勒索软件的不断演变的威胁:RansomHub 的崛起、Lockbit 的衰落以及数据勒索的新时代
Posted: Mon Feb 17, 2025 3:37 am
勒索软件格局正在经历重大变化,RansomHub等新参与者日益突出,而Lockbit等之前占主导地位的团体则急剧衰落。勒索软件仍然是最普遍的网络威胁,以经济为目的的犯罪集团部署了越来越复杂的策略,包括勒索软件即服务 (RaaS)模式和双重勒索。本报告基于Check Point Research (CPR) 2024 年 9 月的分析,深入回顾了当前的勒索软件趋势、主要参与者及其对工业制造、教育和医疗保健等行业的影响。
这种战术的演变,加上新兴团体不断增强的能力,给全球组织带来了重大挑战。该报告旨在深入了解这些发展情况,并为企业如何更好地保护自己免受勒索软件攻击提供指导。
图 1 – 2024 年 9 月勒索软件羞辱网站受害者威胁行为者分析。
2. 主要发现
Check Point Research (CPR)的主要发现凸显了勒索软件生态系统的持续变化,其中新参与者正在取得进展,而传统强者的影响力正在下降。2024年 9 月的统计数据不仅反映了参与者的变化,还反映了这些团体所采用的策略的持续变化。
2.1.RansomHub 的崛起
RansomHub是一家相对较新的勒索软件组织,于2024 年 2 月出现,并迅速崛起,成为勒索软件领域的主导者。该组织通过采用RaaS 模式运营,允许关联方使用其工具和基础设施进行攻击,取得了巨大成功。
图 2 – 暗网论坛上发布的 RansomHub 远程加密功能公告。
2024 年 9 月,RansomHub 占所有勒索软件受害者的19%,新增受害者 74 人,较2024 年 8 月的72 人略有增加。
图 3 – RansomHub 受害者随时间变化的情况
RansomHub 的增长可归因于其使用先进 阿富汗电话号码数据 的技术能力,例如远程加密,这使得关联公司无需运行本地加密过程即可加密本地数据,这使得其检测和预防更加复杂。
目标行业:该组织主要针对美国公司,尤其是工业制造和医疗保健行业。尽管该组织明确表示不攻击医疗保健组织,但9 月份仍有10 家医疗保健实体遭到攻击,其中包括社区诊所和外科中心,这表明该组织对附属机构的监管不够严格。
全球影响:RansomHub 的影响遍及全球,但北美地区的攻击集中度仍然很高,43%的受害者位于美国。
图 4 – 2024 年 9 月 RansomHub 报告的受害者按国家/地区分析。
技术创新:RansomHub 引入远程加密功能,凸显了与防御者之间“猫捉老鼠”游戏的另一项技术改进。这项创新允许联盟者通过暴露的未受保护的机器加密受害者系统,降低检测风险并提高攻击成功率。
2.2.Lockbit的衰落
Lockbit曾在2022-2023 年期间造成40%的勒索软件受害者,但近几个月来其运营能力急剧下降。2024年 9 月,该组织仅占受害者的5% ,新增案件 20起,与前几年的高峰活动相比大幅下降。
Lockbit 9 月份声称的受害者中,有相当一部分(约40%)是从之前的攻击中回收的。这意味着 Lockbit 要么重新发布了之前攻击中的受害者,要么声称受害者已经被其他勒索软件团体勒索过。回收受害者很可能是为了在2024 年 2 月的大规模执法打击之后,维持活动持续进行的表面现象。
图 5 – Lockbit 索取了受害者的数据。
联盟会员信心维护:Lockbit 对其RaaS 模型的依赖意味着它依赖于其联盟会员对其平台的信心。发布回收受害者的信息很可能是为了在 2024 年 2 月执法部门对其业务进行打击后展示“一切如常”的假象。Lockbit 依靠维护联盟会员对其基础设施的信心,以确保他们继续使用其平台并向该组织支付部分收入。这表明 Lockbit 的实际活动下降幅度甚至超过了其过去一年已经减少的声称受害者数量所暗示的幅度。
战略变化:尽管业务量有所减少,Lockbit 仍继续专注于高回报领域,尤其是工业制造和物流,但其运营规模现在比以前小得多。
图 5:Lockbit 活动下降——2023 年至 2024 年 9 月每月受害者数据勒索。
2.3.喵呜勒索病毒:转向数据勒索
Meow 勒索病毒于2022 年底首次出现,最初采用典型的基于加密的攻击模式。然而,近几个月来,该组织将重点转向数据盗窃和勒索,放弃加密,转而出售被盗数据。
新的商业模式:Meow 不再锁定文件并索要解密赎金,而是窃取敏感数据,并向受害者提供选择:支付赎金以阻止数据公开发布,或允许将数据出售给其他网络罪犯。Meow泄密网站目前列出的被盗数据价格从500 美元到 200,000 美元不等。
图 6 – 喵洋葱网站上出售的数据。
非加密攻击:Meow 的做法反映了更广泛的持续行业转变,因为许多勒索软件团体正在远离基于加密的攻击,这使攻击者面临更高的被发现风险和越来越多地使用备份解决方案。通过专注于数据盗窃,这些团体可以以仅靠加密无法实现的方式利用敏感信息。
2.4.Play勒索病毒与Qilin的持续活跃
Play 勒索软件在2024 年 9 月排名第二,新增受害者 43 名,与其每月平均32 名受害者的数量一致。Play 继续以美国公司为目标,75%的受害者位于美国,主要集中在制造业和消费品领域。
同样,俄语 RaaS 组织Qilin勒索软件 (Agenda)继续将目标锁定在北美。9 月份,86%的受害者位于北美,尤其是美国和加拿大。这两个组织都表现出稳定、持续的活动,但仍然屈居于主导地位的 RansomHub 之下。
这种战术的演变,加上新兴团体不断增强的能力,给全球组织带来了重大挑战。该报告旨在深入了解这些发展情况,并为企业如何更好地保护自己免受勒索软件攻击提供指导。
图 1 – 2024 年 9 月勒索软件羞辱网站受害者威胁行为者分析。
2. 主要发现
Check Point Research (CPR)的主要发现凸显了勒索软件生态系统的持续变化,其中新参与者正在取得进展,而传统强者的影响力正在下降。2024年 9 月的统计数据不仅反映了参与者的变化,还反映了这些团体所采用的策略的持续变化。
2.1.RansomHub 的崛起
RansomHub是一家相对较新的勒索软件组织,于2024 年 2 月出现,并迅速崛起,成为勒索软件领域的主导者。该组织通过采用RaaS 模式运营,允许关联方使用其工具和基础设施进行攻击,取得了巨大成功。
图 2 – 暗网论坛上发布的 RansomHub 远程加密功能公告。
2024 年 9 月,RansomHub 占所有勒索软件受害者的19%,新增受害者 74 人,较2024 年 8 月的72 人略有增加。
图 3 – RansomHub 受害者随时间变化的情况
RansomHub 的增长可归因于其使用先进 阿富汗电话号码数据 的技术能力,例如远程加密,这使得关联公司无需运行本地加密过程即可加密本地数据,这使得其检测和预防更加复杂。
目标行业:该组织主要针对美国公司,尤其是工业制造和医疗保健行业。尽管该组织明确表示不攻击医疗保健组织,但9 月份仍有10 家医疗保健实体遭到攻击,其中包括社区诊所和外科中心,这表明该组织对附属机构的监管不够严格。
全球影响:RansomHub 的影响遍及全球,但北美地区的攻击集中度仍然很高,43%的受害者位于美国。
图 4 – 2024 年 9 月 RansomHub 报告的受害者按国家/地区分析。
技术创新:RansomHub 引入远程加密功能,凸显了与防御者之间“猫捉老鼠”游戏的另一项技术改进。这项创新允许联盟者通过暴露的未受保护的机器加密受害者系统,降低检测风险并提高攻击成功率。
2.2.Lockbit的衰落
Lockbit曾在2022-2023 年期间造成40%的勒索软件受害者,但近几个月来其运营能力急剧下降。2024年 9 月,该组织仅占受害者的5% ,新增案件 20起,与前几年的高峰活动相比大幅下降。
Lockbit 9 月份声称的受害者中,有相当一部分(约40%)是从之前的攻击中回收的。这意味着 Lockbit 要么重新发布了之前攻击中的受害者,要么声称受害者已经被其他勒索软件团体勒索过。回收受害者很可能是为了在2024 年 2 月的大规模执法打击之后,维持活动持续进行的表面现象。
图 5 – Lockbit 索取了受害者的数据。
联盟会员信心维护:Lockbit 对其RaaS 模型的依赖意味着它依赖于其联盟会员对其平台的信心。发布回收受害者的信息很可能是为了在 2024 年 2 月执法部门对其业务进行打击后展示“一切如常”的假象。Lockbit 依靠维护联盟会员对其基础设施的信心,以确保他们继续使用其平台并向该组织支付部分收入。这表明 Lockbit 的实际活动下降幅度甚至超过了其过去一年已经减少的声称受害者数量所暗示的幅度。
战略变化:尽管业务量有所减少,Lockbit 仍继续专注于高回报领域,尤其是工业制造和物流,但其运营规模现在比以前小得多。
图 5:Lockbit 活动下降——2023 年至 2024 年 9 月每月受害者数据勒索。
2.3.喵呜勒索病毒:转向数据勒索
Meow 勒索病毒于2022 年底首次出现,最初采用典型的基于加密的攻击模式。然而,近几个月来,该组织将重点转向数据盗窃和勒索,放弃加密,转而出售被盗数据。
新的商业模式:Meow 不再锁定文件并索要解密赎金,而是窃取敏感数据,并向受害者提供选择:支付赎金以阻止数据公开发布,或允许将数据出售给其他网络罪犯。Meow泄密网站目前列出的被盗数据价格从500 美元到 200,000 美元不等。
图 6 – 喵洋葱网站上出售的数据。
非加密攻击:Meow 的做法反映了更广泛的持续行业转变,因为许多勒索软件团体正在远离基于加密的攻击,这使攻击者面临更高的被发现风险和越来越多地使用备份解决方案。通过专注于数据盗窃,这些团体可以以仅靠加密无法实现的方式利用敏感信息。
2.4.Play勒索病毒与Qilin的持续活跃
Play 勒索软件在2024 年 9 月排名第二,新增受害者 43 名,与其每月平均32 名受害者的数量一致。Play 继续以美国公司为目标,75%的受害者位于美国,主要集中在制造业和消费品领域。
同样,俄语 RaaS 组织Qilin勒索软件 (Agenda)继续将目标锁定在北美。9 月份,86%的受害者位于北美,尤其是美国和加拿大。这两个组织都表现出稳定、持续的活动,但仍然屈居于主导地位的 RansomHub 之下。