2025年新兴勒索软件组织的崛起与影响
字数 1727 2025-08-29 08:30:30

2025年新兴勒索软件组织的崛起与影响 - 教学文档

1. 勒索软件攻击现状概述

1.1 2024年全球勒索软件攻击数据

  • 攻击事件总数:5,414起
  • 同比增长率:11%(较2023年)
  • 季度分布
    • 第二季度和第四季度攻击激增
    • 第四季度共发生1,827起事件,占全年总数的33%

1.2 勒索软件组织数量变化

  • 活跃组织数量:从2023年的68个增至2024年的95个(增幅40%)
  • 新组织数量
    • 2023年:27个新组织
    • 2024年:46个新组织(第四季度加速增长,达到48个活跃组织)

2. 主要新兴勒索软件组织分析

2.1 RansomHub:2024年的领军者

基本概况

  • 运营时间:2024年2月开始运作
  • 攻击记录:531次攻击(截至报告时)
  • 定位:被视为ALPHV组织的"精神继承者",可能吸收前ALPHV成员
  • 运营模式:勒索软件即服务(RaaS)

运营特点

  • 合作伙伴管理

    • 实行严格协议
    • 违反者将被禁止或终止合作
    • 赎金分配比例:90/10(合作伙伴占90%)

  • 攻击目标选择

    • 避免攻击独联体国家、古巴、朝鲜、中国以及非营利组织
    • 行为特征与俄罗斯勒索软件团伙相似
    • 规避俄罗斯关联国家及与其他俄罗斯勒索组织的目标公司重叠

经济模型

  • 赎金支付率:11.2%(190人中有20人支付)
  • 谈判策略:通常会降低赎金要求
  • 运营策略:注重攻击数量而非支付率,通过扩大合作伙伴规模确保长期盈利能力

技术特征

  • 开发语言:基于Golang和C++
  • 支持平台:Windows、Linux和ESXi系统
  • 特点:快速加密功能
  • 相似性
    • 与GhostSec勒索软件有相似性
    • 与Knight勒索软件有相似之处(使用GoObfuscate混淆的Go语言有效负载及相同的命令行菜单)

承诺机制

  • 如果合作伙伴在受害者支付赎金后未能提供解密服务,或攻击了被禁止的组织,将免费解密数据

2.2 Fog勒索软件:针对美国教育网络的威胁

基本概况

  • 首次出现:2024年4月初
  • 主要攻击方式:利用被盗的VPN凭证
  • 主要目标:美国的教育网络
  • 攻击记录:全球范围内攻击了87家组织

攻击特点

  • 双重勒索策略:若受害者拒绝支付赎金,会将数据发布到基于TOR的泄露网站上
  • 攻击速度:从初始访问到完成加密的最短时间仅为两小时
  • 关联性
    • 75%的入侵与Akira组织有关
    • 可能共享基础设施

目标行业分布

  • 教育(特别关注,这在勒索软件团伙中较为罕见)
  • 商业服务
  • 旅游业
  • 制造业

技术特征

  • 攻击流程
    1. 网络枚举
    2. 横向移动
    3. 加密
    4. 数据外泄
  • 平台支持:Windows和Linux平台

2.3 Lynx:活跃的双重勒索团伙

基本概况

  • 攻击记录:2024年声称攻击了超过70家受害者
  • 目标选择:避免攻击政府机构、医院、非营利组织及其他关键社会部门

攻击特征

  • 双重勒索:加密+数据泄露威胁
  • 文件加密
    • 加密文件并附加".LYNX"扩展名
    • 在多个目录中放置名为"README.txt"的勒索说明

3. 勒索软件发展趋势与2025年预测

3.1 当前趋势

  • 执法机构打击导致主要组织分裂(如LockBit)
  • 分裂引发更多竞争,促使小型勒索团伙数量上升
  • 新组织数量创下新高

3.2 2025年预测

  • 部分新兴团伙将通过能力升级成为勒索领域的主导力量
  • 不仅仅是当前备受关注的RansomHub,其他组织也可能崛起

4. 防御建议

4.1 通用防御措施

  • 加强VPN凭证管理(针对Fog等利用VPN凭证的攻击)
  • 实施多因素认证
  • 定期备份关键数据
  • 建立应急响应计划

4.2 针对特定组织的防御

  • RansomHub防御
    • 监控Golang和C++编写的可疑程序
    • 关注快速加密行为
  • Fog防御
    • 特别关注教育网络防护
    • 加强SonicWall VPN账户安全
  • Lynx防御
    • 监控".LYNX"扩展名文件
    • 警惕"README.txt"勒索说明文件

4.3 行业特定防御

  • 教育机构应特别提高警惕,加强网络安全防护
  • 关键基础设施应实施更严格的安全措施

5. 参考资料

  • Cyberint研究报告(2024年8月)
  • Arctic Wolf报告(2024年11月)
  • Sophos研究分析
2025年新兴勒索软件组织的崛起与影响 - 教学文档 1. 勒索软件攻击现状概述 1.1 2024年全球勒索软件攻击数据 攻击事件总数 :5,414起 同比增长率 :11%(较2023年) 季度分布 : 第二季度和第四季度攻击激增 第四季度共发生1,827起事件,占全年总数的33% 1.2 勒索软件组织数量变化 活跃组织数量 :从2023年的68个增至2024年的95个(增幅40%) 新组织数量 : 2023年:27个新组织 2024年:46个新组织(第四季度加速增长,达到48个活跃组织) 2. 主要新兴勒索软件组织分析 2.1 RansomHub:2024年的领军者 基本概况 运营时间 :2024年2月开始运作 攻击记录 :531次攻击(截至报告时) 定位 :被视为ALPHV组织的"精神继承者",可能吸收前ALPHV成员 运营模式 :勒索软件即服务(RaaS) 运营特点 合作伙伴管理 : 实行严格协议 违反者将被禁止或终止合作 赎金分配比例:90/10(合作伙伴占90%) 攻击目标选择 : 避免攻击独联体国家、古巴、朝鲜、中国以及非营利组织 行为特征与俄罗斯勒索软件团伙相似 规避俄罗斯关联国家及与其他俄罗斯勒索组织的目标公司重叠 经济模型 赎金支付率 :11.2%(190人中有20人支付) 谈判策略 :通常会降低赎金要求 运营策略 :注重攻击数量而非支付率,通过扩大合作伙伴规模确保长期盈利能力 技术特征 开发语言 :基于Golang和C++ 支持平台 :Windows、Linux和ESXi系统 特点 :快速加密功能 相似性 : 与GhostSec勒索软件有相似性 与Knight勒索软件有相似之处(使用GoObfuscate混淆的Go语言有效负载及相同的命令行菜单) 承诺机制 如果合作伙伴在受害者支付赎金后未能提供解密服务,或攻击了被禁止的组织,将免费解密数据 2.2 Fog勒索软件:针对美国教育网络的威胁 基本概况 首次出现 :2024年4月初 主要攻击方式 :利用被盗的VPN凭证 主要目标 :美国的教育网络 攻击记录 :全球范围内攻击了87家组织 攻击特点 双重勒索策略 :若受害者拒绝支付赎金,会将数据发布到基于TOR的泄露网站上 攻击速度 :从初始访问到完成加密的最短时间仅为两小时 关联性 : 75%的入侵与Akira组织有关 可能共享基础设施 目标行业分布 教育(特别关注,这在勒索软件团伙中较为罕见) 商业服务 旅游业 制造业 技术特征 攻击流程 : 网络枚举 横向移动 加密 数据外泄 平台支持 :Windows和Linux平台 2.3 Lynx:活跃的双重勒索团伙 基本概况 攻击记录 :2024年声称攻击了超过70家受害者 目标选择 :避免攻击政府机构、医院、非营利组织及其他关键社会部门 攻击特征 双重勒索 :加密+数据泄露威胁 文件加密 : 加密文件并附加".LYNX"扩展名 在多个目录中放置名为"README.txt"的勒索说明 3. 勒索软件发展趋势与2025年预测 3.1 当前趋势 执法机构打击导致主要组织分裂(如LockBit) 分裂引发更多竞争,促使小型勒索团伙数量上升 新组织数量创下新高 3.2 2025年预测 部分新兴团伙将通过能力升级成为勒索领域的主导力量 不仅仅是当前备受关注的RansomHub,其他组织也可能崛起 4. 防御建议 4.1 通用防御措施 加强VPN凭证管理(针对Fog等利用VPN凭证的攻击) 实施多因素认证 定期备份关键数据 建立应急响应计划 4.2 针对特定组织的防御 RansomHub防御 : 监控Golang和C++编写的可疑程序 关注快速加密行为 Fog防御 : 特别关注教育网络防护 加强SonicWall VPN账户安全 Lynx防御 : 监控".LYNX"扩展名文件 警惕"README.txt"勒索说明文件 4.3 行业特定防御 教育机构应特别提高警惕,加强网络安全防护 关键基础设施应实施更严格的安全措施 5. 参考资料 Cyberint研究报告(2024年8月) Arctic Wolf报告(2024年11月) Sophos研究分析