勒索软件已成为当代数字环境中最具破坏性的网络犯罪威胁之一,犯罪组织经营着价值数十亿美元的复杂企业,以多个国家的关键基础设施为目标。
2020 年至 2022 年间,勒索软件组织对澳大利亚、加拿大、新西兰和英国的组织进行了超过 865 次有记录的攻击,采用先进的加密病毒技术对受害者的数据系统进行加密,同时要求以加密货币支付解密密钥。
这些犯罪企业的演变已经从简单的基于加密的勒索转变为复杂的“双重勒索”和“三重勒索”计划,攻击者不仅对数据进行加密,还威胁要出售或公开暴露被盗信息。
这些组织通过各种攻击媒介危害系统,包括僵尸网络、恶意免费软件和复杂的网络钓鱼活动,这些活动利用人类认知偏差来获得对目标网络的初始访问权限。
勒索软件即服务 (RaaS) 模型的出现从根本上改变了网络犯罪生态系统,在核心勒索软件开发人员和附属运营商之间造成了区分。
核心小组专注于恶意软件开发、分发基础设施、受害者支付处理和维护泄漏站点,而附属机构则处理系统入侵、勒索软件部署和赎金谈判等战术要素。
AIC 分析师发现,这种基于市场的关系结构使网络犯罪分子能够在不同的勒索软件组织之间流畅地移动,快速适应执法压力和市场机会。
澳大利亚犯罪学研究所进行的研究表明,Conti 成为最多产的勒索软件组织,在三年内策划了 141 次攻击,紧随其后的是造成 129 次攻击的 LockBit 变体。
数据表明,采用 RaaS 模型并保持多年运营连续性的团体实现的攻击量明显高于传统勒索软件作。
技术基础设施和业务机制
现代勒索软件作的技术复杂性远远超出了简单的文件加密,还结合了先进的持久性机制和检测规避技术。
勒索软件组织通常通过撞库攻击、利用未修补的漏洞或针对远程桌面协议的社会工程活动来建立初始访问权限。
进入目标网络后,攻击者会使用 PowerShell 和 Windows Management Instrumentation 等合法管理工具部署横向移动技术,以避免检测。
持久化阶段涉及在受感染的网络中建立多个后门,通常利用合法的系统进程来保持隐蔽性。
Conti 和 LockBit 等组织实施复杂的侦察协议,系统地映射网络架构,识别关键数据存储库,并在部署加密有效负载之前定位备份系统。
加密过程本身采用军用级加密算法,许多团体利用结合对称和非对称加密的混合加密方案来优化速度和安全性。
最活跃的勒索软件组分析:-
| 勒索软件组织 | 攻击总数 | 活跃年限 | 型 |
|---|---|---|---|
| 康迪 | 141 | 2020-2022 | RaaS |
| LockBit(组合) | 129 | 2021-2022 | RaaS |
| 皮萨 | 48 | 2020-2021 | 传统的 |
| 恶魔 | 43 | 2020-2021 | RaaS |
| 网行者 | 37 | 2020-2021 | RaaS |
行业目标分布:-
| 扇形 | 攻击总数 | 主要目标 |
|---|---|---|
| 工业 | 239 | 制造、建筑产品 |
| 消费品 | 150 | 零售、食品和饮料 |
| 房地产 | 93 | 物业发展 |
| 金融服务 | 93 | 银行、保险 |
| 科技 | 92 | 软件、IT 服务 |
工业部门成为所有分析国家的主要目标,总共造成 239 起攻击。
这种针对性偏好既反映了工业运营的关键性质,也反映了该行业容易受到运营中断的影响,使组织更有可能支付赎金以快速恢复生产能力。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
