利用Microsoft Windows中的漏洞。它对英国的NHS、电信公司以及其他全球商业机构造成了广泛干扰和经济损失。

世界上最大的勒索病毒集团

勒索病毒集团已变得如此复杂，以至于它们的运作像公司一样，据报导Conti是最大的勒索病毒集团之一，甚至拥有自己的HR部门。然而，勒索病毒集团的兴起和消亡相对迅速，经常在一次高调的攻击后关闭，并转变为另一组织。有时国际机构会协同作战以打击这些集团，但这并不妨碍新集团的出现。

那么，当前的主要参与者是谁？他们在做什么？以下是一些目前最大型的集团。

1 BlackBasta

BlackBasta于2022年初进入勒索病毒市场，据信是从Conti细分而来，Conti曾攻击了许多大品牌，并在攻击哥斯达黎加政府时成名。这意味著BlackBasta的成员一开始就拥有丰富的经验。

BlackBasta的 debut 方式不可谓不低调。该集团迅速建立了强大的声誉，主要通过对双重勒索战术的采用。这一策略涉及两种赎金：一种是为解密金钥，另一种是为防止泄漏被窃数据。

据说该集团去年至少榨取了1亿0700万美金的比特币，并通过加密货币交易所Garantex转移资金。

2 Blackcat (ALPHV)

BlackCat，也被称为ALPHV或Noberus，于2021年11月浮现，据说是由已解散的Darkside的前成员组成，暗黑组织曾以攻击Colonial Pipeline而恶名昭彰。该集团的恶意软件针对Windows和Linux系统。BlackCat因其三重勒索策略而臭名昭著，该策略包括要求支付赎金以解密文件，承诺不会泄漏被盗数据，并防止分布式拒绝服务攻击DDoS。

根据FBI的说法，全球已有超过1000名受害者受到BlackCat的攻击。它以RaaS的模式运作，通过网路犯罪论坛招募加盟商。今年1月，它攻击了OilTanking GmbH，之后在2月攻击了Swissport，捕获了16TB的敏感数据，包括内部通信和个人信息。尽管Swissport在两天内缓解了攻击，BlackCat仍然将被盗数据投入市场，展示了其双重勒索的战术。

3 Clop

Clop，也称为Cl0p，是一个知名的勒索病毒集团，以其复杂的多层次勒索计划和广泛影响而闻名。该组织因发起加密受害者数据的勒索病毒攻击而臭名昭著，通常在加密文件上添加“clop”扩展名，标志著其在网路犯罪领域的独特印记。他们的目标跨越各个行业，包括金融机构、关键基础设施服务商、医疗组织、大型企业和教育机构。

最近，该集团涉嫌利用Progress Software的MOVEit Transfer一种用于企业档案传输的工具的零日漏洞，发动了广泛的攻击，从各组织窃取数据，包括政府、公众和商业单位。受这次攻击影响的著名受害者包括纽约市的公立学校系统及一家总部位于英国的HR解决方案和薪资公司，其客户包括英国航空和BBC。

4 LockBit

LockBit提供不同版本的RaaS软体。(图片来源 WikiCommons)

LockBit成立于2019年，迅速成为世界上最知名的勒索病毒集团之一，接收的赎金超过12亿美金。

LockBit以RaaS模式运作，为加盟商提供先进的恶意软件和攻击基础设施，加盟商执行攻击并分享利润。该集团的目标范围广泛，包括能源、制造、政府、医疗和教育，突显出他们所带来的广泛和严重的威胁。

今年，LockBit受到重创，美国和英国执法机构查封了该集团用来协调攻击的网站和使用的伺服器。两名与该集团有关的人也被起诉。该集团可能无法继续运作。

5 REvil

REvil的勒索备注。 (图片来源 MalwareBytes)

REvil，也被称为Sodinokibi勒索病毒集团，运作模式是RaaS。该计划涉及创建和租赁恶意软体，该软件加密受害者的文件。加盟商利用此勒索病毒针对个人和企业，要求支付以解锁数据，REvil则从中抽取佣金。

该集团因针对高端受害者如Apple而声名在外。他们还经营一个黑暗网市场Happy Blog，威胁要公开被盗的数据，除非支付赎金。尽管国际执法机构包括与俄罗斯的合作在2022年初努力遏制他们的行动，但REvil的遗产和方法仍然提醒人们注意RaaS的危险和勒索病毒攻击的持续威胁。

勒索病毒目标是如何以及为什么被选中的？

虽然任何人都可能成为勒索病毒攻击的受害者，但Hartzell指出，集团通常会选择涉及重大商业事件如合并或产品发布的企业。这些时期因潜在的名誉损害和股票价格变化而变得非常吸引人，金融、医疗和关键基础设施等行业尤其受到青睐，因为它们在运营上具有重要意义。FBI的报告指出，攻击者还会在业务空档期间如周末和假期战略性地进行行动，以利用减少的防御活动。

“富有个人成为目标的原因在于，他们的个人资料，如电子邮件、Facebook或Instagram账号，手机黑客购买的几千或几百万个账号中的一个。”

然而，威胁不仅限于公司，也延伸到个人，特别是那些拥有公众形象或富裕的人。Hartzell解释道：“越来越多，[富裕个人]成为目标，是因为他们的个人信息，如电子邮件、Facebook或Instagram账号，正是黑客购买的数千或数百万个列表中的一个，用于自动化攻击。”

这种直接的敲诈已在芬兰的Vastaamo心理治疗诊所事件中得到了鲜明的体现。该诊所的数据泄露最初发生在2018年和2019年，导致数万份患者记录被盗，其中包含高度敏感的信息。到2020年底，攻击者开始直接向诊所和个别患者施压。他们要求支付高额赎金，诊所约50万美金的比特币，患者每人约240美金，以防止其私人疗程的公开发布。

勒索病毒组织使用的心理战术

显然，勒索病毒攻击不仅扰乱系统，还深深影响著受害者的心理状态。今天，勒索病毒集团不仅旨在瘫痪系统，还希望将受害者逼至绝境。感到无路可退和焦虑的许多人认为支付赎金是唯一的解脱。

威胁在公共羞辱网站泄露数据

今年早些时候，一个深具关注的趋势出现，涉及针对青少年男孩的敲诈计划。在这些性勒索诈骗中，施害者威胁要泄露青少年之间分享的私密影像，并因此导致多起自杀案例。这些事件鲜明地展示了威胁分子如何利用公共羞辱策略来迫使受害者支付赎金。这一方法涉及互联网罪犯威胁要在互联网或黑暗网上公开个人资料，如财务记录、私密影像或私密信息，除非支付赎金。这一策略利用了对名誉损害和泄密所带来的潜在法律后果的恐惧。

通过利用公共羞辱网站，攻击者为个人和组织施加了巨大的压力，公开泄露个人细节的威胁可能导致极大的情感困扰，并促使受害者迅速遵从赎金要求以避免费用进一步的损害。

虚拟和实体威胁

勒索病毒集团越来越多地采取其他类型的威胁策略，以扰乱和迫使受害者服从。通过利用在初步入侵中窃取的数据，一些攻击者通过电话、电子邮件甚至控制公司打印机来发出勒索要求，直接骚扰员工。这种直接方式会造成恐慌和紧迫感。此外，使用倒数计时器会加剧压力，设定严格的最后期限。如果赎金未能在此时间内支付，要求的金额可能会增加，或者对至关重要数据的访问可能会被永久剥夺。

社交工程

社交工程是一种欺骗性技术，网路罪犯利用该技术迫使个人泄露机密信息或访问安全系统。这一方法利用基本的人类行为，例如响应紧急请求、免费提供的诱惑或者恐惧，通过误导受害者来导致安全错误。常见的策略包括：

一旦建立了信任，攻击者可能会要求受害者点击链接或下载附件，进而在其系统中感染恶意软体。Hartzell解释道：“社交工程利用基本的人类倾向，例如对紧急请求的响应、贪婪或恐惧。最有效的对策是培养怀疑的文化。”

定向攻击

网路攻击者越来越多地精练他们的策略，使其活动更加个性化和直接。这包括在钓鱼电子邮件或勒索要求中使用受害者的姓名，意在使威胁看起来更加迫在眉睫。这种个性化的方式旨在促使受害者迅速行动。

这些攻击的复杂性因网络安全技术的进步而增强，如增强的电子邮件过滤、高级防毒程序及机器学习工具。

Oancea解释了这些策略的变化。他表示：“历史上，网路罪犯通常会发送几百万条通用垃圾邮件。随著检测技术的改善，这些广泛的攻击通常在到达用户之前就被拦截。今天的集团更有可能使用更难检测和对收件人来说更有压迫感的定向方法。”

人工智慧在勒索病毒攻击中的角色

网路罪犯将人工智慧 (AI) 应用到其策略中的另一个重要部分是个性化攻击。

增强钓鱼攻击

AI技术使攻击者能够创建更具说服力和复杂的钓鱼活动。通过使用深度伪造技术，罪犯可以创建和传播真实的音频和视频内容。例如，在2023年，出现了一起事件，伪造影像在五角大厦上空出现黑烟，引起短暂混乱并导致股市下跌。

精密的语音钓鱼诈骗

进一步而言，AI在执行惊人的真实语音钓鱼诈骗中发挥了核心角色。这些AI生成的电话通话以高度准确性模仿人声，让假交互看起来真实可靠。这种先进的技术超越了传统的钓鱼和针对性钓鱼，涉及详细的互动，旨在误导受害者，使其违反安全。

简化目标识别

AI能够快速分析大量数据，也增强了网路罪犯操作的效率。通过自动化选定潜在目标，AI允许网络犯罪分子更有效地集中资源，缩短计划和执行攻击所需的时间。

这些AI辅助的网络攻击的发展进一步强调了社会需采取主动和适应性的网路安全之道。

如何保护自己免受勒索病毒侵害

随著勒索病毒攻击的规模和复杂性持续上升，保护自己免受这些网络威胁变得至关重要。研究显示，Thales Threat Report一致认为，人为错误是数据泄漏的主要原因，这突显了全面网络安全培训和强有力技术防御的重要性。以下是一些可以强化数位防线及保护数据免受勒索威胁的建议：

定期更新您的软体

定期更新软体可以填补安全漏洞，降低勒索病毒感染的风险。网路罪犯经常利用过时系统中的已知漏洞，因此保持更新是您的第一道防线。

使用VPN

使用VPN可以增强您的数字安全，特别是在公共WiFi网络上。虽然VPN不能防止您成为钓鱼或恶意软件攻击的受害者，但它加密了您的网络连接，保护您的数据免受网络监视和潜在拦截者的侵害。

使用强认证流程

实施强大的认证方法，比如多因素认证 (MFA) 或双因素认证 (2FA)。这些方法增加了至关重要的安全层，使攻击者即使拥有您某些凭证也难以未经授权访问。

保持警惕和健康的怀疑态度

随时注意最新的网路威胁和钓鱼策略。对 inesperado 的请求或消息保持怀疑，特别是那些附带链接或附件的请求，并在响应或点击之前验证其真实性。

“没有人会在电子邮件中给你发送免费的钱，而你的银行将不会在担心资金方面给你发电子邮件。银行会给你打电话。真正的律师会告诉你，意外有资金来自某处。如果听起来不可思议或过于美好，请假设这是错误的并挑战来源。”

安装可信的安全软体

部署全面的安全解决方案提供实时保护。寻找能持续更新威胁数据库并提供强有力的监控工具以检测和阻止新兴威胁的反恶意软件和杀毒程序。

备份您的数据

遵循321备份原则保留三份数据，存储在两种不同的媒介上，并保留一份备份在异地。定期测试您的备份，以确保在攻击发生时能够迅速恢复。

定期进行培训及模拟钓鱼测试

教育自己和您的工作人员最新的网路威胁及防御策略。定期的培训和模拟攻击可以帮助您更好地识别和及时应对安全威胁。

法律和合规性

确保遵守相关法律和数据保护的监管框架。这不仅有助于防止法律责任，还能增强整体网络安全防护能力。

如果您成为勒索病毒的受害者该怎么办

尽管您已经尽了最大努力保护自己的数据和系统，但不幸的是，勒索病毒仍可突破您的防卫。这主要由于网路罪犯使用的策略非常高明且不断演进，能够利用微小的漏洞。若您发现自己身处这一紧张处境，请遵循以下步骤指南：

1 迅速隔离威胁

第一步是防止勒索病毒进一步扩散。将受影响的设备从所有互联网和本地网络连接中断，无论是电脑还是智能手机。如果受感染的设备是公司网络的一部分，请立即通知IT部门以启动隔离协议。

2 避免支付赎金

虽然支付赎金似乎是一个快速的解决方案，但这样做风险很大，无法保证您能够恢复访问您的文件。屈服于攻击者的要求只会加剧未来勒索病毒攻击的循环。

3 评估您的备份选项

如果您定期保持干净的数据备份，您可能可以在不与攻击者互动的情况下恢复文件。这一步强调了将定期备份作为网络安全最佳实践的一部分的重要性。

4 报告事件

通知当地执法部门报告网络攻击。他们会维护此类事件的纪录，并可能提供协助或指导。此外，应向相关的网络安全服务报告此事件，或直接向涉及的平台如Apple或Microsoft报告，特别是如果有风险文档的攻击者已获得您的支付信息。

5 进行恶意软体扫描

使用可信的杀毒或反恶意软件工具，彻底扫描设备是否存在勒索病毒及其他恶意软件的残留。如果是大范围感染，考虑咨询网络安全专家以确保您的设备得到彻底清理。

6 更新您的安全凭证

更改所有通过受影响设备访问的账户密码，特别是关键账户，如电子邮件和银行账户。同时，建议在可能的环境中启用多因素认证。

常见问题：有关勒索病毒集团的问题

参与勒索操作的人员往往是组织化的网络非常可行的罪犯团体。这些集团的规模和结构各异，从小团队到拥有数十名成员的大型高端网络。以下是一些通常参与勒索活动的个人和团体的关键特征：

三种主要的勒索病毒类型是：

是的，参与勒索病毒活动可能会遭刑拘。勒索病毒攻击在世界许多法域包括 美国、欧盟和其他许多国家被视为严重犯罪。这些罪行通常会被纳入计算机罪、网路恐怖主义、诈骗及敲诈等法律范畴。

黑客的合法性主要取决于黑客的动机和行为。在网络安全领域，黑客根据其意图被划分为白帽黑客和黑帽黑客。

Atika Lim

为这篇文章点赞，或分享您的看法！