当前，勒索软件攻击正在以多种方式持续演进。例如：越来越多的新玩家“入场”，许多传统玩家偶尔会“退场”;一些团伙正在运行复杂的“勒索软件即服务”(RaaS)操作，并挖角网络渗透、谈判、恶意软件开发等方面的专家；有些团伙由于缺乏足够的预算和人手，只能继续在外围运作等。随着勒索软件攻击的持续演进，其生态系统呈现出以下七种趋势。

1. 参与者整体维持平衡

勒索软件攻击领域的参与者整体维持平衡——老牌玩家退场，往往伴随着新玩家入场。以今年第三季度为例，走向衰落的群体有 Avaddon、Noname等，而相对较新的玩家有 Prometheus、REvil(又名Sodinokibi)、CryptBD、Grief、Hive、Karma、Thanos 以及 Vice Society 等。不过，9月份重新回归的 REvil，上个月再度消失，这可能与执法部门的取缔活动有关。

2. 结构重组愈发普遍

一些所谓的“新玩家”很可能只是改头换面的老牌玩家。例如，在2021年第三季度，SynAck 勒索软件组织托管了一个名为“File Leaks”的数据泄露网站，并将自己更名为“El_Cometa”。此外，DoppelPaymer 可能已更名为“Grief”勒索软件组织，Karma 很有可能是 Nemty 勒索团伙的新名称。

3. 攻击活动的参与群体日益增多

Cisco Talos研究人员表示，不管名称如何变，2021年第三季度似乎有更多玩家参与了更多攻击活动。特别是在Cisco Talos开展的事件响应活动中，只有Vice Society和REvil出现在多起攻击活动中，这表明新兴勒索软件团伙更加“民主化”，攻击活动的参与群体日益增多。

不过奇怪的是，之前多产的Ryuk并未出现在Cisco Talos视线中。许多研究人员认为Conti勒索软件家族是Ryuk的继任者，这可能正是Ryuk活动量下降的原因所在。勒索软件事件响应公司Coveware证实了这一结论，该公司称在其第三季度协助处理的数千个案例中，Conti攻击量急剧增加而Ryuk攻击量大幅减少。

2021年第三季度攻击中出现的Top10勒索软件名称及市场份额(来源：Coveware)

4. 并非所有勒索软件运营商都赚得“盆满钵满”

目前，似乎仍然有大量勒索软件组织十分活跃。例如，以色列威胁情报公司Kela报告称，自10月25日以来，已有11个组织——Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing等在其数据泄露门户网站列出了受害者信息。有些勒索软件组织正赚得“盆满钵满”，Coveware发布的数据显示，在2021年第三季度，企业、政府机构或其他受害组织平均支付了140,000美元赎金。

但 McAfee 研究员 Thibault Seret 指出，并非每个勒索软件即服务操作都能得到六位数或更多赎金回报。他表示，“根据最近的头条新闻，您可能会认为所有勒索软件运营商每年都能从其邪恶活动中攫取数百万美元。不过事实是，在大型犯罪团伙的阴影之下，还有许多较小的参与者，他们无法获取最新的勒索软件样本，没能力成为‘后DarkSide RaaS世界’中的附属公司，也没有快速发展的金融影响力。”

5. 恶意软件泄露养活了小型玩家

小型玩家可以在其他方面发挥创新能力。例如，今年6月份泄露的Babuk勒索软件构建器就被一些小型玩家使用，构建其更高级的加密锁定恶意软件。在另一案例中，攻击者只是简单地调整了Babuk赎金记录——插入其控制的比特币钱包地址，用它瞄准受害者，并索要数千美元赎金。

6. 泄露被盗数据也充满挑战

虽然“从受害者那里窃取数据，并威胁其泄露数据以达到目的”是勒索团伙广泛采用的策略，但它并非万无一失。关键挑战在于，受害者可能还是会选择不付款，如果攻击者并未窃取敏感数据，可能情况更是如此。

第三季度勒索软件组织在其数据泄露站点上列出的受害者数量(来源：Digital Shadows)

许多勒索软件团伙在管理数据泄漏站点，以及在暗网上托管数据以供下载时都会遇到困难，这导致一些勒索软件团体使用公共文件共享网站(例如Mega[.]nz或PrivatLab[.]com)公开数据。由于这些服务托管在明网上，它们通常会被删除，并且大多数下载链接会在一两天内被删除。

由于暗网是只能通过匿名Tor浏览器访问的网站，它优先考虑的是隐私而非性能，因此，想在暗网中下载泄露的数据就会变得比较困难。XSS俄语网络犯罪论坛的许多用户就曾报告称，当他们尝试下载Clop窃取的数据时，就遭遇了下载速度缓慢的问题。有些用户声称花了将近一周的时间才下载完成第一个数据集，有些用户甚至直接放弃了下载。

托管数据泄漏站点和支付门户也会使它们更易成为执法机构的目标。REvil勒索软件运营商就遇到了这种情况。当管理员重新启动其基于Tor的站点时，却发现其他人(可能是前管理员，也可能是执法官员，也许两者兼有)也有安装文件的副本，允许他们劫持REvil的Tor站点。

7. 运营商风险暴露

一些勒索团伙的收入似乎格外高，部分原因是受害者支付了价值数百万美元的加密货币赎金，执法机构按图索骥，很有可能找到勒索团伙的成员。

据德国周报Die Zeit报道称，德国警方已经确定了REvil团伙的一名疑似领导人——一名自称“Nikolay K.”(非真名)的比特币企业家。据了解，警方在追踪GandCrab受害者之一斯图加特国家剧院(于2019年向GandCrab支付了价值17,000美元的加密货币)时，发现加密货币与Nikolay K.使用的电子邮件帐户存在关联，便成功锁定了他。

勒索软件驱动的生活方式和试图保持匿名的模式也可能对从业者造成伤害。例如，一些勒索软件的头目倾向于通过在俄语网络犯罪论坛上发帖来发泄情绪，而非简单地获取收益后悄然离场。这表明为了保持运营节奏和匿名性，他们确实承担着越来越大的压力。这种情绪已经濒临崩溃，如果执法部门持续打击，未来一定会出现更多情绪的大爆发。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文