2024年勒索软件领域的新组织们不断涌现，这些组织通过利用漏洞、供应链攻击和数据泄露等手段，对政企造成严重威胁。

本文评选出本年度最活跃的10大勒索软件组织，这些组织的成功展示了勒索软件生态系统的适应性和持续威胁，预示着2025年各领域需继续保持警惕，加强防御策略及网安合作。

RansomHub：

RansomHub作为一个新的勒索软件联盟项目在俄罗斯语言黑客论坛RAMP上宣布，以其90/10的收入分成模式迅速崛起，该组织以其多功能性著称，能够攻击包括Windows、Linux和ESXi在内的多种平台，该勒索软件已经入侵了至少210个目标。

今年10月该组织宣称，已入侵中国台湾被动元件大厂华新科，并握有华新科150GB机密资料，内容涵盖技术设计、协定、证书等机密。

Play：

Play勒索软件通过利用软件供应链中的漏洞，如Fortinet、Citrix和VMWare的ESXi，对全球多个国家的组织进行了攻击。该勒索软件组织采用双重勒索模式进行攻击，即在窃取受害者敏感数据后才对受害者系统进行加密。

Play勒索软件的主要目标国家和地区包括美国、加拿大、英国、德国、葡萄牙、丹麦、瑞典、以色列、韩国、中国台湾和新西兰‌‌。

Akira：

Akira勒索软件组织可能是与Conti勒索软件组织联系最紧密的，继承了Conti的基础设施和代码，2024年11月，Akira的活动显著增加，单月声称的受害者就达到了73个。

主要攻击目标是企业和关键基础设施组织‌，针对政府、制造业、技术、教育、咨询、制药和电信等领域的企业进行了广泛攻击‌。

Hunters International：

Hunters International在Hive勒索软件集团被取缔后出现，声称购买了Hive的源代码并修复了漏洞，该组织表示将优先考虑数据盗窃而不是文件加密。

该勒索软件的具体攻击手段包括通过远程桌面登录手动投毒，并通过SMB共享扩大加密文件范围‌，国家政府机构成为该组织的重点目标，其中美国、印度和中国是最常受到攻击的国家。

Medusa：

Medusa勒索软件组织以其独特的在线存在而闻名，通过“OSINT without borders”这一清晰的网络身份在社交媒体上活跃，其操作结合了暗网和明网活动。

Medusa 银行木马是一种安卓恶意软件即服务（MaaS）操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能，目标针对全球范围内的多个企业组织，并索要数百万美元赎金。研究人员表示，这些恶意软件变种更轻巧，在设备上需要的权限更少，而且包括全屏覆盖和截图捕获。

Qilin：

Qilin勒索软件组织自2022年7月以来一直活跃，2024年8月，Sophos X-Ops团队观察到该组织大规模窃取网络端点上Google Chrome浏览器中存储的凭证。

Qilin团伙逐渐将目标明确为医疗和教育领域，可能是因为这些行业的网络安全防护体系相对薄弱‌

BlackBasta：

BlackBasta勒索软件组织的核心成员被认为源自现已解散的Conti威胁行为者组织，因其恶意软件开发技术、泄露站点和谈判、支付及数据恢复方法的相似性而闻名。

BlackBasta的加密策略与其他勒索软件不同，它不会根据文件扩展名过滤目标文件，而是直接过滤影响系统运行的关键文件夹。对于小文件采取完全加密，对于大文件采取部分加密‌。

BianLian：

BianLian勒索软件组织，主要针对欧洲和北美的医疗保健和制造业实体，最近从双重勒索转变为不加密的勒索。

BianLian勒索软件团伙的攻击方式为：利用漏洞在网络中传播，窃取最有价值的数据并对关键机器进行加密。

INC Ransom：

INC Ransom勒索软件组织将自己定位为向受害者提供服务的组织，声称其攻击可以使受害者环境更安全，但该组织似乎没有限制目标实体的类型。

‌INC Ransom勒索软件的主要目标包括医疗机构和大型企业。

BlackSuit：

BlackSuit勒索软件组织被认为是最活跃的勒索软件组织之一。BlackSuit勒索软件通过多种初始攻击载体进行攻击，包括利用窃取凭证的RDP、VPN和防火墙漏洞、带有宏的Office电子邮件附件、Torrent网站、恶意广告和第三方木马等‌。

LockBit3.0：

LockBit 3.0仍是最活跃的勒索软件组织之一，通过网络进行快速传播，其传播方式多样，包括但不限于垃圾邮件、恶意下载链接以及利用系统漏洞等。这些传播手段使得病毒能够在短时间内迅速感染大量目标设备，造成广泛的破坏。

‌LockBit3.0勒索软件的主要目标是各种规模的组织，特别是那些涉及关键基础设施的部门‌，如金融服务、食品与农业、教育、能源、政府和紧急服务、医疗保健、制造业和交通等‌。

面对复杂多变的勒索攻击应如何防范？

1、强化安全意识及时定期升级系统

企业组织定期做安全培训，不仅让员工了解网络安全知识，规范数据使用流程，还可帮助企业避免因操作失误导致的恶意攻击。

威胁行为者扫描的主要漏洞，其中许多漏洞包含较旧的漏洞。组织应该优先考虑升级系统并修复这些漏洞。

2、多重身份验证

威胁行为者正在采用各种策略来绕过安全检测，多种认证措施通常会威胁者利用弱凭据进行的攻击。

3、全面实施检测和管控策略

研究表示，勒索软件事件后数据被盗和利用是对受害组织最大的损失。及时发现和阻止数据的传播利用是最优方案。

4、加密及备份所有数据

加密所有数据，包括存储、备份、传输的邮件数据。重要且敏感的数据一定要加密备份，这样可应对勒索攻击带来的数据泄露和加密勒索，用户可启动数据快速恢复机构的正常运行。

企业机构应制定严谨详细的管理制度并严格执行，同时从安全技术上进行数据管理，如数据加密、数据防泄漏、数据溯源、访问权限管控，以及数据进行分级分权管理等，尽可能降低核心数据泄露的风险。同时与专业安全公司合作，提升网络防御能力，以防止数据泄露和勒索攻击。