1 概述

勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用 " 窃取文件 + 加密数据 " 的双重勒索策略。更有甚者，在双重勒索的基础上，增加 DDoS 攻击以及骚扰与受害方有关的第三方等手段，进一步演变为 " 多重勒索 "。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为 "RaaS（勒索软件即服务）+ 定向攻击 " 收取高额赎金的模式。这种模式针对高价值目标，RaaS 的附属成员通过购买 0Day 漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种 " 定向勒索 + 窃密 + 曝光 + 售卖 " 的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。

2024 年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是 RaaS 商业模式的不断更新。RaaS 是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用 RaaS 攻击基础设施，完成攻击后与 RaaS 组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Access Broker, IAB）的助纣为虐。IAB 通过售卖有效访问凭证给攻击者实现非法获利，而无需亲自进行攻击。攻击者利用这些凭证，对特定目标进行有针对性的勒索攻击，建立初始访问后展开后续恶意活动，最终实现对目标的勒索行为。

据不完全统计，2024 年中至少有 90 个不同名称的勒索攻击组织通过 Tor 网站或 Telegram 频道等特定信息源发布受害者信息。其中，新增的 50 个勒索攻击组织中，有 21 个与已知组织存在联系。这些组织发布的受害者信息涉及约 5300 个来自全球不同国家或地区的组织机构，覆盖多个行业。然而，实际受害者数量可能远超这一数字，因为某些情况下，攻击者可能基于多种原因选择不公开或删除信息，例如在与受害者达成协议后，或受害者支付赎金以换取信息的移除。

相关勒索软件及勒索攻击组织信息参考计算机病毒百科（https://www.virusview.net/）。

表 1 ‑ 1 2024 年发布受害者信息的组织

2024 年曾发布受害方信息的勒索攻击组织（按首字母排序）
0mega	8Base	Abyss	Akira	Apos
APT73	Arcus Media	Argonauts	BianLian	Black Basta
BlackByte	BlackCat/ALPHV	BlackSuit	BlackOut	BlueBox
Brain   Cipher	Cactus	Chort	Cicada3301	Ciphbit
Cloak	Clop	Cuba	DaiXin	dan0n
Dark   Angel/Dunghill	Dark Vault	Donex	Donut	DragonForce
El   dorado	Embargo	Everest	FSociety	Fog
Gookie	HellCat	Helldown	Hunters	INC
Insane	InterLock	Kairos	Kill Security	Knight
LockBit	Lynx	Mad Liberator	Lorenz	Mallox
Medusa	MedusaLocker	Meow	Metaencryptor	Money Message
Monti	Mydata	Nitrogen	Noname	Orca
Play	PlayBoy	Pryx	QiLin	QiuLong
RA   World	RansomCortex	RansomEXX	RansomHouse	RansomHub
Red	Rhysida	SafePay	SEXi（APT   INC）	Sarcoma
Sensayq	Slug	Snatch	SpaceBears	Stormous
Termite	ThreeAM ( 3AM )	Trigona	Trinity	Trisec
Underground	Unsafe	Valencia	Vanir Group	WereWolves

目前，勒索攻击的主流威胁形式已经演变为 RaaS+ 定向攻击收取高额赎金的运行模式。全球范围内，制造、医疗、建筑、能源、金融和公共管理等行业频繁成为勒索攻击的目标，给全球产业产值造成严重损失。现将 2024 年活跃勒索梳理形成攻击组织概览，进行分享。

2 勒索攻击行为分类

2024 年活跃的勒索攻击行为主要有以下三类：

· 加密文件

采用此类勒索攻击方式的攻击者会使用勒索软件执行体对数据文件进行加密，执行体通过特定加密算法（如 AES、RSA、ChaCha20 和 Salsa20 等）组合利用对文件进行加密，大多数被加密文件在未得到对应密钥的解密工具时，暂时无法解密，只有少部分受害文件因勒索软件执行体存在算法逻辑错误而得以解密。

· 窃取文件

采用此类勒索攻击方式的攻击者不使用勒索软件执行体对数据文件进行加密，仅在目标系统内驻留并窃取数据文件，窃密完成后通知受害者文件被窃取，如不按期支付勒索赎金，则会公开或出售窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

· 窃取文件 + 加密文件（双重勒索）

采用此类勒索攻击方式的攻击者发动勒索攻击前，会在目标系统内驻留一段时间，在此期间窃取数据文件，在窃取工作完成后会投放勒索软件执行体，加密系统中的文件，并通知受害者文件被窃取，如不按期支付勒索赎金，不仅现有网络环境中的文件因被加密而无法使用，而且还会公开或出售窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

3 2024年活跃勒索攻击组织盘点

回顾 2024 年发生的勒索软件攻击事件，根据攻击活跃度和受害者信息发布数量，对活跃的勒索攻击组织进行盘点。盘点按组织名称的首字母进行排序，排名不分先后。

表 1 ‑ 2 2024 年活跃勒索组织概览

勒索软件于 2022 年 3 月首次被发现，其勒索软件代码基于 Phobos 勒索软件开发。该勒索软件背后的攻击组织采用 RaaS 和双重勒索的模式运营，疑似为 RansomHouse 勒索攻击组织的分支或品牌重塑。该组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防，常利用 SmokeLoader 木马实现对目标系统的初始访问。在建立与目标系统的初始访问后，该组织利用多种工具作为攻击装备以实现其他恶意行为。例如，利用 Mimikatz、LaZagne、VNCPassView 等工具窃取系统中的凭据，利用 PsExec 实现横向移动，利用 Rclone 回传窃取到的数据。目前暂未发现公开的解密工具。

2024 年，8Base 受害者信息发布及数据泄露平台发布约 150 名受害者信息，实际受害者数量可能更多。

3.1.1 组织概览

3.2 Akira

Akira [ 1 ] 勒索软件被发现于 2023 年 3 月，其背后的攻击组织通过 RaaS 和双重勒索的模式运营该勒索软件，以 RaaS 模式经营和勒索赎金分成等方式实现非法获利，勒索赎金分别为用于解密被加密文件和删除被窃取的数据两部分。该勒索攻击组织主要通过有效访问凭证、未配置多重身份验证（MFA）的 VPN 账户和漏洞武器化等方式对目标系统突防，曾利用思科 VPN 相关漏洞（CVE-2023-20269）实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为，例如使用 AnyDesk 远程控制计算机和传输文件，使用 PowerTool 关闭与杀毒软件有关的进程，使用 PCHunter、Masscan 和 AdFind 获取特定信息，使用 Mimikatz 窃取凭证，使用 Rclone 和 FileZilla 回传窃取到的数据等行为。

Akira 具备针对 Windows、Linux 和 VMware 等目标系统的勒索软件。除了 " 窃密 + 加密 " 的行为，还存在只窃密不加密的模式，在完成对受害系统数据窃取后，攻击者选择不投放勒索软件，而是通过窃取到的数据威胁受害者进行勒索。国外安全厂商 Avast 发现 Akira 勒索软件存在漏洞 [ 2 ] ，并于 2023 年 6 月 29 日发布了解密工具，但该工具只适用于 6 月 29 日前的 Akira 勒索软件执行体版本，因为 Akira 勒索软件开发人员在此后修复了漏洞。Akira 勒索攻击组织与之前退出勒索软件市场的 Conti 勒索攻击组织疑似存在关联，体现在勒索软件执行体的部分代码段和加密数字货币钱包地址等方面。

2024 年，Akira 受害者信息发布及数据泄露平台发布约 310 名受害者信息和窃取到的数据，实际受害者数量可能更多。

3.2.1 组织概览

3.3 Black Basta

Black Basta 勒索软件被发现于 2022 年 4 月，其背后的攻击组织通过 RaaS 和双重勒索的模式运营该勒索软件，由于 Black Basta 所使用的每个勒索软件执行体都硬编码一个唯一的识别码，故猜测该组织仅采用定向模式开展勒索攻击活动。该勒索攻击组织主要通过有效访问凭证、搭载其他恶意软件和漏洞武器化等方式对目标系统突防。该组织成员在地下论坛发帖寻求组织机构的网络访问凭证，曾利用 QBot 木马和 PrintNightmare 相关漏洞 CVE-2021-34527 实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为，例如使用 AnyConnect 和 TeamViewer 建立远程连接，使用 PsExec 执行命令，使用 Netcat 进行扫描，使用 Mimikatz 转储凭证，使用 Rclone 回传窃取到的数据等恶意行为。2023 年 12 月，国外网络安全研究机构 Security Research 发布一个名为 "Black Basta Buster" 的解密工具 [ 3 ] ，用于恢复被 Black Basta 勒索软件加密的文件，但该工具仅适用于 2022 年 11 月至 2023 年 12 月期间的部分勒索软件变种版本。

Black Basta 勒索攻击组织与之前退出勒索软件市场的 BlackMatter 和 Conti 勒索攻击组织疑似存在关联，体现在勒索软件执行体部分代码段，受害者信息发布及数据泄露站点设计风格，通信方式和勒索谈判话术等方面。故猜测 Black Basta 勒索攻击组织可能是 BlackMatter 和 Conti 勒索软件组织的分支或品牌重塑。2024 年，Black Basta 受害者信息发布及数据泄露平台发布约 190 名受害者信息，实际受害者数量可能更多。

3.3.1 组织概览

3.4 BlackSuit

BlackSuit 勒索软件于 2023 年 5 月首次被发现，其背后的攻击组织采用双重勒索策略进行运营。该组织具有较为复杂的身份背景，被认为是 Royal 勒索软件的品牌重塑。Royal 是由 Zeon 组织更名而来，而 Zeon 疑似由 Conti 组织的原成员参与建设。Conti 组织因源代码泄露等因素而解散，Conti 组织被认为是 Ryuk 的继承者，层层关系错综复杂。目前尚未发现 BlackSuit 组织通过 RaaS 模式招收附属成员。BlackSuit 具备针对 Windows、Linux 和 VMware 等目标系统的勒索软件。该组织主要通过漏洞武器化、有效访问凭证以及搭载其他恶意软件（如 SystemBC 和 GootLoader）等方式对目标系统进行渗透。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用 AnyDesk、LogMeIn、AteraAgent 等工具远程控制计算机和传输文件，使用 Mimikatz 和 Nirsoft 窃取系统中的凭证，使用 Rclone 回传窃取到的数据。目前暂未发现公开的解密工具。

2024 年，BlackSuit 受害者信息发布及数据泄露平台发布约 150 名受害者信息，实际受害者数量可能更多。

3.4.1 组织概览

3.5 Hunters

Hunters（又名 Hunters International）勒索软件于 2023 年 10 月首次被发现，其背后的攻击组织采用 RaaS 和双重勒索的模式运营该勒索软件。该组织所使用的勒索软件代码在技术架构和操作策略上与已被执法机构查处的 Hive 组织存在高度相似性。这种相似性使得安全研究人员怀疑 Hunters 可能是 Hive 的分支或品牌重塑。然而，Hunters 组织否认与 Hive 有直接关系，声称他们只是购买了 Hive 的源代码和网络基础设施，并在此基础上使用 Rust 语言进行了优化，创建了一个独立的品牌。Hunters 组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防。该组织常利用伪装成 Angry IP Scanner 网络扫描器的 SharpRhino 木马实现对目标系统的初始访问。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。使用 Plink、AnyDesk、TeamViewer 等工具远程控制计算机、传输文件和横向移动，将窃取到的数据传输到 MEGA 云平台。目前暂未发现公开的解密工具。

2024 年，Hunters 受害者信息发布及数据泄露平台发布约 230 名受害者信息，实际受害者数量可能更多。

3.5.1 组织概览

3.6 INC

INC 勒索软件于 2023 年 7 月首次被发现，其背后的攻击组织采用双重勒索策略进行运营。该勒索攻击组织主要通过漏洞武器化、有效访问凭证以及搭载其他恶意软件等方式对目标系统进行突防，常利用 NetScaler 产品漏洞 CVE-2023-3519。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用 AnyDesk、TightVNC、PuTTY 等工具实现远程控制、传输工具和横向移动，使用 NetScan、Advanced IP Scanner、Mimikatz 等工具实现网络扫描和凭证窃取，将窃取到的数据传输到 MEGA 云平台。目前暂未发现公开的解密工具。

2024 年 3 月，INC 组织在黑客论坛上出售其勒索软件和网络基础设施的源代码，售价为 30 万美元，并将潜在买家的数量限制为三人。7 月，新出现的 Lynx 勒索攻击组织所使用的勒索软件和用于勒索攻击的网络基础设施与 INC 组织较为相似，后续 Lynx 组织声明是购买了 INC 组织的源代码。2024 年，INC 受害者信息发布及数据泄露平台发布约 160 名受害者信息，实际受害者数量可能更多。

3.6.1 组织概览

3.7 LockBit

LockBit 勒索软件 [ 4 ] 于 2019 年 9 月首次被发现，初期因其加密后的文件名后缀为 .abcd，而被称为 ABCD 勒索软件。其背后的攻击组织通过 RaaS 和多重勒索的模式运营该勒索软件，主要通过 RaaS 和勒索赎金分成获利，使用该勒索软件的威胁行为体在非定向和定向模式下开展勒索攻击。该组织在 2021 年 6 月发布了勒索软件 2.0 版本，增加了删除磁盘卷影和日志文件的功能，同时发布专属数据窃取工具 StealBit，采用 " 威胁曝光（出售）企业数据 + 加密数据 " 双重勒索策略。2021 年 8 月，该组织的攻击基础设施频谱增加了对 DDoS 攻击的支持。2022 年 6 月勒索软件更新至 3.0 版本，由于 3.0 版本的部分代码与 BlackMatter 勒索软件代码重叠，因此 LockBit 3.0 又被称为 LockBit Black，这反映出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。2024 年 2 月 20 日，多国执法机构联合开展的 "Cronos 行动 " 成功对 LockBit 勒索攻击组织造成打击，执法机构接管了该组织用于攻击的网络基础设施，并为受害者提供用于解密的密钥。此次行动并未将 LockBit 组织彻底剿灭，该组织在沉寂一段时间后再次开始勒索攻击活动，并于 2024 年 12 月 19 日宣布计划在 2025 年 2 月推出 LockBit 4.0 版本。LockBit 组织主要通过有效访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对目标系统的初始访问。目前暂未发现公开的解密工具。

2023 年 10 月，波音公司被 LockBit 勒索攻击组织列为受害者，安天 CERT 从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+ 定向勒索的模式进行了解析，并提出了防御和治理方面的建议 [ 5 ] 。2024 年，LockBit 受害者信息发布及数据泄露平台发布约 520 名受害者信息和窃取到的数据，实际受害者数量可能更多。

3.7.1 组织概览

3.8 Medusa

Medusa 勒索软件于 2021 年 6 月首次被发现，与 2019 年出现的 MedusaLocker 勒索软件无关。该组织主要通过漏洞武器化、有效访问凭证和远程桌面协议（RDP）暴力破解等方式对目标系统突防。曾利用 Fortinet 相关漏洞（CVE-2023-48788）实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用 ConnectWise、PDQ Deploy、AnyDesk 等工具远程控制计算机和传输文件，使用 NetScan 扫描发现其他可攻击目标。目前暂未发现公开的解密工具。

2024 年，其受害者信息发布及数据泄露平台留有已发布的约 210 名受害者信息，实际受害者数量可能更多。

3.8.1 组织概览

3.9 Play

Play（又称 PlayCrypt）勒索软件 [ 6 ] 于 2022 年 6 月首次被发现，其背后的攻击组织通过双重勒索的模式运营该勒索软件，并声称不通过 RaaS 模式运营，使用该勒索软件的攻击者在非定向和定向模式下开展勒索攻击。该勒索攻击组织主要通过有效访问凭证和漏洞武器化等方式对目标系统进行突防，曾利用 Fortinet（CVE-2018-13379、CVE-2020-12812）和 Microsoft Exchange Server（CVE-2022-41040、CVE-2022-41082）相关漏洞实现对目标系统的初始访问。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用 AdFind 发现 Active Directory 相关信息，使用 Grixba 窃取特定信息，使用 GMER、IObit、PowerTool 等工具禁用杀毒软件和删除日志文件，使用 SystemBC 实现横向移动，使用 Mimikatz 窃取系统中的凭证，使用 WinRAR 打包要窃取的文件并通过 WinSCP 回传。目前暂未发现公开的解密工具。

Play 勒索攻击组织疑似与 Conti、Royal、Hive 和 Nokoyawa 勒索攻击组织存在关联，体现在用于攻击的基础设施和勒索攻击活动中所使用的技战术等方面。2024 年，其受害者信息发布及数据泄露平台留有已发布的约 350 名受害者信息，实际受害者数量可能更多。

3.9.1   组织概览

3.10 RansomHub

RansomHub 勒索软件 [ 7 ] 于 2024 年 2 月首次被发现，其背后的攻击组织通过 RaaS 和双重勒索的模式运营该勒索软件，该勒索攻击组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。曾利用 Confluence（CVE-2023-22515）、Citrix（CVE-2023-3519）、Fortinet（CVE-2023-27997）相关漏洞实现对目标系统的初始访问。成功访问后创建用户账户实现持久化，利用 EDRKillShifter 禁用并关闭安全防护工具，后续利用 Angry IP Scanner、Nmap、NetScan 等工具扫描发现其他可攻击目标，利用 Mimikatz、LaZagne 等工具收集系统中的凭据，利用 PsExec、AnyDesk、Connectwise 等工具实现远程访问和横向移动，利用 PuTTY、Rclone 等工具回传窃取到的数据。目前暂未发现公开的解密工具。

RansomHub 勒索攻击组织使用的勒索软件载荷和技战术与 Knight 组织有相似之处，疑似为 Knight 组织的品牌重塑或继承者。2024 年，RansomHub 受害者信息发布及数据泄露平台发布约 530 名受害者信息，实际受害者数量可能更多。

3.10.1 组织概览

总结

尽管各国执法机构不断加强对勒索攻击组织的打击力度，但勒索事件的数量却仍在呈现上升趋势。导致勒索攻击活跃度不降反增的因素众多：攻击者能够快速利用新漏洞，远程办公的脆弱性增加，新技术的应用为勒索软件提供了更多攻击机会；IAB 通过售卖访问凭证获利，攻击者利用这些凭证实施定向攻击；人工智能技术的发展既增强了防御能力，也被攻击者用于提高攻击效率；勒索攻击组织之间的技战术互相利用，以及供应链式勒索攻击事件频发，都使得受害者数量不断增加。面对日益严峻的勒索攻击形势，尽管各国执法机构和网络安全机构已采取诸多措施加强防御和打击力度，但勒索攻击的复杂性和多样性仍给全球网络安全带来了巨大挑战。

为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。安天曾在波音遭遇勒索攻击事件分析复盘报告 [ 5 ] 中提出—— " 正确的认知是有效改善防御能力的基础 "。目前国内对勒索攻击的防范，往往还停留在原有的勒索软件的阶段，还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链，而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下，遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态，而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。

面对攻击者体系化的攻击作业方式，防御者应建立体系化的防御机制和运营策略去应对勒索攻击威胁。针对体系性的攻击，必须坚持关口前移，向前部署，构成纵深，闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力，降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础：主动塑造和加固安全环境、强化暴露面和可攻击面的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深，针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防，特别要建设好主机系统侧防护，将其作为最后一道防线和防御基石，构建围绕执行体识别管控的细粒度治理能力。最终通过基于防御体系实现感知、干扰、阻断定向攻击杀伤链的实战运行效果。

参考链接

疑似使用定向攻击模式的 Akira 勒索软件分析 [ R/OL ] .（2023-05-30）

https://www.antiy.cn/research/notice&report/research_report/Akira_Ransomware_Analysis.html

[ 2 ] Avast. Decrypted: Akira Ransomware [ R/OL ] .（2023-06-29）

https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/

（2023-12-30）

https://github.com/srlabs/black-basta-buster

勒索软件样本分析及针对定向勒索的防御思考 [ R/OL ] .（2023-11-17）

https://www.antiy.cn/research/notice&report/research_report/LockBit.html

波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考 [ R/OL ] .（2023-12-30）

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

勒索软件分析 [ R/OL ] .（2023-10-20）

https://www.antiy.cn/research/notice&report/research_report/PlayCrypt_Analysis.html

活跃的 RansomHub 勒索攻击组织情况分析 [ R/OL ] .（2024-09-12）

https://www.antiy.cn/research/notice&report/research_report/RansomHub_Analysis.html