隨著BlackCat(ALPHV)在三月的關閉和LockBit基礎設施在二月的執(zhí)法威懾，勒索軟件生態(tài)系統(tǒng)中出現(xiàn)了一個空白，這個空白很快被經(jīng)驗較少的團伙填補了。

　　到目前為止，今年安全公司Cyberint的研究人員已經(jīng)看到25個新的勒索軟件團伙在他們的數(shù)據(jù)泄漏網(wǎng)站上發(fā)布了至少一個受害者，其他已經(jīng)建立但之前規(guī)模較小的團伙最近幾個月也增加了他們的運營節(jié)奏，現(xiàn)在在月度受害者數(shù)量中占據(jù)了前幾名的位置。

　　“雖然我們繼續(xù)跟蹤勒索軟件的格局以確定長期變化，但我們預計以前的‘中級’正在發(fā)展和已經(jīng)建立的勒索軟件團伙將變得越來越明顯，無論是由于更高產(chǎn)的競爭對手的減少，還是由于附屬對齊的變化，”安全公司GuidePoint Security的研究人員在最近的一份報告中寫道，該報告也注意到了同樣的趨勢。

　　Play崛起至頂峰

　　上個月，一個名為Play的勒索軟件團伙取代了LockBit，成為2023年頂級勒索軟件即服務(RaaS)操作。盡管Play并不是勒索軟件領域的新手，自2022年以來一直存在，但它現(xiàn)在利用了更大對手的消失，可能吸引了一些他們的附屬公司。

　　RaaS運營商主要依靠被稱為附屬公司的第三方來獲得企業(yè)網(wǎng)絡的訪問權(quán)限，進行橫向移動，竊取敏感信息，并部署他們的文件加密惡意軟件，這些網(wǎng)絡犯罪分子選擇為他們最信任且支付給他們最多贖金的程序工作。

　　當ALPHV在三月宣布關閉他們的運營時，其中一個前附屬公司站出來指責他們在Change Healthcare攻擊后逃走了 allegedly paid 的2200萬美元。當LockBit在二月被執(zhí)法部門查封其服務器時，該團伙的主要管理員表示，運營不會關閉。

　　但這種事件在網(wǎng)絡犯罪世界中迅速導致信任的喪失，合作伙伴會迅速轉(zhuǎn)向下一個程序，這種效應在LockBit最近的活動中很明顯。根據(jù)GuidePoint的統(tǒng)計，LockBit在三月仍占據(jù)了60%的勒索軟件事件，但其市場份額在四月下降到30%。

　　與此同時，像Hunters International、8Base、RansomHub和其他之前較小的新興團伙的活動激增。Play的受害者數(shù)量實際上從三月到四月有所減少，但由于LockBit的大幅下降，最終排在首位，但根據(jù)NCC Group的統(tǒng)計數(shù)據(jù)，該團伙自年初以來一直處于上升趨勢。

　　8Base是一個像Play一樣自2022年以來一直存在的勒索軟件團伙，但Hunters International相對較新，去年十月首次出現(xiàn)，與在2023年初執(zhí)法部門成功查封其服務器后關閉的勒索軟件團伙Hive有很多相似之處。RansomHub甚至更新，首次出現(xiàn)在今年二月，并迅速攀升至前列。

　　“我們觀察到RansomHub威脅要在他們的品牌數(shù)據(jù)泄漏網(wǎng)站(DLS)上出售泄露的數(shù)據(jù)，并聲稱數(shù)據(jù)已經(jīng)售出的情況——這與更典型的公開發(fā)布這些數(shù)據(jù)的做法有顯著區(qū)別，”GuidePoint的研究人員寫道，“這種獨特方法的可能性包括托管被盜數(shù)據(jù)的難度和成本，團伙認為數(shù)據(jù)銷售比公開發(fā)布更有價值，以及這種活動對受害組織的固有壓力，迫使他們與團伙達成協(xié)議。”

　　此外，攻擊Change Healthcare并指責ALPHV攜款潛逃的附屬公司現(xiàn)在成為了RansomHub的附屬公司。研究人員指出，這一轉(zhuǎn)換的原因可能是RansomHub對附屬公司的慷慨待遇，即對受害者支付的贖金提供90%的分成，并允許附屬公司直接接收贖金，而無需通過RansomHub的管理員。

　　更多的新來者

　　還有一些其他新的團伙以其工具或增長而引人注目，其中一個名為Muliaka，主要針對俄羅斯組織——在勒索軟件生態(tài)系統(tǒng)中這是一個不尋常的目標選擇，該團伙似乎在使用一個版本的Conti文件加密惡意軟件，該版本于2020年在網(wǎng)上泄露，并通過劫持目標組織使用的防病毒程序中的一個功能來部署。

　　“我們強調(diào)這個案例，因為大多數(shù)現(xiàn)代RaaS團伙都遵循不針對總部位于俄羅斯和前蘇聯(lián)多個國家的組織的規(guī)則，”GuidePoint的研究人員寫道，“這些規(guī)則可能存在是為了避免引起當?shù)匕踩块T的注意。”

　　與此同時，Cyberint的研究人員在其報告中重點提到了另外三個新團伙：dAn0n、APT73和DragonForce，同時提到了今年已經(jīng)公布受害者的另外二十多個團伙。

　　dAn0n團伙在四月底出現(xiàn)，已經(jīng)在他們的數(shù)據(jù)泄漏網(wǎng)站上公布了12個受害者，其中10個來自美國。與此同時，APT73是另一個新團伙，盡管這個團伙表現(xiàn)出業(yè)余水平，但他們選擇使用通常由安全公司分配給高級網(wǎng)絡間諜威脅行為者的APT(高級持續(xù)威脅)稱號。APT73的數(shù)據(jù)泄漏網(wǎng)站是以前LockBit使用的數(shù)據(jù)泄漏網(wǎng)站的復制品，目前列出了五個受害者。

　　DragonForce稍微老一些，首次出現(xiàn)在2023年12月，該團伙似乎在使用一個泄露的LockBit勒索軟件生成器的版本，目前已經(jīng)針對來自美國、英國、澳大利亞、阿根廷和瑞士的制造業(yè)、技術(shù)、醫(yī)療保健、金融、建筑和房地產(chǎn)等行業(yè)的組織。

　　“展望未來，2024年新勒索軟件團伙的出現(xiàn)，如第二季度新增25個團伙，表明威脅格局在持續(xù)演變和發(fā)展，”Cyberint的研究人員寫道。

　　好消息是，這些新團伙中的許多目前還不如他們試圖取代的主要團伙那么復雜。他們的惡意軟件、技術(shù)和工具還沒有那么完善，可能更容易被檢測到，但如果有經(jīng)驗的附屬公司因更好的待遇加入他們的行列，這種情況將迅速改變。