揭秘勒索软件活动发展的七大趋势

当前，勒索软件攻击正在以多种方式持续演进。例如：越来越多的新玩家“入场”，许多传统玩家偶尔会“退场”;一些团伙正在运行复杂的“勒索软件即服务”(RaaS)操作，并挖角网络渗透、谈判、恶意软件开发等方面的专家；有些团伙由于缺乏足够的预算和人手，只能继续在外围运作等。随着勒索软件攻击的持续演进，其生态系统呈现出以下七种趋势。

1. 参与者整体维持平衡

勒索软件攻击领域的参与者整体维持平衡——老牌玩家退场，往往伴随着新玩家入场。以今年第三季度为例，走向衰落的群体有 Avaddon、Noname等，而相对较新的玩家有 Prometheus、REvil(又名Sodinokibi)、CryptBD、Grief、Hive、Karma、Thanos 以及 Vice Society 等。不过，9月份重新回归的 REvil，上个月再度消失，这可能与执法部门的取缔活动有关。

2. 结构重组愈发普遍

一些所谓的“新玩家”很可能只是改头换面的老牌玩家。例如，在2021年第三季度，SynAck 勒索软件组织托管了一个名为“File Leaks”的数据泄露网站，并将自己更名为“El_Cometa”。此外，DoppelPaymer 可能已更名为“Grief”勒索软件组织，Karma 很有可能是 Nemty 勒索团伙的新名称。

3. 攻击活动的参与群体日益增多

Cisco Talos研究人员表示，不管名称如何变，2021年第三季度似乎有更多玩家参与了更多攻击活动。特别是在Cisco Talos开展的事件响应活动中，只有Vice Society和REvil出现在多起攻击活动中，这表明新兴勒索软件团伙更加“民主化”，攻击活动的参与群体日益增多。

不过奇怪的是，之前多产的Ryuk并未出现在Cisco Talos视线中。许多研究人员认为Conti勒索软件家族是Ryuk的继任者，这可能正是Ryuk活动量下降的原因所在。勒索软件事件响应公司Coveware证实了这一结论，该公司称在其第三季度协助处理的数千个案例中，Conti攻击量急剧增加而Ryuk攻击量大幅减少。

2021年第三季度攻击中出现的Top10勒索软件名称及市场份额(