勒索軟件作為一種重要的威脅媒介，每年都會(huì)給企業(yè)組織和基礎(chǔ)設(shè)施運(yùn)營(yíng)商造成數(shù)十億美元的損失。這些威脅的背后往往是一些專(zhuān)業(yè)的勒索軟件團(tuán)伙，他們有些會(huì)直接攻擊受害者，而另一些則運(yùn)營(yíng)流行的勒索軟件即服務(wù)（Ransomware-as-a-Service、RaaS）模式，讓第三方團(tuán)伙（affiliates）去完成勒索活動(dòng)，并從中收益分成。

隨著勒索軟件威脅不斷加劇，了解這些勒索團(tuán)伙及其運(yùn)作方式是提前阻止勒索攻擊的一種有效方式。以下梳理了目前最活躍的5個(gè)非法勒索軟件組織：

一、Conti

Conti是一個(gè)臭名昭著的勒索軟件團(tuán)伙，從2018年開(kāi)始長(zhǎng)期霸占著媒體相關(guān)安全事件報(bào)道中的頭條。它經(jīng)常性地使用“雙重勒索”方法，這意味著該組織不僅會(huì)勒索贖金，還會(huì)泄露被攻擊企業(yè)的敏感數(shù)據(jù)。它甚至還專(zhuān)門(mén)運(yùn)營(yíng)了一個(gè)泄密網(wǎng)站Conti News來(lái)發(fā)布被盜數(shù)據(jù)信息。

Conti與其他勒索軟件組織的不同之處在于其活動(dòng)缺乏道德限制，曾多次針對(duì)教育和醫(yī)療保健部門(mén)發(fā)起攻擊，并要求受害組織支付數(shù)百萬(wàn)美元的贖金。

Conti勒索軟件組織長(zhǎng)期以來(lái)一直以關(guān)鍵公共基礎(chǔ)設(shè)施為目標(biāo)，例如醫(yī)療、保健、能源、IT和農(nóng)業(yè)等，代表性事件包括入侵印度尼西亞中央銀行、襲擊了國(guó)際碼頭運(yùn)營(yíng)商SEA-invest、攻擊布勞沃德縣公立學(xué)校。最具代表性的是，哥斯達(dá)黎加總統(tǒng)在Conti襲擊多個(gè)政府機(jī)構(gòu)后宣布進(jìn)入“國(guó)家緊急狀態(tài)”。

二、DarkSide

DarkSide勒索軟件組織遵循RaaS模式，以大型企業(yè)為目標(biāo)勒索資金。這一過(guò)程主要通過(guò)獲取對(duì)目標(biāo)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限并加密網(wǎng)絡(luò)上的所有文件來(lái)實(shí)現(xiàn)。關(guān)于DarkSide勒索軟件組織的起源有幾種不同的看法。一些分析人士認(rèn)為，它的總部設(shè)在東歐的某個(gè)地方，但也有人認(rèn)為該組織在多個(gè)國(guó)家均有分布，包括西亞和歐洲其它地區(qū)。

DarkSide組織聲稱(chēng)自己有底線：從不針對(duì)學(xué)校、醫(yī)院、政府機(jī)構(gòu)和任何影響公眾的基礎(chǔ)設(shè)施實(shí)施攻擊活動(dòng)。然而在2021年5月，DarkSide針對(duì)Colonial Pipeline發(fā)起了攻擊并索要500萬(wàn)美元的贖金。這是美國(guó)歷史上對(duì)石油基礎(chǔ)設(shè)施的最大網(wǎng)絡(luò)攻擊，擾亂了17個(gè)州的汽油和航空燃料供應(yīng)。該事件引發(fā)了關(guān)于關(guān)鍵基礎(chǔ)設(shè)施安全性，以及政府和公司應(yīng)該如何更加努力地保護(hù)它們的討論。

事情發(fā)生后，DarkSide組織解釋稱(chēng)是有第三方團(tuán)隊(duì)利用其勒索工具發(fā)起的攻擊，并在美國(guó)政府的巨大施壓下，該組織一度關(guān)閉了其業(yè)務(wù)。但最近的觀察發(fā)現(xiàn)，DarkSide或已改頭換面，卷土重來(lái)。

三、DoppelPaymer

DoppelPaymer勒索軟件團(tuán)伙和2019年出現(xiàn)的BitPaymer勒索軟件團(tuán)伙一脈相承，它主要通過(guò)RDP暴力破解和垃圾郵件進(jìn)行傳播，郵件附件中帶有一個(gè)自解壓文件，運(yùn)行后釋放勒索軟件程序并執(zhí)行。

DoppelPaymer組織遵循“雙重勒索”勒索軟件模式，主要以北美地區(qū)的組織機(jī)構(gòu)為攻擊目標(biāo)。在DarkSide勒索軟件攻擊美國(guó)最大的燃料管道運(yùn)營(yíng)商之一Colonial Pipeline大約一周后，DoppelPaymer的活動(dòng)頻率也一度降低，但分析人士認(rèn)為，該組織將自己重新命名為Grief組織，因?yàn)閮烧呔哂邢嗤募用芪募袷讲⑹褂孟嗤姆职l(fā)渠道，即Dridex僵尸網(wǎng)絡(luò)。

DopplePaymer經(jīng)常針對(duì)石油公司、汽車(chē)制造商以及醫(yī)療保健、教育和急救服務(wù)等關(guān)鍵行業(yè)。而它也是首個(gè)致人死亡的勒索軟件組織，據(jù)報(bào)道，在一次勒索攻擊活動(dòng)中，因DopplePaymer鎖定通訊系統(tǒng)導(dǎo)致急救服務(wù)人員無(wú)法與醫(yī)院溝通，最終耽誤了對(duì)患者的救治。該組織的代表性勒索攻擊活動(dòng)還包括發(fā)布喬治亞州霍爾縣選民信息、破壞起亞汽車(chē)美國(guó)公司面向客戶的系統(tǒng)等。

四、LockBit

由于執(zhí)法部門(mén)的持續(xù)性打擊，一些傳統(tǒng)勒索軟件團(tuán)體開(kāi)始衰落，LockBit成為最新活躍的勒索軟件團(tuán)伙之一。自2019年首次亮相以來(lái)，LockBit保持了快速發(fā)展的趨勢(shì)，并不斷增強(qiáng)其攻擊能力和策略。

LockBit最初是一個(gè)低調(diào)的團(tuán)伙，但隨著2021年底LockBit 2.0勒索軟件的推出而廣為人知。該組織遵循RaaS模式，并采用“雙重勒索”策略來(lái)敲詐受害者。數(shù)據(jù)顯示，2022年5月發(fā)生的勒索軟件攻擊中，40%以上和LockBit有關(guān)，其主要攻擊目標(biāo)主要為美國(guó)、印度和歐洲地區(qū)的組織。

今年早些時(shí)候，LockBit針對(duì)法國(guó)電子跨國(guó)公司泰雷茲集團(tuán)發(fā)起攻擊，它還入侵了法國(guó)司法部并加密了他們的文件。最近，該組織又聲稱(chēng)已經(jīng)入侵了意大利稅務(wù)機(jī)構(gòu)并竊取了100GB的數(shù)據(jù)。

五、REvil

REvil勒索軟件組織，又名Sodinokibi，于2019年4月首次出現(xiàn)。它被西方國(guó)家認(rèn)為是與俄羅斯政府機(jī)構(gòu)有密切關(guān)聯(lián)的勒索軟件組織，因此具有極強(qiáng)的勒索攻擊能力。鑒于其強(qiáng)悍的技術(shù)實(shí)力和系統(tǒng)化的攻擊手段，該組織在發(fā)現(xiàn)之初便吸引了網(wǎng)絡(luò)安全專(zhuān)業(yè)人士的注意。

2021年3月，REvil攻擊了電子和硬件公司Acer，并破壞了其服務(wù)器。一個(gè)月后，該組織對(duì)蘋(píng)果供應(yīng)商廣達(dá)電腦（Quanta Computers）公司進(jìn)行了攻擊。之后，REvil勒索軟件組織陸續(xù)針對(duì)JBS Foods、Invenergy、Kaseya等著名企業(yè)進(jìn)行攻擊，結(jié)果導(dǎo)致數(shù)家公司被迫暫停業(yè)務(wù)，其中針對(duì)Kaseya的攻擊事件更是直接影響了全球1,500多家企業(yè)。

據(jù)媒體報(bào)道，俄羅斯執(zhí)法部門(mén)于2022年1月逮捕了該團(tuán)隊(duì)的多名核心成員，并沒(méi)收了價(jià)值數(shù)百萬(wàn)美元的資產(chǎn)。自2022年4月，REvil勒索軟件團(tuán)伙又出現(xiàn)恢復(fù)運(yùn)行的跡象。