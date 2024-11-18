在逐年评估网络犯罪趋势时，任何好消息都值得欢迎。 过去两年，IBM 的威胁指数报告在这方面提供了一些小小的慰藉，显示勒索软件攻击的普遍性逐渐下降——目前仅占所有网络安全事件的 17%，而 2021 年这一比例为 21%。
不幸的是，要判断这一趋势是否会持续下去还为时过早。Searchlight Cyber 近期发布的报告显示，2024 年上半年活跃的勒索软件组织数量增加了 56%，这提供了令人信服的证据，表明对抗勒索软件的斗争远未结束。
Searchlight Cyber 是一家暗网情报公司，为执法机构、商业企业和托管安全服务提供商提供监测工具和平台，以帮助识别、追踪和预防持续的网络威胁。
该公司近期发布了一份名为《2024 年上半年勒索软件：来自暗网的趋势》的中期报告，进一步揭示了勒索软件的现状，特别关注了最活跃的勒索软件组织的活动。
根据该报告，Searchlight Cyber 收集的统计数据显示，截至 2024 年中，目前在暗网上被追踪的活跃勒索软件组织有 73 个，而去年为 46 个——这意味着增长了 56%。
报告的其他一些关键要点包括：
近期采访了 Searchlight Cyber 的威胁情报主管 Luke Donovan，以获取对该报告发现的更多视角。在评论 Searchlight Cyber 的指标报告时，Donovan 澄清道：
“我们的勒索软件受害者数量在很大程度上取决于勒索软件组织在其暗网泄露站点上列出的机构……这些数据存在一些局限性，因为勒索软件组织可能攻击了许多其他机构，但决定不公开列出受害者。
“另一方面，也始终存在勒索软件组织列出其并未实际攻击的机构以提升声誉的可能性。然而，这些数据总体上很好地反映了在暗网上运作最活跃的勒索软件组织。”
RaaS 模式现已使用多年。然而，随着更多勒索软件组织浮出水面以及 RaaS 解决方案变得更易获取，相关的危险预计只会增加。
当被问及为何 RaaS 模式近年来如此成功时，Donovan 评论道：“RaaS 模式的成功，归根结底在于其可扩展性。如果勒索软件的运营者也同时是发起攻击的个体，那么他们在任何特定时间内能够勒索的受害者数量自然有限。将攻击本身外包给众多‘附属团伙’——一些最大的团伙拥有数十个附属——使得勒索软件团伙能够极大地增加他们可以勒索的机构数量。”
乍一看，一些 RaaS 运营商似乎是通过将责任转嫁给负责实施攻击的关联公司，来在一定程度上免受法律追究。然而，许多国家的法律规定，RaaS 运营商及其附属团伙对网络攻击的组织和执行负有同等责任。
“RaaS 模式的流行更多关乎盈利能力，而非转移法律责任。如果说有什么不同的话，运营 RaaS 业务反而增加了勒索软件创建者的风险，因为这些团伙通常拥有更多受害者，这使他们成为执法机构更大的目标，”Donovan 说道。
考虑到向未经训练或无纪律的附属团伙提供 RaaS 工具包所带来的影响，这种模式的持续使用令人惊讶，因为它可能为团伙自身招致不必要的关注。这在英国国家犯罪局 (NCA) 于 2024 年 2 月对 LockBit 运营的打击中变得显而易见。
尽管如此，通过大规模扩张犯罪活动所能获取的经济收益，其背后风险已被许多勒索软件团伙证明是他们愿意承担的。
正如最近所提及的，先前已有报告显示勒索软件受害者在近年来有所减少。那么，企业是否应该担忧勒索软件集团的增多？答案是：既是也不是。
近期对 LockBit 和 BlackCat 等大型 RaaS 团伙的打击行动，无疑促成了最近勒索软件攻击的减少。另一个潜在因素可能源于网络相关领域普遍存在的技能短缺，这既影响了网络安全团队，也影响了网络犯罪集团。然而，这并不意味着勒索软件攻击不会卷土重来。
“我们目前观察到的是一个更为分散的勒索软件生态系统……当大型 RaaS 集团被打压时，我们通常看到许多更小型的模仿性团体涌现出来，”Donovan 说道。
正如 Searchlight Cyber 的报告所强调的，许多新的勒索软件组织正在使用高度复杂的攻击方法，并且越来越有动力去占据 RaaS 市场的最大份额。这是一个危险的组合，这意味着企业应保持警惕，同时持续评估其防御策略，以最小化遭受勒索软件攻击的风险。