报告：活跃的勒索软件团伙在2024上半年激增56%

根据Searchlight Cyber的一份最新报告，2024年上半年活跃的勒索软件团伙数量同比增长了56%。

勒索攻击呈现碎片化趋势

研究人员观察到，2024年上半年有73个勒索软件组织在运行，而2023年上半年为46个，这凸显了勒索软件领域的日益碎片化。

这背后是过去一年中的一系列执法行动，这些行动打乱了多个知名勒索软件即服务（RaaS）组织的运营，以及2024年3月，黑客组织Blackcat在收到美国医保支付服务商Change Healthcare的赎金后实施“退出骗局”（exit scam)，假装被FBI查封以避免向下线支付佣金。

研究人员表示，他们注意到规模较小、鲜为人知的勒索团体涌现，并执行具有高度针对性的攻击，这些攻击通常会不断消失并以新的形式重现。

Searchlight Cyber的威胁情报主管Luke Donovan评论道：“正如我们在2024年上半年所看到的那样，勒索软件的领域不仅在扩大，而且呈现碎片化趋势。现在有70多个活跃的勒索软件团伙在运作，网络安全专业人员驾驭的勒索软件形势变得愈发复杂。”

TOP5组织已勒索超1000名受害者

尽管被2月的全球执法行动所扰乱，但在2024年上半年，LockBit仍以434名受害者的记录保持了顶级勒索软件组织的地位。

自2022年开始运营的Play小组则以178名受害者位居第二。

研究人员表示，RansomHub是半年内第三活跃的勒索组织，这个2024年2月才出现的组织已勒索了171名受害者，是前五名中最“值得注意”的群体。8月下旬，美国政府发布了一份公告，强调组织运营者广泛针对关键基础设施部门，包括医疗保健、水利和农业。

BlackBasta和Base分别以130名和124名受害者位居Searchlight Cyber报告的前五名。

研究人员还特别提示了新进入者APT73和DarkVault，它们是LockBit的潜在分支，预计将在不久的将来构成重大威胁。他们指出，APT73试图通过自封为高级持续威胁（APT）提高其声望，也显示其犯罪动机超出纯粹的经济原因。

受害者人数有所下降

该报告强调，2024年上半年列出的勒索软件受害者数量有所下降。其中，LockBit的受害者从2023年上半年的527人下降到2024年上半年的434人。

这表明执法行动在保护组织方面发挥了一定作用。

“我们可以看到勒索软件场景的多样化，而不是增长。”研究人员说，“这一假设与一些大型勒索软件参与者的影响力明显降低的事实一致，这表明少数高产的勒索软件团伙不再像以前那样占据‘市场主导地位’。”

补充阅读

2024年2月，臭名昭著的BlackCat勒索软件组织（又名“ALPHV”）向美国医疗巨头Change Healthcare发动攻击，致使全美医院和药房的处方药交付连续中断达半月之久。

Change Healthcare是全球最大的医疗支付服务商之一，每年处理150亿笔医疗理赔，占所有理赔的近40%。

因受到BlackCat入侵，Change Healthcare 6TB的敏感数据被窃取、100多项服务受到影响，包括但不限于福利核实、索赔提交和状态更新、汇款信息传输和事先授权等关键功能。此次黑客入侵波及了三分之一的美国人，并导致业务中断、财务亏损，重创了整个美国医疗保健行业的报销、配药等流程系统。

为防止被盗数据在网上泄露，3月初，Change Healthcare向勒索组织支付了2200万美元的赎金。

随后，BlackCat被曝出扣留下线机构赎金分成（BlackCat依靠自由职业者或下线机构用勒索软件感染新网络，并向后者支付六到九成的佣金）。

据报道，BlackCat于2023年12月下旬被FBI和外国执法者渗透。作为该行动的一部分，政府查封了BlackCat网站并发布了一个解密工具，以帮助受害者恢复他们的系统。

BlackCat的代表随后表示组织正在关停，并给勒索软件源代码找到了买家。但随后有研究人员发现，BlackCat官网的FBI声明疑似是拼贴而成。

来源｜Infosecurity Magazine

编译｜郑惠敏

审核｜张羽翔

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。