勒索软件团伙
勒索软件团伙 是什么?
勒索软件团伙以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。
现代勒索软件团伙以结构化犯罪企业方式运作。核心团队负责加密器开发、数据泄露站点运营、赎金谈判、加密货币变现,并以勒索软件即服务(RaaS)模式招募附属者。附属者通常通过初始访问经纪人、钓鱼或 VPN/Citrix 漏洞获取入口,进行侦察、提权、外泄数据,最后部署勒索软件。多数团伙采用双重勒索(加密 + 泄露威胁),并日益叠加三重勒索(DDoS、骚扰客户)。常见品牌包括 LockBit、Conti、REvil、BlackCat/ALPHV、Cl0p、Royal/BlackSuit、Akira、Play、Hive 与 8Base。它们是执法机构联合行动、制裁与基础设施打击的重点目标。
● 示例
- 01
LockBit 在 2019—2024 年间运营,造成数千名受害者,直至 2024 年 2 月被全球执法行动重创。
- 02
Cl0p 在 2023 年利用 MOVEit Transfer 0day,勒索全球数百家机构。
● 常见问题
勒索软件团伙 是什么?
以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。 它属于网络安全的 防御与运营 分类。
勒索软件团伙 是什么意思?
以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。
勒索软件团伙 是如何工作的?
现代勒索软件团伙以结构化犯罪企业方式运作。核心团队负责加密器开发、数据泄露站点运营、赎金谈判、加密货币变现,并以勒索软件即服务(RaaS)模式招募附属者。附属者通常通过初始访问经纪人、钓鱼或 VPN/Citrix 漏洞获取入口,进行侦察、提权、外泄数据,最后部署勒索软件。多数团伙采用双重勒索(加密 + 泄露威胁),并日益叠加三重勒索(DDoS、骚扰客户)。常见品牌包括 LockBit、Conti、REvil、BlackCat/ALPHV、Cl0p、Royal/BlackSuit、Akira、Play、Hive 与 8Base。它们是执法机构联合行动、制裁与基础设施打击的重点目标。
如何防御 勒索软件团伙?
针对 勒索软件团伙 的防御通常结合技术控制与运营实践,详见上方完整定义。
勒索软件团伙 还有哪些其他名称?
常见的别称包括: 勒索软件运营者, 勒索集团。
● 相关术语
- malware№ 900
勒索软件
对受害者数据进行加密或锁定系统,并要求支付赎金以恢复访问的恶意软件。
- malware№ 902
勒索软件即服务(RaaS)
一种犯罪商业模式,勒索软件运营者将其恶意软件和基础设施租赁给执行攻击的关联方(affiliate),并按比例分成。
- defense-ops№ 536
初始访问经纪人(IAB)
专门获取企业网络未授权访问权并出售给其他犯罪者(尤其是勒索软件附属者)的网络犯罪专家。
- defense-ops№ 624
LockBit
讲俄语的勒索软件即服务运营组织,2022—2024 年成为全球最活跃的勒索软件品牌,直至被 Cronos 行动重创。
- defense-ops№ 215
Conti 勒索软件
讲俄语的勒索软件团伙,2020—2022 年间运营高产量的双重勒索项目,因大规模内部聊天记录与源码泄露后解散。
- defense-ops№ 099
BlackCat / ALPHV
基于 Rust 编写的勒索软件即服务运营组织,2021 年末至 2024 年活跃,以跨平台加密器与激进的多阶段勒索著称。
● 参见
- № 1145威胁行为者
- № 542内部威胁
- № 268网络犯罪即服务(CaaS)
- № 418FIN 威胁组织
- № 928REvil / Sodinokibi
- № 271暗网