1          概述

勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。

2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Access Broker, IAB）的助纣为虐。IAB通过售卖有效访问凭证给攻击者实现非法获利，而无需亲自进行攻击。攻击者利用这些凭证，对特定目标进行有针对性的勒索攻击，建立初始访问后展开后续恶意活动，最终实现对目标的勒索行为。

据不完全统计，2024年中至少有90个不同名称的勒索攻击组织通过Tor网站或Telegram频道等特定信息源发布受害者信息。其中，新增的50个勒索攻击组织中，有21个与已知组织存在联系。这些组织发布的受害者信息涉及约5300个来自全球不同国家或地区的组织机构，覆盖多个行业。然而，实际受害者数量可能远超这一数字，因为某些情况下，攻击者可能基于多种原因选择不公开或删除信息，例如在与受害者达成协议后，或受害者支付赎金以换取信息的移除。

相关勒索软件及勒索攻击组织信息参考计算机病毒百科（https://www.virusview.net/）。

表 1‑1 2024年发布受害者信息的组织

目前，勒索攻击的主流威胁形式已经演变为RaaS+定向攻击收取高额赎金的运行模式。全球范围内，制造、医疗、建筑、能源、金融和公共管理等行业频繁成为勒索攻击的目标，给全球产业产值造成严重损失。现将2024年活跃勒索梳理形成攻击组织概览，进行分享。

2          勒索攻击行为分类

2024年活跃的勒索攻击行为主要有以下三类：

• 加密文件

采用此类勒索攻击方式的攻击者会使用勒索软件执行体对数据文件进行加密，执行体通过特定加密算法（如AES、RSA、ChaCha20和Salsa20等）组合利用对文件进行加密，大多数被加密文件在未得到对应密钥的解密工具时，暂时无法解密，只有少部分受害文件因勒索软件执行体存在算法逻辑错误而得以解密。

• 窃取文件

采用此类勒索攻击方式的攻击者不使用勒索软件执行体对数据文件进行加密，仅在目标系统内驻留并窃取数据文件，窃密完成后通知受害者文件被窃取，如不按期支付勒索赎金，则会公开或出售窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

• 窃取文件+加密文件（双重勒索）

采用此类勒索攻击方式的攻击者发动勒索攻击前，会在目标系统内驻留一段时间，在此期间窃取数据文件，在窃取工作完成后会投放勒索软件执行体，加密系统中的文件，并通知受害者文件被窃取，如不按期支付勒索赎金，不仅现有网络环境中的文件因被加密而无法使用，而且还会公开或出售窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

3          2024年活跃勒索攻击组织盘点

回顾2024年发生的勒索软件攻击事件，根据攻击活跃度和受害者信息发布数量，对活跃的勒索攻击组织进行盘点。盘点按组织名称的首字母进行排序，排名不分先后。

表 1‑2 2024年活跃勒索组织概览

3.1     8Base

8Base勒索软件于2022年3月首次被发现，其勒索软件代码基于Phobos勒索软件开发。该勒索软件背后的攻击组织采用RaaS和双重勒索的模式运营，疑似为RansomHouse勒索攻击组织的分支或品牌重塑。该组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防，常利用SmokeLoader木马实现对目标系统的初始访问。在建立与目标系统的初始访问后，该组织利用多种工具作为攻击装备以实现其他恶意行为。例如，利用Mimikatz、LaZagne、VNCPassView等工具窃取系统中的凭据，利用PsExec实现横向移动，利用Rclone回传窃取到的数据。目前暂未发现公开的解密工具。

2024年，8Base受害者信息发布及数据泄露平台发布约150名受害者信息，实际受害者数量可能更多。

3.1.1          组织概览

3.2     Akira

Akira^[1]勒索软件被发现于2023年3月，其背后的攻击组织通过RaaS和双重勒索的模式运营该勒索软件，以RaaS模式经营和勒索赎金分成等方式实现非法获利，勒索赎金分别为用于解密被加密文件和删除被窃取的数据两部分。该勒索攻击组织主要通过有效访问凭证、未配置多重身份验证（MFA）的VPN账户和漏洞武器化等方式对目标系统突防，曾利用思科VPN相关漏洞（CVE-2023-20269）实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为，例如使用AnyDesk远程控制计算机和传输文件，使用PowerTool关闭与杀毒软件有关的进程，使用PCHunter、Masscan和AdFind获取特定信息，使用Mimikatz窃取凭证，使用Rclone和FileZilla回传窃取到的数据等行为。

Akira具备针对Windows、Linux和VMware等目标系统的勒索软件。除了“窃密+加密”的行为，还存在只窃密不加密的模式，在完成对受害系统数据窃取后，攻击者选择不投放勒索软件，而是通过窃取到的数据威胁受害者进行勒索。国外安全厂商Avast发现Akira勒索软件存在漏洞^[2]，并于2023年6月29日发布了解密工具，但该工具只适用于6月29日前的Akira勒索软件执行体版本，因为Akira勒索软件开发人员在此后修复了漏洞。Akira勒索攻击组织与之前退出勒索软件市场的Conti勒索攻击组织疑似存在关联，体现在勒索软件执行体的部分代码段和加密数字货币钱包地址等方面。

2024年，Akira受害者信息发布及数据泄露平台发布约310名受害者信息和窃取到的数据，实际受害者数量可能更多。

3.2.1          组织概览

3.3     Black Basta

Black Basta勒索软件被发现于2022年4月，其背后的攻击组织通过RaaS和双重勒索的模式运营该勒索软件，由于Black Basta所使用的每个勒索软件执行体都硬编码一个唯一的识别码，故猜测该组织仅采用定向模式开展勒索攻击活动。该勒索攻击组织主要通过有效访问凭证、搭载其他恶意软件和漏洞武器化等方式对目标系统突防。该组织成员在地下论坛发帖寻求组织机构的网络访问凭证，曾利用QBot木马和PrintNightmare相关漏洞CVE-2021-34527实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为，例如使用AnyConnect和TeamViewer建立远程连接，使用PsExec执行命令，使用Netcat进行扫描，使用Mimikatz转储凭证，使用Rclone回传窃取到的数据等恶意行为。2023年12月，国外网络安全研究机构Security Research发布一个名为“Black Basta Buster”的解密工具^[3]，用于恢复被Black Basta勒索软件加密的文件，但该工具仅适用于2022年11月至2023年12月期间的部分勒索软件变种版本。

Black Basta勒索攻击组织与之前退出勒索软件市场的BlackMatter和Conti勒索攻击组织疑似存在关联，体现在勒索软件执行体部分代码段，受害者信息发布及数据泄露站点设计风格，通信方式和勒索谈判话术等方面。故猜测Black Basta勒索攻击组织可能是BlackMatter和Conti勒索软件组织的分支或品牌重塑。2024年，Black Basta受害者信息发布及数据泄露平台发布约190名受害者信息，实际受害者数量可能更多。

3.3.1          组织概览

3.4     BlackSuit

BlackSuit勒索软件于2023年5月首次被发现，其背后的攻击组织采用双重勒索策略进行运营。该组织具有较为复杂的身份背景，被认为是Royal勒索软件的品牌重塑。Royal是由Zeon组织更名而来，而Zeon疑似由Conti组织的原成员参与建设。Conti组织因源代码泄露等因素而解散，Conti组织被认为是Ryuk的继承者，层层关系错综复杂。目前尚未发现BlackSuit组织通过RaaS模式招收附属成员。BlackSuit具备针对Windows、Linux和VMware等目标系统的勒索软件。该组织主要通过漏洞武器化、有效访问凭证以及搭载其他恶意软件（如SystemBC和GootLoader）等方式对目标系统进行渗透。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用AnyDesk、LogMeIn、AteraAgent等工具远程控制计算机和传输文件，使用Mimikatz和Nirsoft窃取系统中的凭证，使用Rclone回传窃取到的数据。目前暂未发现公开的解密工具。

2024年，BlackSuit受害者信息发布及数据泄露平台发布约150名受害者信息，实际受害者数量可能更多。

3.4.1          组织概览

3.5     Hunters

Hunters（又名Hunters International）勒索软件于2023年10月首次被发现，其背后的攻击组织采用RaaS和双重勒索的模式运营该勒索软件。该组织所使用的勒索软件代码在技术架构和操作策略上与已被执法机构查处的Hive组织存在高度相似性。这种相似性使得安全研究人员怀疑Hunters可能是Hive的分支或品牌重塑。然而，Hunters组织否认与Hive有直接关系，声称他们只是购买了Hive的源代码和网络基础设施，并在此基础上使用Rust语言进行了优化，创建了一个独立的品牌。Hunters组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防。该组织常利用伪装成Angry IP Scanner网络扫描器的SharpRhino木马实现对目标系统的初始访问。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。使用Plink、AnyDesk、TeamViewer等工具远程控制计算机、传输文件和横向移动，将窃取到的数据传输到MEGA云平台。目前暂未发现公开的解密工具。

2024年，Hunters受害者信息发布及数据泄露平台发布约230名受害者信息，实际受害者数量可能更多。

3.5.1          组织概览

3.6     INC

INC勒索软件于2023年7月首次被发现，其背后的攻击组织采用双重勒索策略进行运营。该勒索攻击组织主要通过漏洞武器化、有效访问凭证以及搭载其他恶意软件等方式对目标系统进行突防，常利用NetScaler产品漏洞CVE-2023-3519。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用AnyDesk、TightVNC、PuTTY等工具实现远程控制、传输工具和横向移动，使用NetScan、Advanced IP Scanner、Mimikatz等工具实现网络扫描和凭证窃取，将窃取到的数据传输到MEGA云平台。目前暂未发现公开的解密工具。

2024年3月，INC组织在黑客论坛上出售其勒索软件和网络基础设施的源代码，售价为30万美元，并将潜在买家的数量限制为三人。7月，新出现的Lynx勒索攻击组织所使用的勒索软件和用于勒索攻击的网络基础设施与INC组织较为相似，后续Lynx组织声明是购买了INC组织的源代码。2024年，INC受害者信息发布及数据泄露平台发布约160名受害者信息，实际受害者数量可能更多。

3.6.1          组织概览

3.7     LockBit

LockBit勒索软件^[4]于2019年9月首次被发现，初期因其加密后的文件名后缀为.abcd，而被称为ABCD勒索软件。其背后的攻击组织通过RaaS和多重勒索的模式运营该勒索软件，主要通过RaaS和勒索赎金分成获利，使用该勒索软件的威胁行为体在非定向和定向模式下开展勒索攻击。该组织在2021年6月发布了勒索软件2.0版本，增加了删除磁盘卷影和日志文件的功能，同时发布专属数据窃取工具StealBit，采用“威胁曝光（出售）企业数据+加密数据”双重勒索策略。2021年8月，该组织的攻击基础设施频谱增加了对DDoS攻击的支持。2022年6月勒索软件更新至3.0版本，由于3.0版本的部分代码与BlackMatter勒索软件代码重叠，因此LockBit 3.0又被称为LockBit Black，这反映出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。2024年2月20日，多国执法机构联合开展的“Cronos行动”成功对LockBit勒索攻击组织造成打击，执法机构接管了该组织用于攻击的网络基础设施，并为受害者提供用于解密的密钥。此次行动并未将LockBit组织彻底剿灭，该组织在沉寂一段时间后再次开始勒索攻击活动，并于2024年12月19日宣布计划在2025年2月推出LockBit 4.0版本。LockBit组织主要通过有效访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对目标系统的初始访问。目前暂未发现公开的解密工具。

2023年10月，波音公司被LockBit勒索攻击组织列为受害者，安天CERT从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析，并提出了防御和治理方面的建议^[5]。2024年，LockBit受害者信息发布及数据泄露平台发布约520名受害者信息和窃取到的数据，实际受害者数量可能更多。

3.7.1          组织概览

3.8     Medusa

Medusa勒索软件于2021年6月首次被发现，与2019年出现的MedusaLocker勒索软件无关。该组织主要通过漏洞武器化、有效访问凭证和远程桌面协议（RDP）暴力破解等方式对目标系统突防。曾利用Fortinet相关漏洞（CVE-2023-48788）实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用ConnectWise、PDQ Deploy、AnyDesk等工具远程控制计算机和传输文件，使用NetScan扫描发现其他可攻击目标。目前暂未发现公开的解密工具。

2024年，其受害者信息发布及数据泄露平台留有已发布的约210名受害者信息，实际受害者数量可能更多。

3.8.1          组织概览

3.9     Play

Play（又称PlayCrypt）勒索软件^[6]于2022年6月首次被发现，其背后的攻击组织通过双重勒索的模式运营该勒索软件，并声称不通过RaaS模式运营，使用该勒索软件的攻击者在非定向和定向模式下开展勒索攻击。该勒索攻击组织主要通过有效访问凭证和漏洞武器化等方式对目标系统进行突防，曾利用Fortinet（CVE-2018-13379、CVE-2020-12812）和Microsoft Exchange Server（CVE-2022-41040、CVE-2022-41082）相关漏洞实现对目标系统的初始访问。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用AdFind发现Active Directory相关信息，使用Grixba窃取特定信息，使用GMER、IObit、PowerTool等工具禁用杀毒软件和删除日志文件，使用SystemBC实现横向移动，使用Mimikatz窃取系统中的凭证，使用WinRAR打包要窃取的文件并通过WinSCP回传。目前暂未发现公开的解密工具。

Play勒索攻击组织疑似与Conti、Royal、Hive和Nokoyawa勒索攻击组织存在关联，体现在用于攻击的基础设施和勒索攻击活动中所使用的技战术等方面。2024年，其受害者信息发布及数据泄露平台留有已发布的约350名受害者信息，实际受害者数量可能更多。

3.9.1          组织概览

3.10 RansomHub

RansomHub勒索软件^[7]于2024年2月首次被发现，其背后的攻击组织通过RaaS和双重勒索的模式运营该勒索软件，该勒索攻击组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。曾利用Confluence（CVE-2023-22515）、Citrix（CVE-2023-3519）、Fortinet（CVE-2023-27997）相关漏洞实现对目标系统的初始访问。成功访问后创建用户账户实现持久化，利用EDRKillShifter禁用并关闭安全防护工具，后续利用Angry IP Scanner、Nmap、NetScan等工具扫描发现其他可攻击目标，利用Mimikatz、LaZagne等工具收集系统中的凭据，利用PsExec、AnyDesk、Connectwise等工具实现远程访问和横向移动，利用PuTTY、Rclone等工具回传窃取到的数据。目前暂未发现公开的解密工具。

RansomHub勒索攻击组织使用的勒索软件载荷和技战术与Knight组织有相似之处，疑似为Knight组织的品牌重塑或继承者。2024年，RansomHub受害者信息发布及数据泄露平台发布约530名受害者信息，实际受害者数量可能更多。

3.10.1       组织概览

总结

尽管各国执法机构不断加强对勒索攻击组织的打击力度，但勒索事件的数量却仍在呈现上升趋势。导致勒索攻击活跃度不降反增的因素众多：攻击者能够快速利用新漏洞，远程办公的脆弱性增加，新技术的应用为勒索软件提供了更多攻击机会；IAB通过售卖访问凭证获利，攻击者利用这些凭证实施定向攻击；人工智能技术的发展既增强了防御能力，也被攻击者用于提高攻击效率；勒索攻击组织之间的技战术互相利用，以及供应链式勒索攻击事件频发，都使得受害者数量不断增加。面对日益严峻的勒索攻击形势，尽管各国执法机构和网络安全机构已采取诸多措施加强防御和打击力度，但勒索攻击的复杂性和多样性仍给全球网络安全带来了巨大挑战。

为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。安天曾在波音遭遇勒索攻击事件分析复盘报告^[5]中提出——“正确的认知是有效改善防御能力的基础”。目前国内对勒索攻击的防范，往往还停留在原有的勒索软件的阶段，还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链，而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下，遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态，而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。

面对攻击者体系化的攻击作业方式，防御者应建立体系化的防御机制和运营策略去应对勒索攻击威胁。针对体系性的攻击，必须坚持关口前移，向前部署，构成纵深，闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力，降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础：主动塑造和加固安全环境、强化暴露面和可攻击面的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深，针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防，特别要建设好主机系统侧防护，将其作为最后一道防线和防御基石，构建围绕执行体识别管控的细粒度治理能力。最终通过基于防御体系实现感知、干扰、阻断定向攻击杀伤链的实战运行效果。

参考链接

• 安天.疑似使用定向攻击模式的Akira勒索软件分析 [R/OL].（2023-05-30）

https://www.antiy.cn/research/notice&report/research_report/Akira_Ransomware_Analysis.html

• Decrypted: Akira Ransomware [R/OL].（2023-06-29）

Decrypted: Akira Ransomware

• Security Research Lab. Black Basta Buster [R/OL].（2023-12-30）

https://github.com/srlabs/black-basta-buster

• 安天. LockBit勒索软件样本分析及针对定向勒索的防御思考 [R/OL].（2023-11-17）

https://www.antiy.cn/research/notice&report/research_report/LockBit.html

• 安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考 [R/OL].（2023-12-30）

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

• 安天.PLAY勒索软件分析[R/OL].（2023-10-20）

https://www.antiy.cn/research/notice&report/research_report/PlayCrypt_Analysis.html

• 安天.活跃的RansomHub勒索攻击组织情况分析[R/OL].（2024-09-12）

https://www.antiy.cn/research/notice&report/research_report/RansomHub_Analysis.html

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）