隨著BlackCat(ALPHV)在三月的關閉和LockBit基礎設施在二月的執法威懾，勒索軟件生態系統中出現了一個空白，這個空白很快被經驗較少的團伙填補了。

　　到目前為止，今年安全公司Cyberint的研究人員已經看到25個新的勒索軟件團伙在他們的數據泄漏網站上發布了至少一個受害者，其他已經建立但之前規模較小的團伙最近幾個月也增加了他們的運營節奏，現在在月度受害者數量中占據了前幾名的位置。

　　“雖然我們繼續跟蹤勒索軟件的格局以確定長期變化，但我們預計以前的‘中級’正在發展和已經建立的勒索軟件團伙將變得越來越明顯，無論是由于更高產的競爭對手的減少，還是由于附屬對齊的變化，”安全公司GuidePoint Security的研究人員在最近的一份報告中寫道，該報告也注意到了同樣的趨勢。

　　Play崛起至頂峰

　　上個月，一個名為Play的勒索軟件團伙取代了LockBit，成為2023年頂級勒索軟件即服務(RaaS)操作。盡管Play并不是勒索軟件領域的新手，自2022年以來一直存在，但它現在利用了更大對手的消失，可能吸引了一些他們的附屬公司。

　　RaaS運營商主要依靠被稱為附屬公司的第三方來獲得企業網絡的訪問權限，進行橫向移動，竊取敏感信息，并部署他們的文件加密惡意軟件，這些網絡犯罪分子選擇為他們最信任且支付給他們最多贖金的程序工作。

　　當ALPHV在三月宣布關閉他們的運營時，其中一個前附屬公司站出來指責他們在Change Healthcare攻擊后逃走了 allegedly paid 的2200萬美元。當LockBit在二月被執法部門查封其服務器時，該團伙的主要管理員表示，運營不會關閉。

　　但這種事件在網絡犯罪世界中迅速導致信任的喪失，合作伙伴會迅速轉向下一個程序，這種效應在LockBit最近的活動中很明顯。根據GuidePoint的統計，LockBit在三月仍占據了60%的勒索軟件事件，但其市場份額在四月下降到30%。

　　與此同時，像Hunters International、8Base、RansomHub和其他之前較小的新興團伙的活動激增。Play的受害者數量實際上從三月到四月有所減少，但由于LockBit的大幅下降，最終排在首位，但根據NCC Group的統計數據，該團伙自年初以來一直處于上升趨勢。

　　8Base是一個像Play一樣自2022年以來一直存在的勒索軟件團伙，但Hunters International相對較新，去年十月首次出現，與在2023年初執法部門成功查封其服務器后關閉的勒索軟件團伙Hive有很多相似之處。RansomHub甚至更新，首次出現在今年二月，并迅速攀升至前列。

　　“我們觀察到RansomHub威脅要在他們的品牌數據泄漏網站(DLS)上出售泄露的數據，并聲稱數據已經售出的情況——這與更典型的公開發布這些數據的做法有顯著區別，”GuidePoint的研究人員寫道，“這種獨特方法的可能性包括托管被盜數據的難度和成本，團伙認為數據銷售比公開發布更有價值，以及這種活動對受害組織的固有壓力，迫使他們與團伙達成協議。”

　　此外，攻擊Change Healthcare并指責ALPHV攜款潛逃的附屬公司現在成為了RansomHub的附屬公司。研究人員指出，這一轉換的原因可能是RansomHub對附屬公司的慷慨待遇，即對受害者支付的贖金提供90%的分成，并允許附屬公司直接接收贖金，而無需通過RansomHub的管理員。

　　更多的新來者

　　還有一些其他新的團伙以其工具或增長而引人注目，其中一個名為Muliaka，主要針對俄羅斯組織——在勒索軟件生態系統中這是一個不尋常的目標選擇，該團伙似乎在使用一個版本的Conti文件加密惡意軟件，該版本于2020年在網上泄露，并通過劫持目標組織使用的防病毒程序中的一個功能來部署。

　　“我們強調這個案例，因為大多數現代RaaS團伙都遵循不針對總部位于俄羅斯和前蘇聯多個國家的組織的規則，”GuidePoint的研究人員寫道，“這些規則可能存在是為了避免引起當地安全部門的注意。”

　　與此同時，Cyberint的研究人員在其報告中重點提到了另外三個新團伙：dAn0n、APT73和DragonForce，同時提到了今年已經公布受害者的另外二十多個團伙。

　　dAn0n團伙在四月底出現，已經在他們的數據泄漏網站上公布了12個受害者，其中10個來自美國。與此同時，APT73是另一個新團伙，盡管這個團伙表現出業余水平，但他們選擇使用通常由安全公司分配給高級網絡間諜威脅行為者的APT(高級持續威脅)稱號。APT73的數據泄漏網站是以前LockBit使用的數據泄漏網站的復制品，目前列出了五個受害者。

　　DragonForce稍微老一些，首次出現在2023年12月，該團伙似乎在使用一個泄露的LockBit勒索軟件生成器的版本，目前已經針對來自美國、英國、澳大利亞、阿根廷和瑞士的制造業、技術、醫療保健、金融、建筑和房地產等行業的組織。

　　“展望未來，2024年新勒索軟件團伙的出現，如第二季度新增25個團伙，表明威脅格局在持續演變和發展，”Cyberint的研究人員寫道。

　　好消息是，這些新團伙中的許多目前還不如他們試圖取代的主要團伙那么復雜。他們的惡意軟件、技術和工具還沒有那么完善，可能更容易被檢測到，但如果有經驗的附屬公司因更好的待遇加入他們的行列，這種情況將迅速改變。