本文列出的勒索軟件團(tuán)伙及其惡意軟件已經(jīng)使數(shù)百萬家公司受害，并造成了數(shù)十億美元的損失。

勒索軟件有著悠久的歷史，可追溯到20世紀(jì)80年代末。僅在過去一年里，它就為背后的犯罪集團(tuán)帶來了8.11億美元的收益。即使受害者支付了贖金，也會(huì)產(chǎn)生恢復(fù)成本。

鑒于攻擊者能從中獲得經(jīng)濟(jì)利益，勒索軟件團(tuán)伙和惡意軟件的激增也就不足為奇了。能夠開發(fā)和交付勒索軟件代碼的勒索軟件威脅行為者(ransomware threat actors)的數(shù)量可能數(shù)以百計(jì)。這還不包括從某些威脅行為者那里購買勒索軟件即服務(wù)(RaaS)產(chǎn)品的所謂“附屬人員”。

以下是一份歷史上關(guān)鍵的勒索軟件惡意軟件和團(tuán)伙的清單，其中一些至今仍活躍。它們的入選是基于其影響或創(chuàng)新特性。這并不是一份詳盡無遺的清單，而且雖然其中大多數(shù)已不再活躍，但這并不能保證它們將來不會(huì)以更大、更惡劣的形式重新出現(xiàn)，這種情況經(jīng)常發(fā)生。

要了解當(dāng)前活躍的惡意行為者的最新情況，請(qǐng)參閱“當(dāng)今最活躍的12個(gè)勒索軟件團(tuán)伙：骯臟十二人”。

Cerber

歷史：Cerber是一個(gè)RaaS平臺(tái)，于2016年首次出現(xiàn)，當(dāng)年7月便為攻擊者帶來了20萬美元的收益。

工作原理：Cerber利用微軟漏洞感染網(wǎng)絡(luò)。它的工作原理與其他勒索軟件威脅類似。它使用AES-256算法加密文件，并針對(duì)包括文檔、圖片、音頻文件、視頻、檔案和備份在內(nèi)的多種文件類型。它還可以掃描并加密可用的網(wǎng)絡(luò)共享，即使它們未在計(jì)算機(jī)上映射到驅(qū)動(dòng)器號(hào)。之后，Cerber會(huì)在受害者的桌面上留下三個(gè)文件，其中包含贖金要求和支付說明。

目標(biāo)受害者：作為RaaS平臺(tái)，Cerber對(duì)任何人都是威脅。

歸因：Cerber的創(chuàng)建者在一個(gè)私人的俄語論壇上出售該平臺(tái)。

當(dāng)前狀態(tài)：據(jù)報(bào)道，Cerber至今仍活躍。

Conti

歷史：Conti RaaS平臺(tái)首次出現(xiàn)于2020年5月，被認(rèn)為是Ryuk勒索軟件的后繼者。截至2021年1月，Conti據(jù)信已感染超過150家組織，并為其犯罪開發(fā)者和附屬人員賺取了數(shù)百萬美元。自其出現(xiàn)以來，已發(fā)現(xiàn)至少三個(gè)新版本。

工作原理：Conti采用雙重威脅手段，即扣留解密密鑰并出售或泄露受害者的敏感數(shù)據(jù)。它甚至運(yùn)營(yíng)一個(gè)名為Conti News的網(wǎng)站，列出其受害者并發(fā)布被盜數(shù)據(jù)。一旦惡意軟件感染系統(tǒng)，它會(huì)花時(shí)間橫向移動(dòng)以訪問更多敏感系統(tǒng)。Conti以其使用多線程快速加密文件而聞名。

目標(biāo)受害者：作為RaaS運(yùn)營(yíng)，Conti對(duì)任何人都是威脅，盡管2021年1月的一輪感染似乎針對(duì)的是政府組織。據(jù)信，Wizard Spider團(tuán)伙在針對(duì)愛爾蘭國(guó)家醫(yī)療服務(wù)以及至少16家美國(guó)醫(yī)療保健和應(yīng)急網(wǎng)絡(luò)的勒索軟件攻擊中使用了Conti。

歸因：Conti是單個(gè)團(tuán)伙的作品，其成員身份仍未知。

當(dāng)前狀態(tài)：據(jù)報(bào)道，Conti于2022年5月解散，但其附屬人員仍可以使用和分發(fā)該勒索軟件。

CryptoLocker

歷史：CryptoLocker首次發(fā)現(xiàn)于2013年的一次攻擊中，它開啟了現(xiàn)代勒索軟件時(shí)代，并在其高峰期感染了多達(dá)50萬臺(tái)Windows機(jī)器。它也被稱為TorrentLocker。2014年7月，美國(guó)司法部宣布已“中和”CryptoLocker。

工作原理：CryptoLocker是一種木馬，會(huì)在受感染的計(jì)算機(jī)中搜索要加密的文件，包括任何內(nèi)部或網(wǎng)絡(luò)連接的存儲(chǔ)設(shè)備。它通常通過包含惡意鏈接的釣魚郵件附件進(jìn)行傳播。一旦打開文件，就會(huì)激活下載器，從而感染計(jì)算機(jī)。

目標(biāo)受害者：CryptoLocker似乎沒有針對(duì)任何特定實(shí)體。

歸因：CryptoLocker由開發(fā)Gameover Zeus(一種銀行木馬)的犯罪團(tuán)伙成員創(chuàng)建。

當(dāng)前狀態(tài)：CryptoLocker于2014年5月通過托瓦行動(dòng)(Operation Tovar)有效關(guān)閉，該行動(dòng)拆除了用于分發(fā)該惡意軟件的Gameover ZeuS僵尸網(wǎng)絡(luò)。

CryptoWall

歷史：CryptoWall(也稱為CryptoBit或CryptoDefense)首次出現(xiàn)于2014年，并在原始CryptoLocker關(guān)閉后變得流行起來。它經(jīng)歷了多次修訂。

工作原理：CryptoWall通過垃圾郵件或漏洞利用工具包進(jìn)行傳播。其開發(fā)者似乎避免使用復(fù)雜手段，而是采用簡(jiǎn)單但有效的經(jīng)典勒索軟件方法。在其運(yùn)營(yíng)的前六個(gè)月里，它感染了62.5萬臺(tái)計(jì)算機(jī)。

目標(biāo)受害者：這種勒索軟件已經(jīng)使全球數(shù)萬種類型的組織受害，但避免針對(duì)俄語國(guó)家。

歸因：CryptoWall的開發(fā)者可能是一個(gè)來自俄語國(guó)家的犯罪團(tuán)伙。CryptoWall 3.0會(huì)檢測(cè)它是否正在白俄羅斯、烏克蘭、俄羅斯、哈薩克斯坦、亞美尼亞或塞爾維亞的計(jì)算機(jī)上運(yùn)行，然后自行卸載。

當(dāng)前狀態(tài)：CryptoWall在2014年至2018年期間是一個(gè)主要的勒索軟件威脅，但目前似乎已不再活躍。

CTB-Locker

歷史：CTB-Locker首次報(bào)告于2014年，是另一種以高感染率而聞名的RaaS產(chǎn)品。2016年，CTB-Locker的一個(gè)新版本瞄準(zhǔn)了Web服務(wù)器。

工作原理：附屬人員每月向CTB-Locker開發(fā)者支付費(fèi)用，以獲得托管勒索軟件代碼的訪問權(quán)限。該勒索軟件使用橢圓曲線密碼學(xué)加密數(shù)據(jù)。它還以其多語言功能而聞名，這增加了全球潛在受害者的數(shù)量。

目標(biāo)受害者：鑒于其RaaS模式，CTB-Locker對(duì)任何組織都是威脅，但西歐、北美和澳大利亞的一級(jí)國(guó)家最常受到攻擊，尤其是那些已知支付過贖金費(fèi)用的國(guó)家。

當(dāng)前狀態(tài)：CTB-Locker在2014年至2015年期間特別活躍，但目前似乎已不再活躍。

DarkSide

歷史：DarkSide自2020年8月至少就已開始運(yùn)營(yíng)，并在2021年5月因?qū)е翪olonial Pipeline癱瘓的勒索軟件攻擊而躍入公眾視野。

工作原理：DarkSide通過附屬計(jì)劃采用RaaS模式。它使用數(shù)據(jù)加密和數(shù)據(jù)泄露的雙重勒索威脅。它通常通過手動(dòng)黑客技術(shù)部署。DarkSide的運(yùn)營(yíng)商似乎很懂媒體。他們運(yùn)營(yíng)一個(gè)網(wǎng)站，記者可以在該網(wǎng)站上注冊(cè)以提前獲取有關(guān)漏洞和非公開信息，并承諾快速回復(fù)任何媒體問題。

目標(biāo)受害者：DarkSide背后的團(tuán)伙聲稱，他們不會(huì)攻擊醫(yī)療機(jī)構(gòu)、COVID疫苗研究和分銷公司、殯葬服務(wù)、非營(yíng)利組織、教育機(jī)構(gòu)或政府組織。在Colonial Pipeline攻擊之后，該團(tuán)伙發(fā)表聲明稱，他們將在附屬人員發(fā)動(dòng)攻擊之前審查其潛在受害者。

歸因：據(jù)信，DarkSide團(tuán)伙在俄羅斯運(yùn)營(yíng)，并可能是REvil團(tuán)伙的前附屬人員。

當(dāng)前狀態(tài)：一些專家認(rèn)為，DarkSide已重新命名為BlackCat(ALPHV)勒索軟件團(tuán)伙，該團(tuán)伙在2024年3月Change Healthcare攻擊后據(jù)報(bào)道已關(guān)閉。

DoppelPaymer

歷史：DoppelPaymer首次出現(xiàn)于2019年6月，至今仍活躍且危險(xiǎn)。美國(guó)聯(lián)邦調(diào)查局(FBI)網(wǎng)絡(luò)司在2020年12月對(duì)其發(fā)出了警告。2020年9月，它首次被用于導(dǎo)致死亡的勒索軟件攻擊，當(dāng)時(shí)一家受害的德國(guó)醫(yī)院被迫將一名患者轉(zhuǎn)移到另一家醫(yī)院。

工作原理：DoppelPaymer背后的團(tuán)伙使用不尋常的手段，即使用偽造的美國(guó)電話號(hào)碼致電受害者，要求支付通常約為50個(gè)比特幣(在其首次出現(xiàn)時(shí)約為60萬美元)的贖金。他們聲稱來自朝鮮，并發(fā)出泄露或出售被盜數(shù)據(jù)的雙重威脅。在某些情況下，他們更進(jìn)一步，威脅受害公司員工的生命安全。

DoppelPaymer似乎基于BitPaymer勒索軟件，盡管它有一些關(guān)鍵差異，例如使用線程文件加密以獲得更好的加密速度。與BitPaymer不同，DoppelPaymer使用名為Process Hacker的工具來終止安全、電子郵件服務(wù)器、備份和數(shù)據(jù)庫進(jìn)程及服務(wù)，以削弱防御并避免干擾加密過程。

目標(biāo)受害者：DoppelPaymer針對(duì)醫(yī)療保健、緊急服務(wù)和教育等關(guān)鍵行業(yè)。

歸因：尚不清楚，但一些報(bào)告表明，Dridex木馬背后的團(tuán)伙的一個(gè)分支(稱為TA505)是DoppelPaymer的幕后黑手。

當(dāng)前狀態(tài)：DoppelPaymer于2023年2月被德國(guó)和烏克蘭警方搗毀。在其被搗毀之前，從2021年5月左右開始，DoppelPaymer的活動(dòng)顯著減少，一些專家得出結(jié)論認(rèn)為，該威脅背后的主要參與者已將其勒索軟件重新命名為Grief，該團(tuán)伙至今仍活躍。

Egregor

歷史：Egregor于2020年9月出現(xiàn)，并迅速壯大。它的名字來自神秘世界，被定義為“一群人(尤其是當(dāng)他們的目標(biāo)一致時(shí))的集體能量”。2021年2月9日，美國(guó)、烏克蘭和法國(guó)當(dāng)局聯(lián)合行動(dòng)，逮捕了多名Egregor團(tuán)伙成員和附屬人員，并將其網(wǎng)站關(guān)閉。

工作原理：Egregor遵循數(shù)據(jù)加密和如果不支付贖金就威脅泄露敏感信息的“雙重勒索”趨勢(shì)。其代碼庫相對(duì)復(fù)雜，能夠通過使用混淆和抗分析技術(shù)來避免被檢測(cè)。

目標(biāo)受害者：截至11月底，Egregor在全球范圍內(nèi)19個(gè)行業(yè)的至少71個(gè)組織中被利用。

歸因：Egregor的崛起恰逢Maze勒索軟件團(tuán)伙宣布停止運(yùn)營(yíng)。Maze團(tuán)伙的附屬成員似乎已轉(zhuǎn)投Egregor。它是Sekhmet勒索軟件家族的一個(gè)變種，與Qakbot惡意軟件有關(guān)聯(lián)。

當(dāng)前狀態(tài)：在Maze勒索軟件團(tuán)伙宣布關(guān)閉后不久，Egregor便浮出水面。該勒索軟件在2020年9月至2021年初最為活躍，之后被FBI和烏克蘭當(dāng)局取締。

FONIX

歷史：FONIX是一種勒索軟件即服務(wù)(RaaS)，首次發(fā)現(xiàn)于2020年7月。它迅速經(jīng)歷了多次代碼修訂，但在2021年1月突然關(guān)閉。之后，F(xiàn)ONIX團(tuán)伙釋放了其主解密密鑰。

運(yùn)作方式：FONIX團(tuán)伙在網(wǎng)絡(luò)犯罪論壇和暗網(wǎng)上宣傳其服務(wù)。購買FONIX的人需要向團(tuán)伙發(fā)送一個(gè)電子郵件地址和密碼。團(tuán)伙隨后向買家發(fā)送定制的勒索軟件有效載荷。FONIX團(tuán)伙會(huì)從任何支付的贖金中抽取25%的份額。

目標(biāo)受害者：由于FONIX是RaaS，任何人都有可能成為受害者。

歸因：一個(gè)未知的網(wǎng)絡(luò)犯罪團(tuán)伙

當(dāng)前狀態(tài)：FONIX從未達(dá)到主要參與者的地位，自2021年起便已不復(fù)存在。

GandCrab

歷史：GandCrab可能是有史以來最賺錢的RaaS。截至2019年7月，其開發(fā)者聲稱已從受害者那里獲得了超過20億美元的支付。GandCrab首次發(fā)現(xiàn)于2018年1月。

運(yùn)作方式：GandCrab是面向網(wǎng)絡(luò)犯罪分子的附屬勒索軟件程序，這些犯罪分子需要向其開發(fā)者支付他們收取的贖金的一部分。該惡意軟件通常通過包含惡意內(nèi)容的Microsoft Office文檔通過釣魚郵件發(fā)送。GandCrab的不同變種利用了諸如Atlassian的Confluence等軟件中的漏洞。在這種情況下，攻擊者利用漏洞注入一個(gè)惡意模板，從而能夠遠(yuǎn)程執(zhí)行代碼。

目標(biāo)受害者：GandCrab感染了全球多個(gè)行業(yè)的系統(tǒng)，但它被設(shè)計(jì)為避開俄羅斯語區(qū)的系統(tǒng)。

歸因：GandCrab與俄羅斯國(guó)民Igor Prokopenko有關(guān)聯(lián)。

當(dāng)前狀態(tài)：GandCrab在2018年1月至2019年5月期間是一個(gè)主要的勒索軟件威脅。研究人員懷疑其背后的團(tuán)伙轉(zhuǎn)移了焦點(diǎn)，開發(fā)了一種名為REvil或Sodinokibi的勒索軟件變種。Sodinokibi/REvil至今仍很活躍。

GoldenEye

歷史：GoldenEye出現(xiàn)在2016年，似乎基于Petya勒索軟件。

運(yùn)作方式：GoldenEye最初是通過針對(duì)人力資源部門發(fā)起的一項(xiàng)活動(dòng)傳播的，活動(dòng)中使用了虛假的求職信和簡(jiǎn)歷。一旦其有效載荷感染了一臺(tái)計(jì)算機(jī)，它便會(huì)執(zhí)行一個(gè)宏，該宏會(huì)加密計(jì)算機(jī)上的文件，并在每個(gè)文件末尾添加一個(gè)隨機(jī)的8個(gè)字符的擴(kuò)展名。然后，該勒索軟件會(huì)修改計(jì)算機(jī)的硬盤主引導(dǎo)記錄，用一個(gè)自定義的引導(dǎo)加載程序替換。

目標(biāo)受害者：GoldenEye的釣魚郵件最初針對(duì)的是德語用戶。

歸因：未知

當(dāng)前狀態(tài)：GoldenEye在2017年6月重新浮出水面，對(duì)烏克蘭發(fā)起攻擊，但目前似乎已不再活躍。

Grief

歷史：Grief勒索軟件，也被稱為“Pay or Grief”，被認(rèn)為是DoppelPaymer的繼任者，出現(xiàn)于2021年5月。在5月至10月期間，該團(tuán)伙聲稱已攻破了41家公司和其他組織，其中大多數(shù)位于歐洲和英國(guó)。據(jù)估計(jì)，在該時(shí)間段內(nèi)，該團(tuán)伙獲利超過1100萬美元。10月底，該團(tuán)伙聲稱已攻破美國(guó)全國(guó)步槍協(xié)會(huì)(NRA)，并竊取數(shù)據(jù)以勒索贖金。

運(yùn)作方式：Grief是一個(gè)RaaS運(yùn)營(yíng)組織，與附屬機(jī)構(gòu)合作，這些附屬機(jī)構(gòu)執(zhí)行入侵并安裝勒索軟件程序，以換取從贖金支付中獲得的傭金。該團(tuán)伙通過從被攻破的組織中竊取數(shù)據(jù)并進(jìn)行雙重勒索(如果受害者不支付贖金，就威脅要泄露數(shù)據(jù))來實(shí)現(xiàn)其目的。Grief維護(hù)了一個(gè)泄露網(wǎng)站，發(fā)布有關(guān)受害者的信息。最近，它開始警告受害者，如果他們聯(lián)系執(zhí)法部門、勒索軟件談判專家或數(shù)據(jù)恢復(fù)專家，他們將清除他們有權(quán)限訪問的系統(tǒng)，使受害者即使愿意支付解密密鑰的費(fèi)用也無法恢復(fù)其文件。

DoppelPaymer和Grief之間的代碼差異很小。DoppelPaymer用來終止各種進(jìn)程的嵌入式ProcessHacker二進(jìn)制文件已被刪除，用于加密例程的RC4密鑰已從40字節(jié)增加到48字節(jié)。否則，加密算法保持不變：2048位RSA和256位AES。

目標(biāo)受害者：Grief已攻破了多家制造商、藥店、食品和酒店服務(wù)提供商、教育機(jī)構(gòu)以及市政當(dāng)局和至少一個(gè)政府轄區(qū)。該團(tuán)伙并未在其泄露網(wǎng)站上公布其聲稱攻破的所有受害者的身份。

歸因：Grief勒索軟件據(jù)信由Evil Corp運(yùn)營(yíng)，這是一個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙，此前因運(yùn)營(yíng)Dridex僵尸網(wǎng)絡(luò)和WastedLocker以及DoppelPaymer勒索軟件而聞名。Evil Corp是被財(cái)政部列入制裁名單的網(wǎng)絡(luò)犯罪團(tuán)伙之一，與該團(tuán)伙相關(guān)的兩名個(gè)人也被列入FBI的最想通緝名單。

當(dāng)前狀態(tài)：Grief至今仍很活躍。

Jigsaw

歷史：Jigsaw首次出現(xiàn)在2016年，但研究人員在其被發(fā)現(xiàn)后不久便發(fā)布了一個(gè)解密工具。

運(yùn)作方式：Jigsaw最引人注目的特點(diǎn)是它會(huì)加密一些文件，要求支付贖金，然后逐步刪除文件，直到支付贖金為止。它每小時(shí)刪除一個(gè)文件，持續(xù)72小時(shí)。到那時(shí)，它會(huì)刪除所有剩余的文件。

目標(biāo)受害者：Jigsaw似乎沒有針對(duì)任何特定的受害者群體。

歸因：未知

當(dāng)前狀態(tài)：Jigsaw已不再以其原始形式活躍，但其源代碼是公開可用的，這允許威脅行為者修改和適應(yīng)該惡意軟件。

KeRanger

歷史：KeRanger于2016年被發(fā)現(xiàn)，被認(rèn)為是首款針對(duì)Mac OS X應(yīng)用程序的勒索軟件。

運(yùn)作方式：KeRanger是通過一個(gè)合法但被破解的BitTorrent客戶端分發(fā)的，該客戶端能夠躲避檢測(cè)，因?yàn)樗幸粋€(gè)有效的證書。

目標(biāo)受害者：Mac用戶

歸因：未知

當(dāng)前狀態(tài)：KeRanger已不再被認(rèn)為活躍。

Leatherlocker

歷史：Leatherlocker首次發(fā)現(xiàn)于2017年，存在于兩款A(yù)ndroid應(yīng)用程序中：Booster & Cleaner和Wallpaper Blur HD。谷歌在發(fā)現(xiàn)后不久便從應(yīng)用商店中移除了這些應(yīng)用程序。

運(yùn)作方式：受害者下載看似合法的應(yīng)用程序。然后，該應(yīng)用程序會(huì)請(qǐng)求權(quán)限，這些權(quán)限授予惡意軟件執(zhí)行所需的訪問權(quán)限。Leatherlocker不會(huì)加密文件，而是鎖定設(shè)備主屏幕，以防止訪問數(shù)據(jù)。

目標(biāo)受害者：下載受感染應(yīng)用程序的Android用戶。

歸因：一個(gè)未知的網(wǎng)絡(luò)犯罪團(tuán)伙。

當(dāng)前狀態(tài)：Leatherlocker似乎已不再活躍。

LockerGoga

歷史：LockerGoga于2019年出現(xiàn)，在對(duì)工業(yè)公司的攻擊中被發(fā)現(xiàn)。盡管攻擊者要求支付贖金，但LockerGoga似乎故意設(shè)計(jì)得難以支付贖金。這導(dǎo)致一些研究人員認(rèn)為其意圖是破壞而非獲利。

運(yùn)作方式：LockerGoga使用包含惡意附件的釣魚郵件來感染系統(tǒng)。這些有效載荷使用了有效的證書進(jìn)行簽名，從而能夠繞過安全系統(tǒng)。

目標(biāo)受害者：LockerGoga攻擊了歐洲的制造公司，其中最引人注目的是Norsk Hydro，在那里它導(dǎo)致了全球范圍內(nèi)的IT系統(tǒng)關(guān)閉。

歸因：一些研究人員認(rèn)為L(zhǎng)ockerGoga可能是一個(gè)國(guó)家所為。

當(dāng)前狀態(tài)：LockerGoga對(duì)工業(yè)公司造成了嚴(yán)重的破壞和財(cái)務(wù)損失，包括對(duì)Norsk Hydro在2019年3月的攻擊。歐洲刑警組織逮捕了LockerGoga、MegaCortex和Dharma勒索軟件攻擊的嫌疑人，從而遏制了這一威脅。

Locky

歷史：Locky于2016年開始傳播，其攻擊模式與銀行惡意軟件Dridex相似。Locky激發(fā)了包括Osiris和Diablo6在內(nèi)的多種變種。

運(yùn)作方式：受害者通常會(huì)收到一封包含聲稱是發(fā)票的Microsoft Word文檔的電子郵件。該發(fā)票包含惡意宏。Microsoft出于安全考慮默認(rèn)禁用宏。如果啟用了宏，文檔將運(yùn)行宏，該宏會(huì)下載Locky。Dridex使用相同的技術(shù)來竊取帳戶憑據(jù)。

目標(biāo)受害者：Locky早期的攻擊針對(duì)醫(yī)院，但隨后的攻擊更為廣泛且沒有特定目標(biāo)。

歸因：由于Locky和Dridex之間的相似性，人們懷疑Locky背后的網(wǎng)絡(luò)犯罪團(tuán)伙與Dridex背后的團(tuán)伙有關(guān)聯(lián)。

當(dāng)前狀態(tài)：Locky在2016年至2017年期間是一個(gè)重大威脅，但現(xiàn)已不再活躍。

Maze

歷史：Maze是一個(gè)相對(duì)較新的勒索軟件組織，于2019年5月被發(fā)現(xiàn)。如果受害者不支付解密費(fèi)用，該組織就會(huì)將竊取的數(shù)據(jù)公之于眾，因此臭名昭著。Maze組織于2020年9月宣布停止運(yùn)營(yíng)。

運(yùn)作方式：Maze攻擊者通常使用可能已被猜測(cè)到、默認(rèn)或通過釣魚活動(dòng)獲得的有效憑據(jù)遠(yuǎn)程進(jìn)入網(wǎng)絡(luò)。然后，該惡意軟件使用開源工具掃描網(wǎng)絡(luò)，以發(fā)現(xiàn)漏洞并了解網(wǎng)絡(luò)情況。之后，它會(huì)在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)，尋找可用于權(quán)限提升的更多憑據(jù)。一旦找到域管理員憑據(jù)，它就可以訪問并加密網(wǎng)絡(luò)上的任何內(nèi)容。

目標(biāo)受害者：Maze在全球范圍內(nèi)針對(duì)所有行業(yè)進(jìn)行活動(dòng)。

歸因：據(jù)信，Maze背后的操作者不是單一的犯罪團(tuán)伙，而是多個(gè)分享各自專長(zhǎng)的犯罪團(tuán)伙。

當(dāng)前狀態(tài)：Maze已于2020年停止運(yùn)營(yíng)。

Mespinoza(又稱PYSA)

歷史：Mespinoza組織于2019年首次被發(fā)現(xiàn)，以狂妄和古怪而聞名。根據(jù)Palo Alto Networks下屬的Unit 42部門的一份報(bào)告，該團(tuán)伙將受害者稱為“合作伙伴”，并提供建議以說服管理層支付贖金。Mespinoza使用自己的工具，如MagicSocks和HappyEnd.bat。

運(yùn)作方式：盡管古怪，但據(jù)Unit 42稱，Mespinoza在行動(dòng)方面相當(dāng)有紀(jì)律。該團(tuán)伙會(huì)對(duì)潛在受害者進(jìn)行深入研究，以鎖定擁有最有價(jià)值資產(chǎn)的受害者。然后，他們會(huì)在文檔中查找如社會(huì)保險(xiǎn)號(hào)、駕駛證或護(hù)照等關(guān)鍵詞，以識(shí)別最敏感的文件。該攻擊使用遠(yuǎn)程桌面協(xié)議(RDP)獲得網(wǎng)絡(luò)訪問權(quán)限，然后使用開源和內(nèi)置系統(tǒng)工具橫向移動(dòng)并收集憑據(jù)。它安裝名為Gasket的惡意軟件來創(chuàng)建后門。Gasket具有一個(gè)名為MagicSocks的功能，該功能可創(chuàng)建用于遠(yuǎn)程訪問的隧道。該團(tuán)伙采用雙重勒索手段，包括如果不支付贖金就威脅泄露敏感數(shù)據(jù)。

目標(biāo)受害者：Mespinoza在全球范圍內(nèi)活動(dòng)，并針對(duì)許多行業(yè)的大型企業(yè)進(jìn)行攻擊。最近，它攻擊了美國(guó)和英國(guó)的K-12學(xué)校、大學(xué)和神學(xué)院。

歸因：未知

當(dāng)前狀態(tài)：Mespinoza似乎仍在活動(dòng)，但其活動(dòng)水平遠(yuǎn)低于2020年至2021年的高峰期。

Netwalker

歷史：自2019年以來一直活躍，Netwalker是另一種勒索軟件行動(dòng)，它采用扣留解密密鑰和出售或泄露竊取數(shù)據(jù)的雙重威脅手段。然而，2021年1月底，美國(guó)司法部宣布了一項(xiàng)全球行動(dòng)，破壞了Netwalker的運(yùn)營(yíng)。

運(yùn)作方式：從技術(shù)角度來看，Netwalker是一種相對(duì)普通的勒索軟件。它利用釣魚郵件獲得立足點(diǎn)，加密并滲出數(shù)據(jù)，并發(fā)送勒索要求。但威脅曝光敏感數(shù)據(jù)的第二重手段使其更加危險(xiǎn)。據(jù)悉，它通過將竊取的數(shù)據(jù)放入暗網(wǎng)上的密碼保護(hù)文件夾中，然后公開密鑰來釋放這些數(shù)據(jù)。

目標(biāo)受害者：Netwalker主要針對(duì)醫(yī)療保健和教育機(jī)構(gòu)。

歸因：據(jù)信，Circus Spider團(tuán)伙創(chuàng)建了Netwalker。

當(dāng)前狀態(tài)：在COVID-19大流行期間，Netwalker因針對(duì)醫(yī)療保健、教育和政府組織發(fā)動(dòng)攻擊而聲名狼藉。2021年1月的一次執(zhí)法行動(dòng)破壞了Netwalker的基礎(chǔ)設(shè)施，導(dǎo)致逮捕和加密貨幣被沒收。2023年2月，出現(xiàn)了一種名為Alpha的新勒索軟件變種，它與Netwalker在技術(shù)上顯示出明顯的相似性。

NotPetya

歷史：NotPetya首次出現(xiàn)于2016年，實(shí)際上是一種名為wiper的數(shù)據(jù)銷毀惡意軟件，偽裝成勒索軟件。

運(yùn)作方式：NotPetya病毒在表面上與Petya相似，因?yàn)樗鼤?huì)加密文件并要求以比特幣支付贖金。Petya需要受害者從垃圾郵件中下載它、啟動(dòng)它并給予管理員權(quán)限。而NotPetya可以在沒有人為干預(yù)的情況下傳播。最初的感染途徑似乎是通過植入在M.E.Doc中的后門，M.E.Doc是烏克蘭幾乎所有公司都使用的會(huì)計(jì)軟件包。在感染了Medoc服務(wù)器的計(jì)算機(jī)后，NotPetya使用包括EternalBlue和EternalRomance在內(nèi)的多種技術(shù)傳播到其他計(jì)算機(jī)。它還可以利用Mimikatz在受感染機(jī)器的內(nèi)存中查找網(wǎng)絡(luò)管理憑據(jù)，然后使用Windows PsExec和WMIC工具遠(yuǎn)程訪問并感染本地網(wǎng)絡(luò)上的其他計(jì)算機(jī)。

目標(biāo)受害者：該攻擊主要針對(duì)烏克蘭。

歸因：據(jù)信，俄羅斯GRU旗下的Sandworm組織是NotPetya的幕后黑手。

當(dāng)前狀態(tài)：在發(fā)動(dòng)迄今為止最具破壞性的網(wǎng)絡(luò)攻擊后，NotPetya似乎已不再活躍。

Petya

歷史：這個(gè)名字來源于1995年詹姆斯·邦德電影《黃金眼》中一個(gè)邪惡陰謀中的衛(wèi)星。一個(gè)疑似屬于該惡意軟件作者的Twitter賬戶使用扮演片中惡棍的演員艾倫·卡明的照片作為頭像。Petya惡意軟件的初始版本于2016年3月開始傳播。

運(yùn)作方式：Petya會(huì)作為聲稱是求職者簡(jiǎn)歷的電子郵件附件到達(dá)受害者的計(jì)算機(jī)。它是一個(gè)包含兩個(gè)文件的軟件包：一張年輕男子的庫存圖片和一個(gè)可執(zhí)行文件，文件名中通常包含“PDF”字樣。當(dāng)受害者點(diǎn)擊該文件時(shí)，Windows用戶訪問控制警告會(huì)告訴他們，該可執(zhí)行文件將對(duì)計(jì)算機(jī)進(jìn)行更改。一旦受害者接受更改，惡意軟件就會(huì)加載，然后通過攻擊存儲(chǔ)媒體上的低級(jí)結(jié)構(gòu)來拒絕訪問。

目標(biāo)受害者：任何Windows系統(tǒng)都可能是潛在目標(biāo)，但烏克蘭受到的打擊最為嚴(yán)重。

歸因：未知

當(dāng)前狀態(tài)：Petya因其與更具破壞性的NotPetya wiper的相似性而備受矚目，但如今已不再活躍。

Purelocker

歷史：PureLocker RaaS平臺(tái)于2019年被發(fā)現(xiàn)，針對(duì)運(yùn)行Linux或Windows的企業(yè)生產(chǎn)服務(wù)器。它使用PureBasic語言編寫，因此得名。

運(yùn)作方式：PureLocker依靠more_eggs后門惡意軟件來獲得訪問權(quán)限，而不是通過釣魚嘗試。攻擊者瞄準(zhǔn)已經(jīng)被攻破的機(jī)器，并且他們了解這些機(jī)器。然后，PureLocker分析這些機(jī)器并有選擇地加密數(shù)據(jù)。

目標(biāo)受害者：研究人員認(rèn)為，只有少數(shù)犯罪團(tuán)伙能夠支付PureLocker的費(fèi)用，因此其使用僅限于高價(jià)值目標(biāo)。

歸因：more_eggs后門背后的惡意軟件即服務(wù)(MaaS)提供商很可能是PureLocker的幕后黑手。

當(dāng)前狀態(tài)：過去五年中，幾乎沒有報(bào)告與Purelocker相關(guān)的攻擊。

RobbinHood

歷史：RobbinHood是另一種使用EternalBlue的勒索軟件變種。2019年，它使馬里蘭州巴爾的摩市陷入癱瘓。

運(yùn)作方式：RobbinHood最獨(dú)特之處在于其有效載荷如何繞過端點(diǎn)安全。它包含五個(gè)部分：一個(gè)可執(zhí)行文件，用于終止安全產(chǎn)品的進(jìn)程和文件;用于部署已簽名的第三方驅(qū)動(dòng)程序和惡意未簽名內(nèi)核驅(qū)動(dòng)程序的代碼;一個(gè)已過時(shí)的Authenticode簽名驅(qū)動(dòng)程序，存在漏洞;一個(gè)惡意驅(qū)動(dòng)程序，用于終止進(jìn)程并從內(nèi)核空間刪除文件;以及一個(gè)包含要終止和刪除的應(yīng)用程序列表的文本文件。

該過時(shí)的已簽名驅(qū)動(dòng)程序有一個(gè)已知漏洞，惡意軟件利用該漏洞來避免檢測(cè)，然后在Windows 7、Windows 8和Windows 10上安裝自己的未簽名驅(qū)動(dòng)程序。

目標(biāo)受害者：巴爾的摩和北卡羅來納州格林維爾等地方政府似乎是RobbinHood打擊最嚴(yán)重的目標(biāo)。

歸因：一個(gè)身份不明的犯罪團(tuán)伙

當(dāng)前狀態(tài)：RobbinHood在2019年聲名狼藉，但近年來很少見到該惡意軟件的蹤跡。

Ryuk

歷史：Ryuk首次出現(xiàn)于2018年8月，但基于2017年在地下網(wǎng)絡(luò)犯罪論壇上出售的較舊勒索軟件程序Hermes。

運(yùn)作方式：它通常與其他惡意軟件(如TrickBot)結(jié)合使用。Ryuk團(tuán)伙以使用手動(dòng)黑客技術(shù)和開源工具在私有網(wǎng)絡(luò)中橫向移動(dòng)并獲得盡可能多的系統(tǒng)管理員訪問權(quán)限而聞名，然后才啟動(dòng)文件加密。

Ryuk攻擊者向受害者索取高額贖金，通常介于15到50個(gè)比特幣之間(大約10萬美元到50萬美元)，盡管據(jù)報(bào)道也曾支付過更高的贖金。

目標(biāo)受害者：企業(yè)、醫(yī)院和政府組織(通常是那些最易受攻擊的組織)是Ryuk最常見的受害者。

以下是將文件內(nèi)容翻譯成中文的結(jié)果，同時(shí)確保了翻譯的準(zhǔn)確性和流暢性，以及保留了原文的意圖和語境：

Ryuk

歷史：Ryuk最初被認(rèn)為是由朝鮮的Lazarus組織開發(fā)的，該組織在2017年10月使用Hermes對(duì)臺(tái)灣遠(yuǎn)東國(guó)際銀行(FEIB)發(fā)動(dòng)了攻擊。但現(xiàn)在人們認(rèn)為，Ryuk是由一個(gè)獲得Hermes訪問權(quán)限的講俄語的網(wǎng)絡(luò)犯罪集團(tuán)創(chuàng)建的。Ryuk團(tuán)伙，有時(shí)也被稱為Wizard Spider或Grim Spider，還運(yùn)營(yíng)著TrickBot。一些研究人員認(rèn)為，Ryuk可能是以CryptoTech為綽號(hào)的Hermes原始作者或作者團(tuán)隊(duì)開發(fā)的。

現(xiàn)狀：作為一種復(fù)雜的勒索軟件變種，Ryuk截至2025年2月仍然活躍。

SamSam

歷史：SamSam自2015年出現(xiàn)以來，主要針對(duì)的是醫(yī)療保健組織，并在接下來的幾年里顯著增加了攻擊力度。

工作原理：SamSam是一個(gè)勒索軟件即服務(wù)(RaaS)運(yùn)營(yíng)平臺(tái)，其控制者會(huì)探測(cè)預(yù)先選定的目標(biāo)以尋找漏洞。它利用了從IIS到FTP再到RDP等一系列漏洞。一旦進(jìn)入系統(tǒng)，攻擊者就會(huì)提升權(quán)限，以確保當(dāng)他們開始加密文件時(shí)，攻擊會(huì)造成特別大的破壞。

目標(biāo)受害者：受害最嚴(yán)重的是美國(guó)的醫(yī)療保健和政府組織，包括科羅拉多州交通部和亞特蘭大市。

歸因：最初一些人認(rèn)為SamSam起源于東歐，但SamSam主要針對(duì)的是美國(guó)機(jī)構(gòu)。2018年底，美國(guó)司法部起訴了兩名伊朗人，聲稱他們是這些攻擊的幕后黑手。

現(xiàn)狀：SamSam于2015年12月首次出現(xiàn)，截至2025年2月仍然活躍。

SimpleLocker

歷史：SimpleLocker于2014年被發(fā)現(xiàn)，是第一個(gè)針對(duì)移動(dòng)設(shè)備(特別是Android設(shè)備)的廣泛傳播的勒索軟件攻擊。

工作原理：當(dāng)受害者下載惡意應(yīng)用程序時(shí)，SimpleLocker會(huì)感染設(shè)備。然后，該惡意軟件會(huì)掃描設(shè)備SD卡上的特定文件類型并對(duì)它們進(jìn)行加密。之后，它會(huì)顯示一個(gè)屏幕，要求支付贖金，并提供支付說明。

目標(biāo)受害者：由于贖金說明是用俄語寫的，并要求用烏克蘭貨幣支付，因此人們認(rèn)為攻擊者最初是針對(duì)該地區(qū)的。

歸因：SimpleLocker被認(rèn)為是由開發(fā)其他俄羅斯惡意軟件(如SlemBunk和GM Bot)的同一批黑客編寫的。

現(xiàn)狀：SimpleLocker目前被認(rèn)為已不再活躍。

Sodinokibi/REvil

歷史：Sodinokibi(也稱為REvil)是另一個(gè)勒索軟件即服務(wù)(RaaS)平臺(tái)，于2019年4月首次出現(xiàn)。它顯然與GandCrab有關(guān)，并且其代碼還包含防止在俄羅斯和幾個(gè)相鄰國(guó)家以及敘利亞執(zhí)行的功能。它曾導(dǎo)致22多個(gè)德克薩斯州的小鎮(zhèn)關(guān)閉，并在2019年新年前夕使英國(guó)貨幣兌換服務(wù)Travelex癱瘓。最近，REvil勒索軟件還被用于攻擊肉類加工公司JBS，暫時(shí)擾亂了美國(guó)的肉類供應(yīng)。它還對(duì)向托管服務(wù)提供商(MSP)提供軟件的Kaseya發(fā)動(dòng)了攻擊，影響了數(shù)千名MSP客戶。在Kaseya攻擊后不久，REvil的網(wǎng)站就從互聯(lián)網(wǎng)上消失了。

工作原理：Sodinokibi通過多種方式傳播，包括利用Oracle WebLogic服務(wù)器或Pulse Connect Secure VPN中的漏洞。它針對(duì)Microsoft Windows系統(tǒng)，并加密除配置文件之外的所有文件。如果受害者不支付贖金，他們將面臨雙重威脅：無法找回?cái)?shù)據(jù)，并且其敏感數(shù)據(jù)將被出售或在地下論壇上發(fā)布。

目標(biāo)受害者：Sodinokibi感染了全球許多不同地區(qū)的組織，但排除了它明確不攻擊的區(qū)域。

歸因：在GandCrab關(guān)閉后，Sodinokibi開始嶄露頭角。該組織的一名據(jù)稱成員(使用Unknown作為綽號(hào))證實(shí)，該勒索軟件是在該組織獲取的舊代碼庫的基礎(chǔ)上構(gòu)建的。

現(xiàn)狀：Sodinokibi/REvil至今仍然活躍。

TeslaCrypt

歷史：TeslaCrypt是一種針對(duì)計(jì)算機(jī)游戲玩家的Windows勒索軟件木馬，于2015年首次被發(fā)現(xiàn)。雖然接連出現(xiàn)了幾個(gè)新版本，但開發(fā)人員于2016年5月停止了運(yùn)營(yíng)，并發(fā)布了主解密密鑰。

工作原理：一旦感染計(jì)算機(jī)(通常是在受害者訪問運(yùn)行了利用工具包的被黑客入侵的網(wǎng)站后)，TeslaCrypt就會(huì)查找并加密游戲文件，如游戲存檔、錄制回放和用戶配置文件。然后，它要求支付500美元的比特幣費(fèi)用以解密文件。

目標(biāo)受害者：計(jì)算機(jī)游戲玩家

歸因：未知

現(xiàn)狀：自2016年5月起已不再活躍

Thanos

歷史：Thanos勒索軟件即服務(wù)(RaaS)平臺(tái)相對(duì)較新，于2019年底被發(fā)現(xiàn)。它是第一個(gè)使用RIPlace技術(shù)的平臺(tái)，該技術(shù)可以繞過大多數(shù)反勒索軟件方法。

工作原理：Thanos在地下論壇和其他封閉渠道上進(jìn)行宣傳，是一種定制工具，其附屬機(jī)構(gòu)使用該工具創(chuàng)建勒索軟件有效載荷。它所提供的許多功能都是為了逃避檢測(cè)。Thanos開發(fā)人員發(fā)布了多個(gè)版本，增加了禁用第三方備份、刪除Windows Defender簽名文件以及使響應(yīng)團(tuán)隊(duì)取證更加困難等功能。

目標(biāo)受害者：作為RaaS平臺(tái)，Thanos可以攻擊任何組織。

歸因：未知

現(xiàn)狀：Thanos RaaS至今仍然活躍。

WannaCry

歷史：得益于美國(guó)國(guó)家安全局(NSA)開發(fā)的后來被黑客竊取的EternalBlue漏洞利用工具，WannaCry蠕蟲在2017年5月迅速通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，并迅速感染了數(shù)百萬臺(tái)Windows計(jì)算機(jī)。

工作原理：WannaCry由多個(gè)組件組成。它以一個(gè)名為“dropper”的自包含程序的形式出現(xiàn)在受感染的計(jì)算機(jī)上，該程序會(huì)提取嵌入在其自身內(nèi)部的其他應(yīng)用程序組件，包括用于加密和解密數(shù)據(jù)的應(yīng)用程序、包含加密密鑰的文件以及Tor的副本。一旦啟動(dòng)，WannaCry會(huì)嘗試訪問一個(gè)硬編碼的URL。如果無法訪問，它就會(huì)搜索并加密重要格式的文件，從Microsoft Office文件到MP3和MKV等格式的文件。然后，它會(huì)顯示一個(gè)勒索通知，要求支付比特幣以解密文件。

目標(biāo)受害者：WannaCry攻擊影響了全球的公司，但醫(yī)療保健、能源、交通和通信領(lǐng)域的高知名度企業(yè)受到的打擊尤為嚴(yán)重。

歸因：人們認(rèn)為朝鮮的Lazarus組織是WannaCry的幕后黑手。

現(xiàn)狀：安全研究人員Marcus Hutchins通過注冊(cè)一個(gè)與惡意軟件相關(guān)的域名而意外激活了一個(gè)終止開關(guān)，從而阻止了WannaCry的傳播。

WastedLocker

歷史：WastedLocker勒索軟件是最近才出現(xiàn)的一種，自2020年5月開始攻擊組織。它是勒索軟件中較為復(fù)雜的一種，其創(chuàng)建者以要求高額贖金而聞名。

工作原理：該惡意軟件使用基于JavaScript的攻擊框架SocGholish，該框架以ZIP文件的形式通過出現(xiàn)在合法但被入侵的網(wǎng)站上的虛假瀏覽器更新進(jìn)行分發(fā)。一旦激活，WastedLocker就會(huì)下載并執(zhí)行PowerShell腳本和一個(gè)名為Cobalt Strike的后門。然后，該惡意軟件會(huì)探索網(wǎng)絡(luò)，并使用“本地存活”工具來竊取憑據(jù)并獲得對(duì)高價(jià)值系統(tǒng)的訪問權(quán)限。它使用AES和RSA加密技術(shù)的組合來加密數(shù)據(jù)。

目標(biāo)受害者：WastedLocker主要針對(duì)最有可能支付高額贖金的高價(jià)值目標(biāo)，主要集中在北美和西歐。

歸因：一個(gè)名為Evil Corp的知名犯罪團(tuán)伙是WastedLocker的幕后黑手。該團(tuán)伙還因運(yùn)營(yíng)Dridex惡意軟件和僵尸網(wǎng)絡(luò)而聞名。

現(xiàn)狀：截至2025年2月，WastedLocker仍然活躍。

WYSIWYE

歷史：WYSIWYE(What You See Is What You Encrypt，所見即所加密)于2017年被發(fā)現(xiàn)，它是一個(gè)針對(duì)Windows系統(tǒng)的RaaS(Ransomware as a Service，勒索軟件即服務(wù))平臺(tái)。

工作原理：它在網(wǎng)絡(luò)上掃描開放的遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)器。然后，它使用默認(rèn)或弱密碼嘗試登錄以訪問系統(tǒng)，并在網(wǎng)絡(luò)中傳播。購買WYSIWYE服務(wù)的犯罪分子可以選擇要加密的文件類型，以及是否在加密后刪除原始文件。

受害者：WYSIWYE攻擊首先出現(xiàn)在德國(guó)、比利時(shí)、瑞典和西班牙。

歸責(zé)：未知

當(dāng)前狀態(tài)：WYSIWYE似乎已經(jīng)停止運(yùn)行。

Zeppelin

歷史：Zeppelin于2019年11月首次出現(xiàn)，是Vega或VegasLocker RaaS的后繼產(chǎn)品，這些RaaS曾使俄羅斯的會(huì)計(jì)公司以及東歐的公司受害。

工作原理：Zeppelin的功能比其前身更為強(qiáng)大，尤其是在可配置性方面。Zeppelin可以以多種方式部署，包括作為EXE文件、DLL文件或PowerShell加載器，但其中的一些攻擊是通過被攻陷的托管安全服務(wù)提供商發(fā)起的。

目標(biāo)受害者：與Vega相比，Zeppelin更具針對(duì)性。Vega的傳播較為隨意，且主要在俄語世界中運(yùn)行。而Zeppelin被設(shè)計(jì)為不會(huì)在俄羅斯、烏克蘭、白俄羅斯或哈薩克斯坦運(yùn)行的計(jì)算機(jī)上執(zhí)行。它的大多數(shù)受害者是北美和歐洲的醫(yī)療保健和技術(shù)公司。

歸因：安全專家認(rèn)為，一個(gè)新的威脅行為者(很可能在俄羅斯)正在使用Vega的代碼庫開發(fā)Zeppelin。

當(dāng)前狀態(tài)：截至2025年2月，Zeppelin仍然活躍。