勒索软件团伙不断演变，采用新的联盟模式来引诱网络犯罪分子

勒索软件形势持续快速演变，Secureworks 的最新研究表明，威胁行为者正采取更像企业的网络犯罪手段。DragonForce 和 Anubis 这两个勒索软件组织目前正在提供扩展的联盟计划，模仿合法的商业结构——包括服务产品、灵活的品牌塑造和支持系统。

这些发展标志着勒索软件即服务 (RaaS) 领域的一个令人不安的趋势，这种模式已经让技术水平较低的攻击者能够非常轻松地发起毁灭性的勒索软件活动。

DragonForce 转型为网络犯罪集团

DragonForce 是一个 RaaS 组织，于 2023 年 8 月首次出现，最近更名为“卡特尔”，此举凸显了其向更去中心化架构的转变。据 Secureworks 反威胁部门 (CTU) 称，该组织目前提供一种独特的联盟模式，允许网络犯罪分子创建自己的勒索软件品牌。

DragonForce 并不要求关联企业使用其勒索软件，而是提供对其基础设施的访问权限——包括管理员和客户端面板、加密工具、赎金协商系统、数据存储解决方案、基于 Tor 的泄密网站以及客户支持。这种灵活性吸引了那些拥有自身恶意软件但需要后勤、基础设施或受害者互动方面帮助的攻击者。

这种模式虽然可能吸引更广泛的网络犯罪分子，但也带来了风险。如果一个分支机构受到攻击，连接到共享基础设施的其他分支机构也可能受到影响，从而可能瓦解整个协同攻击网络。

Anubis 提供三种勒索软件合作模式

另一家 RaaS 运营商 Anubis 也打破常规，推出了三种不同的联盟模式。每种模式都为寻求攻击牟利的犯罪分子提供了不同的途径：

1. 典型的 RaaS 设置，附属机构保留 80% 的赎金。
2. 一种“数据赎金”模式，将详细的受害者分析发布在受密码保护的网站上，以迫使受害者付款。
3. 一种“访问货币化”模式，帮助关联企业勒索之前受到攻击的受害者，并提供 50% 的赎金收益。

这种数据赎金手段与犯罪内容营销形式十分相似。Anubis 运营者会发布一篇关于受害者被盗数据的“调查文章”，然后私下与受害者分享，并警告称，如果不付款，信息就会被公开。他们甚至利用社交媒体施加压力，威胁受害者向客户和监管机构披露信息。

勒索软件运营商现在像企业一样运营

这些联盟模式表明，现代勒索软件团体的运营模式越来越像合法公司。从提供技术支持到允许品牌定制，这些策略旨在吸引更广泛的潜在攻击者。事实上，DragonForce 的服务与托管服务提供商非常相似——只是没有合法性。

Secureworks 威胁情报总监 Rafe Pilling 表示，防御者应该将勒索软件团伙视为商业实体。这些威胁行为者适应迅速，追逐利润，并对网络犯罪生态系统的变化（包括执法部门的打击和赎金支付的减少）做出反应。

组织如何保持受保护

随着勒索软件攻击的门槛进一步降低，企业必须采取主动措施加强防御。Secureworks 的 CTU 建议采取以下安全措施：

• 定期修补面向互联网的系统
• 实施防网络钓鱼多因素身份验证
• 维护关键数据的安全离线备份
• 监控端点和网络的异常行为
• 制定并测试详细的事件响应计划

勒索软件团伙及其附属组织模式日益复杂，对全球网络安全构成了日益严重的威胁。了解这些行动的运作方式，并像应对精明的企业竞争对手一样做好准备，或许是保持领先一步的关键。