2025年新兴勒索软件组织的崛起与影响

2025-03-04 17 0

2024年,全球勒索软件攻击事件达到5,414起,较2023年增长了11%。

尽管年初增长较为缓慢,但在第二季度和第四季度,攻击事件激增,其中第四季度共发生1,827起事件,占全年总数的33%。执法机构对LockBit等主要组织的打击导致这些组织分裂,引发了更多竞争,并促使小型勒索团伙数量上升。活跃的勒索软件组织数量从2023年的68个增至2024年的95个,增幅达40%。

2025年新兴勒索软件组织的崛起与影响插图2

2024年涌现的新勒索软件组织

2023年仅有27个新勒索软件组织出现,而2024年则检测到46个新组织,且数量在第四季度加速增长,达到48个活跃组织。在2024年的新组织中,RansomHub表现尤为突出,其活跃度甚至超过了LockBit。作为一家现已并入Check Point的公司,Cyberint的研究团队持续追踪最新的勒索软件组织并分析其潜在影响。本文将从RansomHub、Fog和Lynx这三个新兴组织入手,探讨它们在2024年的活动、起源及其战术、技术和程序(TTPs)。

RansomHub:2024年的领军者

RansomHub自2024年2月开始运作以来,已在其数据泄露网站上记录了531次攻击,成为2024年的主要勒索软件组织。在FBI对ALPHV组织实施打击后,RansomHub被视为其“精神继承者”,可能吸收了前ALPHV的成员。作为一款勒索软件即服务(RaaS),RansomHub对合作伙伴实行严格的协议,违反者将被禁止或终止合作。其赎金分配比例为90/10,合作伙伴占大头。

尽管RansomHub自称拥有全球黑客社区,但它明确避免攻击独联体国家、古巴、朝鲜、中国以及非营利组织,这一行为特征与传统的俄罗斯勒索软件团伙如出一辙。此外,其规避俄罗斯关联国家及与其他俄罗斯勒索组织的目标公司重叠,进一步表明其可能与俄罗斯的网络犯罪生态系统有密切联系。

Cyberint在2024年8月的研究发现,RansomHub的赎金支付率较低,只有11.2%的受害者支付了赎金(190人中有20人),且谈判通常会降低赎金要求。RansomHub更注重攻击数量,而非支付率,通过扩大合作伙伴规模确保长期盈利能力,尽管单次攻击的成功率较低。

RansomHub的恶意软件、工具集与TTPs

RansomHub的勒索软件基于Golang和C++开发,支持Windows、Linux和ESXi系统,以其快速加密功能见长。其与GhostSec勒索软件的相似性表明了一种趋势。RansomHub承诺,如果合作伙伴在受害者支付赎金后未能提供解密服务,或攻击了被禁止的组织,将免费解密数据。攻击模式表明其可能与ALPHV存在关联,且使用了相似的工具和TTPs。Sophos的研究还发现,其与Knight勒索软件有相似之处,包括使用GoObfuscate混淆的Go语言有效负载及相同的命令行菜单。

Fog勒索软件:针对美国教育网络的威胁

Fog勒索软件于2024年4月初首次出现,主要利用被盗的VPN凭证攻击美国的教育网络。其采用双重勒索策略,若受害者拒绝支付赎金,会将数据发布到基于TOR的泄露网站上。2024年,Fog在全球范围内攻击了87家组织。Arctic Wolf在2024年11月的报告中指出,Fog至少发起了30次入侵,所有入侵均通过被黑的SonicWall VPN账户完成。值得注意的是,其中75%的入侵与Akira组织有关,其余则归因于Fog,这表明两者可能共享基础设施。

Fog的主要攻击目标包括教育、商业服务、旅游和制造业,且其特别关注教育领域,这在勒索软件团伙中较为罕见。

Fog 攻击速度惊人,从初始访问到完成加密的最短时间仅为两小时。攻击遵循典型的勒索软件杀伤链,包括网络枚举、横向移动、加密和数据外泄。Fog的勒索软件支持Windows和Linux平台。

Lynx:活跃的双重勒索团伙

Lynx是近期非常活跃的双重勒索团伙,其网站上展示了大量受害公司。该组织声明,避免攻击政府机构、医院、非营利组织及其他关键社会部门。

2025年新兴勒索软件组织的崛起与影响插图7

2025年新兴勒索软件组织的崛起与影响插图8

一旦入侵系统,Lynx会加密文件并附加“.LYNX”扩展名,随后在多个目录中放置名为“README.txt”的勒索说明。仅2024年,Lynx就声称攻击了超过70家受害者,展现出其在勒索软件领域的频繁活动与重要地位。

2025年新兴勒索软件组织的崛起与影响插图9

2025年将会怎样?

由于对勒索软件团伙的打击力度加大,有记录以来新出现的团伙数量创下新高,这些新兴组织正试图打响自身名号。网络安全公司Cyberint预测,到2025年,其中部分新兴团伙将通过能力升级成为勒索领域的主导力量,而不仅仅是当前备受关注的RansomHub。

参考来源:

The New Ransomware Groups Shaking Up 2025

相关文章:

  1. Vulhub 靶场 DC-7解析
  2. No.5-红队渗透项目:w1r3s-editable
  3. burpsuite官方靶场之命令注入
  4. 深入了解失效对象级授权(BOLA):API安全的薄弱环节
  5. XSS漏洞很难发现吗???

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
网络安全
0 0

相关文章

[Meachines] [Easy] Luanne Lua RCE+bozoHTTPd LFI+NetBSD-Dec+doas权限提升
[Meachines] [Easy] Toolbox PostgreSQLI-RCE+Docker逃逸boot2docker权限提升
[Meachines] [Easy] ServMon NVMS-LFI+NSCP(NSClient)权限提升+Chameleon反向shell+reg…
塔塔科技遭勒索攻击,1.4TB数据被泄露
GitHub官方展示如何利用Copilot进行日志安全分析
通过物理渗透测试获取内部网络访问权限:案例分析

发布评论