當前，勒索軟件攻擊正在以多種方式持續演進。例如：越來越多的新玩家“入場”，許多傳統玩家偶爾會“退場”;一些團伙正在運行復雜的“勒索軟件即服務”(RaaS)操作，并挖角網絡滲透、談判、惡意軟件開發等方面的專家；有些團伙由于缺乏足夠的預算和人手，只能繼續在外圍運作等。隨著勒索軟件攻擊的持續演進，其生態系統呈現出以下七種趨勢。

1. 參與者整體維持平衡

勒索軟件攻擊領域的參與者整體維持平衡——老牌玩家退場，往往伴隨著新玩家入場。以今年第三季度為例，走向衰落的群體有 Avaddon、Noname等，而相對較新的玩家有 Prometheus、REvil(又名Sodinokibi)、CryptBD、Grief、Hive、Karma、Thanos 以及 Vice Society 等。不過，9月份重新回歸的 REvil，上個月再度消失，這可能與執法部門的取締活動有關。

2. 結構重組愈發普遍

一些所謂的“新玩家”很可能只是改頭換面的老牌玩家。例如，在2021年第三季度，SynAck 勒索軟件組織托管了一個名為“File Leaks”的數據泄露網站，并將自己更名為“El_Cometa”。此外，DoppelPaymer 可能已更名為“Grief”勒索軟件組織，Karma 很有可能是 Nemty 勒索團伙的新名稱。

3. 攻擊活動的參與群體日益增多

Cisco Talos研究人員表示，不管名稱如何變，2021年第三季度似乎有更多玩家參與了更多攻擊活動。特別是在Cisco Talos開展的事件響應活動中，只有Vice Society和REvil出現在多起攻擊活動中，這表明新興勒索軟件團伙更加“民主化”，攻擊活動的參與群體日益增多。

不過奇怪的是，之前多產的Ryuk并未出現在Cisco Talos視線中。許多研究人員認為Conti勒索軟件家族是Ryuk的繼任者，這可能正是Ryuk活動量下降的原因所在。勒索軟件事件響應公司Coveware證實了這一結論，該公司稱在其第三季度協助處理的數千個案例中，Conti攻擊量急劇增加而Ryuk攻擊量大幅減少。

2021年第三季度攻擊中出現的Top10勒索軟件名稱及市場份額(來源：Coveware)

4. 并非所有勒索軟件運營商都賺得“盆滿缽滿”

目前，似乎仍然有大量勒索軟件組織十分活躍。例如，以色列威脅情報公司Kela報告稱，自10月25日以來，已有11個組織——Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing等在其數據泄露門戶網站列出了受害者信息。有些勒索軟件組織正賺得“盆滿缽滿”，Coveware發布的數據顯示，在2021年第三季度，企業、政府機構或其他受害組織平均支付了140,000美元贖金。

但 McAfee 研究員 Thibault Seret 指出，并非每個勒索軟件即服務操作都能得到六位數或更多贖金回報。他表示，“根據最近的頭條新聞，您可能會認為所有勒索軟件運營商每年都能從其邪惡活動中攫取數百萬美元。不過事實是，在大型犯罪團伙的陰影之下，還有許多較小的參與者，他們無法獲取最新的勒索軟件樣本，沒能力成為‘后DarkSide RaaS世界’中的附屬公司，也沒有快速發展的金融影響力。”

5. 惡意軟件泄露養活了小型玩家

小型玩家可以在其他方面發揮創新能力。例如，今年6月份泄露的Babuk勒索軟件構建器就被一些小型玩家使用，構建其更高級的加密鎖定惡意軟件。在另一案例中，攻擊者只是簡單地調整了Babuk贖金記錄——插入其控制的比特幣錢包地址，用它瞄準受害者，并索要數千美元贖金。

6. 泄露被盜數據也充滿挑戰

雖然“從受害者那里竊取數據，并威脅其泄露數據以達到目的”是勒索團伙廣泛采用的策略，但它并非萬無一失。關鍵挑戰在于，受害者可能還是會選擇不付款，如果攻擊者并未竊取敏感數據，可能情況更是如此。

第三季度勒索軟件組織在其數據泄露站點上列出的受害者數量(來源：Digital Shadows)

許多勒索軟件團伙在管理數據泄漏站點，以及在暗網上托管數據以供下載時都會遇到困難，這導致一些勒索軟件團體使用公共文件共享網站(例如Mega[.]nz或PrivatLab[.]com)公開數據。由于這些服務托管在明網上，它們通常會被刪除，并且大多數下載鏈接會在一兩天內被刪除。

由于暗網是只能通過匿名Tor瀏覽器訪問的網站，它優先考慮的是隱私而非性能，因此，想在暗網中下載泄露的數據就會變得比較困難。XSS俄語網絡犯罪論壇的許多用戶就曾報告稱，當他們嘗試下載Clop竊取的數據時，就遭遇了下載速度緩慢的問題。有些用戶聲稱花了將近一周的時間才下載完成第一個數據集，有些用戶甚至直接放棄了下載。

托管數據泄漏站點和支付門戶也會使它們更易成為執法機構的目標。REvil勒索軟件運營商就遇到了這種情況。當管理員重新啟動其基于Tor的站點時，卻發現其他人(可能是前管理員，也可能是執法官員，也許兩者兼有)也有安裝文件的副本，允許他們劫持REvil的Tor站點。

7. 運營商風險暴露

一些勒索團伙的收入似乎格外高，部分原因是受害者支付了價值數百萬美元的加密貨幣贖金，執法機構按圖索驥，很有可能找到勒索團伙的成員。

據德國周報Die Zeit報道稱，德國警方已經確定了REvil團伙的一名疑似領導人——一名自稱“Nikolay K.”(非真名)的比特幣企業家。據了解，警方在追蹤GandCrab受害者之一斯圖加特國家劇院(于2019年向GandCrab支付了價值17,000美元的加密貨幣)時，發現加密貨幣與Nikolay K.使用的電子郵件帳戶存在關聯，便成功鎖定了他。

勒索軟件驅動的生活方式和試圖保持匿名的模式也可能對從業者造成傷害。例如，一些勒索軟件的頭目傾向于通過在俄語網絡犯罪論壇上發帖來發泄情緒，而非簡單地獲取收益后悄然離場。這表明為了保持運營節奏和匿名性，他們確實承擔著越來越大的壓力。這種情緒已經瀕臨崩潰，如果執法部門持續打擊，未來一定會出現更多情緒的大爆發。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文