新兴的勒索软件团伙正采取不同的策略和目标，填补大公司关闭和执法中断所留下的空白。

3 月份 BlackCat (ALPHV) 的关闭和 2 月份执法部门对 LockBit 基础设施的干扰导致勒索软件生态系统出现空白，而这一空白正迅速被经验不足的团体所填补。

今年到目前为止，安全公司 Cyber​​int 的研究人员已经发现 25 个新的勒索软件组织在其数据泄露网站上发布了至少一名受害者的信息。其他规模较小但已成立的勒索软件组织近几个月也加快了行动节奏，目前在每月受害者数量上占据了榜首。

安全公司 GuidePoint Security 的研究人员在最近一份报告中指出了同样的趋势：“我们将继续跟踪勒索软件的形势以确定长期变化，同时我们预计，以前的‘中等’发展中和成熟的勒索软件团体将变得越来越引人注目，这要么是由于更多竞争对手的流失，要么是由于联盟的转变。”

上个月，一个名为 Play 的勒索软件组织取代了 LockBit，后者取代 Conti 成为 2023 年最大的勒索软件即服务 (RaaS) 运营商。尽管 Play 并不是勒索软件领域的新手，自 2022 年就已存在，但现在它利用了其他更大同行的消亡，可能吸引了他们的一些附属机构。

RaaS 运营商主要依靠被称为关联方的第三方来访问公司网络、进行横向移动、窃取敏感信息并部署文件加密恶意软件。这些网络犯罪分子选择为他们最信任的计划工作，并向他们支付赎金的最大百分比。

当 ALPHV 在 3 月份宣布关闭其业务时，其前分支机构之一出面指控他们卷走Change Healthcare 遭受攻击后支付的 2200 万美元。当LockBit 的服务器在 2 月份被执法部门查封时，该组织的主要管理员出面表示，该业务不会关闭。

但此类事件很快导致网络犯罪界失去信任，合作伙伴将迅速转向下一个计划。这种影响在 LockBit 最近的活动中已经显现出来。根据 GuidePoint 的统计数据，LockBit 在 3 月份仍占勒索软件事件的 60%，但其市场份额在 4 月份下降到 30%。

与此同时，Hunters International、8Base、RansomHub 等组织以及其他之前规模较小的新兴组织活动激增。Play 的受害者数量实际上从 3 月到 4 月有所减少，但由于 LockBit 的大幅下降，最终占据了榜首。但根据NCC Group 的统计数据，该组织自今年年初以来一直呈上升趋势。

8Base 是一个勒索软件组织，与 Play 一样，自 2022 年以来就已存在，但 Hunters International 相对较新，于去年 10 月首次亮相，与 Hive 有很多相似之处，后者是一个勒索软件组织，在多个国家的执法部门成功夺取其服务器后，于 2023 年初关闭。RansomHub 甚至更新，于今年 2 月首次出现，并迅速攀升至排行榜首位。

GuidePoint 研究人员写道：“我们观察到 RansomHub 威胁在其品牌数据泄露网站 (DLS) 上出售窃取的数据，并且该组织声称数据已被出售——这与公开发布此类数据的更典型做法有明显区别。”“这种独特方法的可能性包括托管被盗数据的难度和成本，该组织认为数据销售比公开发布更有价值，以及此类活动给受害组织带来的内在压力，迫使其与该组织达成和解。”

此外，入侵 Change Healthcare 并指控 ALPHV 携带赎金逃跑的关联公司现在是 RansomHub 的关联公司。研究人员指出，这种转变的原因可能是 RansomHub 慷慨地从受害者付款中收取 90% 的关联佣金，以及关联公司可以直接收到赎金，而不必通过 RansomHub 管理员。

还有一些新组织因其工具或发展而引人注目。其中一个名为 Muliaka，主要针对俄罗斯组织——这在勒索软件生态系统中是一个不寻常的目标选择。该组织似乎正在使用 2020 年在线泄露的 Conti 文件加密恶意软件版本，并通过劫持目标组织使用的防病毒程序中的一项功能来部署它。

GuidePoint 研究人员写道：“我们之所以强调这一案例，是因为大多数当代 RaaS 组织都遵守禁止攻击总部位于俄罗斯和前苏联多个前成员国的组织的规则。这些规则可能是为了避免引起当地安全部门的注意。”

与此同时，Cyber​​int 的研究人员在其报告中重点介绍了另外三个新组织：dAn0n、APT73 和 DragonForce，同时提到了今年已有二十多个组织报告了受害者的情况。

dAn0n 组织于 4 月底出现，并已在其数据泄露网站上公布了 12 名受害者，其中 10 名位于美国。与此同时，APT73 是另一个新组织，它选择使用 APT（高级持续性威胁）这一名称，该名称通常由安全公司分配给复杂的网络间谍威胁行为者，尽管该组织表现出一定程度的业余性。APT73 的数据泄露网站是 LockBit 之前使用的数据泄露网站的副本，到目前为止列出了五名受害者。

DragonForce 的历史稍长，于 2023 年 12 月首次亮相。该组织似乎正在使用泄露的 LockBit 勒索软件构建器的一个版本，到目前为止，其目标是美国、英国、澳大利亚、阿根廷和瑞士的制造业、技术、医疗保健、金融、建筑和房地产行业的组织。

Cyber​​int 的研究人员写道：“展望未来，2024 年将出现新的勒索软件团体，到第二季度将出现 25 个新团体，这表明威胁形势将持续发展。”

好消息是，这些新组织中的许多都不如他们试图取代的主要组织复杂，至少目前如此。他们的恶意软件、技术和工具并不完善，更容易被发现，但如果有经验的附属机构受到更好交易的吸引而加入他们的行列，这种情况将迅速改变。

 微信搜索关注公众号网络研究观阅读了解更多。