赛博研究院 2024-09-05 18:57 北京
根据Searchlight Cyber的一份最新报告,2024年上半年活跃的勒索软件团伙数量同比增长了56%。
勒索攻击呈现碎片化趋势
研究人员观察到,2024年上半年有73个勒索软件组织在运行,而2023年上半年为46个,这凸显了勒索软件领域的日益碎片化。
这背后是过去一年中的一系列执法行动,这些行动打乱了多个知名勒索软件即服务(RaaS)组织的运营,以及2024年3月,黑客组织Blackcat在收到美国医保支付服务商Change Healthcare的赎金后实施“退出骗局”(exit scam),假装被FBI查封以避免向下线支付佣金。
研究人员表示,他们注意到规模较小、鲜为人知的勒索团体涌现,并执行具有高度针对性的攻击,这些攻击通常会不断消失并以新的形式重现。
Searchlight Cyber的威胁情报主管Luke Donovan评论道:“正如我们在2024年上半年所看到的那样,勒索软件的领域不仅在扩大,而且呈现碎片化趋势。现在有70多个活跃的勒索软件团伙在运作,网络安全专业人员驾驭的勒索软件形势变得愈发复杂。”
TOP5组织已勒索超1000名受害者
尽管被2月的全球执法行动所扰乱,但在2024年上半年,LockBit仍以434名受害者的记录保持了顶级勒索软件组织的地位。
自2022年开始运营的Play小组则以178名受害者位居第二。
研究人员表示,RansomHub是半年内第三活跃的勒索组织,这个2024年2月才出现的组织已勒索了171名受害者,是前五名中最“值得注意”的群体。8月下旬,美国政府发布了一份公告,强调组织运营者广泛针对关键基础设施部门,包括医疗保健、水利和农业。
BlackBasta和Base分别以130名和124名受害者位居Searchlight Cyber报告的前五名。
研究人员还特别提示了新进入者APT73和DarkVault,它们是LockBit的潜在分支,预计将在不久的将来构成重大威胁。他们指出,APT73试图通过自封为高级持续威胁(APT)提高其声望,也显示其犯罪动机超出纯粹的经济原因。
受害者人数有所下降
该报告强调,2024年上半年列出的勒索软件受害者数量有所下降。其中,LockBit的受害者从2023年上半年的527人下降到2024年上半年的434人。
这表明执法行动在保护组织方面发挥了一定作用。
“我们可以看到勒索软件场景的多样化,而不是增长。”研究人员说,“这一假设与一些大型勒索软件参与者的影响力明显降低的事实一致,这表明少数高产的勒索软件团伙不再像以前那样占据‘市场主导地位’。”
补充阅读
2024年2月,臭名昭著的BlackCat勒索软件组织(又名“ALPHV”)向美国医疗巨头Change Healthcare发动攻击,致使全美医院和药房的处方药交付连续中断达半月之久。
Change Healthcare是全球最大的医疗支付服务商之一,每年处理150亿笔医疗理赔,占所有理赔的近40%。
因受到BlackCat入侵,Change Healthcare 6TB的敏感数据被窃取、100多项服务受到影响,包括但不限于福利核实、索赔提交和状态更新、汇款信息传输和事先授权等关键功能。此次黑客入侵波及了三分之一的美国人,并导致业务中断、财务亏损,重创了整个美国医疗保健行业的报销、配药等流程系统。
为防止被盗数据在网上泄露,3月初,Change Healthcare向勒索组织支付了2200万美元的赎金。
随后,BlackCat被曝出扣留下线机构赎金分成(BlackCat依靠自由职业者或下线机构用勒索软件感染新网络,并向后者支付六到九成的佣金)。
据报道,BlackCat于2023年12月下旬被FBI和外国执法者渗透。作为该行动的一部分,政府查封了BlackCat网站并发布了一个解密工具,以帮助受害者恢复他们的系统。
BlackCat的代表随后表示组织正在关停,并给勒索软件源代码找到了买家。但随后有研究人员发现,BlackCat官网的FBI声明疑似是拼贴而成。
来源|Infosecurity Magazine
编译|郑惠敏
审核|张羽翔
推荐阅读
文章来源:赛博研究院
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
