2024年，全球勒索軟件攻擊事件達到5,414起，較2023年增長了11%。

盡管年初增長較為緩慢，但在第二季度和第四季度，攻擊事件激增，其中第四季度共發生1,827起事件，占全年總數的33%。執法機構對LockBit等主要組織的打擊導致這些組織分裂，引發了更多競爭，并促使小型勒索團伙數量上升。活躍的勒索軟件組織數量從2023年的68個增至2024年的95個，增幅達40%。

2024年涌現的新勒索軟件組織

2023年僅有27個新勒索軟件組織出現，而2024年則檢測到46個新組織，且數量在第四季度加速增長，達到48個活躍組織。在2024年的新組織中，RansomHub表現尤為突出，其活躍度甚至超過了LockBit。作為一家現已并入Check Point的公司，Cyberint的研究團隊持續追蹤最新的勒索軟件組織并分析其潛在影響。本文將從RansomHub、Fog和Lynx這三個新興組織入手，探討它們在2024年的活動、起源及其戰術、技術和程序（TTPs）。

RansomHub：2024年的領軍者

RansomHub自2024年2月開始運作以來，已在其數據泄露網站上記錄了531次攻擊，成為2024年的主要勒索軟件組織。在FBI對ALPHV組織實施打擊后，RansomHub被視為其“精神繼承者”，可能吸收了前ALPHV的成員。作為一款勒索軟件即服務（RaaS），RansomHub對合作伙伴實行嚴格的協議，違反者將被禁止或終止合作。其贖金分配比例為90/10，合作伙伴占大頭。

盡管RansomHub自稱擁有全球黑客社區，但它明確避免攻擊獨聯體國家、古巴、朝鮮、中國以及非營利組織，這一行為特征與傳統的俄羅斯勒索軟件團伙如出一轍。此外，其規避俄羅斯關聯國家及與其他俄羅斯勒索組織的目標公司重疊，進一步表明其可能與俄羅斯的網絡犯罪生態系統有密切聯系。

Cyberint在2024年8月的研究發現，RansomHub的贖金支付率較低，只有11.2%的受害者支付了贖金（190人中有20人），且談判通常會降低贖金要求。RansomHub更注重攻擊數量，而非支付率，通過擴大合作伙伴規模確保長期盈利能力，盡管單次攻擊的成功率較低。

RansomHub的惡意軟件、工具集與TTPs

RansomHub的勒索軟件基于Golang和C++開發，支持Windows、Linux和ESXi系統，以其快速加密功能見長。其與GhostSec勒索軟件的相似性表明了一種趨勢。RansomHub承諾，如果合作伙伴在受害者支付贖金后未能提供解密服務，或攻擊了被禁止的組織，將免費解密數據。攻擊模式表明其可能與ALPHV存在關聯，且使用了相似的工具和TTPs。Sophos的研究還發現，其與Knight勒索軟件有相似之處，包括使用GoObfuscate混淆的Go語言有效負載及相同的命令行菜單。

Fog勒索軟件：針對美國教育網絡的威脅

Fog勒索軟件于2024年4月初首次出現，主要利用被盜的VPN憑證攻擊美國的教育網絡。其采用雙重勒索策略，若受害者拒絕支付贖金，會將數據發布到基于TOR的泄露網站上。2024年，Fog在全球范圍內攻擊了87家組織。Arctic Wolf在2024年11月的報告中指出，Fog至少發起了30次入侵，所有入侵均通過被黑的SonicWall VPN賬戶完成。值得注意的是，其中75%的入侵與Akira組織有關，其余則歸因于Fog，這表明兩者可能共享基礎設施。

Fog的主要攻擊目標包括教育、商業服務、旅游和制造業，且其特別關注教育領域，這在勒索軟件團伙中較為罕見。

Fog 攻擊速度驚人，從初始訪問到完成加密的最短時間僅為兩小時。攻擊遵循典型的勒索軟件殺傷鏈，包括網絡枚舉、橫向移動、加密和數據外泄。Fog的勒索軟件支持Windows和Linux平臺。

Lynx：活躍的雙重勒索團伙

Lynx是近期非常活躍的雙重勒索團伙，其網站上展示了大量受害公司。該組織聲明，避免攻擊政府機構、醫院、非營利組織及其他關鍵社會部門。

一旦入侵系統，Lynx會加密文件并附加“.LYNX”擴展名，隨后在多個目錄中放置名為“README.txt”的勒索說明。僅2024年，Lynx就聲稱攻擊了超過70家受害者，展現出其在勒索軟件領域的頻繁活動與重要地位。

2025年將會怎樣？

由于對勒索軟件團伙的打擊力度加大，有記錄以來新出現的團伙數量創下新高，這些新興組織正試圖打響自身名號。網絡安全公司Cyberint預測，到2025年，其中部分新興團伙將通過能力升級成為勒索領域的主導力量，而不僅僅是當前備受關注的RansomHub。