勒索軟件有著悠久的歷史,可追溯到20世紀(jì)80年代末。僅在過(guò)去一年里,它就為背后的犯罪集團(tuán)帶來(lái)了8.11億美元的收益。即使受害者支付了贖金,也會(huì)產(chǎn)生恢復(fù)成本。
鑒于攻擊者能從中獲得經(jīng)濟(jì)利益,勒索軟件團(tuán)伙和惡意軟件的激增也就不足為奇了。能夠開(kāi)發(fā)和交付勒索軟件代碼的勒索軟件威脅行為者(ransomware threat actors)的數(shù)量可能數(shù)以百計(jì)。這還不包括從某些威脅行為者那里購(gòu)買(mǎi)勒索軟件即服務(wù)(RaaS)產(chǎn)品的所謂“附屬人員”。
以下是一份歷史上關(guān)鍵的勒索軟件惡意軟件和團(tuán)伙的清單,其中一些至今仍活躍。它們的入選是基于其影響或創(chuàng)新特性。這并不是一份詳盡無(wú)遺的清單,而且雖然其中大多數(shù)已不再活躍,但這并不能保證它們將來(lái)不會(huì)以更大、更惡劣的形式重新出現(xiàn),這種情況經(jīng)常發(fā)生。
要了解當(dāng)前活躍的惡意行為者的最新情況,請(qǐng)參閱“當(dāng)今最活躍的12個(gè)勒索軟件團(tuán)伙:骯臟十二人”。
Cerber
歷史:Cerber是一個(gè)RaaS平臺(tái),于2016年首次出現(xiàn),當(dāng)年7月便為攻擊者帶來(lái)了20萬(wàn)美元的收益。
工作原理:Cerber利用微軟漏洞感染網(wǎng)絡(luò)。它的工作原理與其他勒索軟件威脅類似。它使用AES-256算法加密文件,并針對(duì)包括文檔、圖片、音頻文件、視頻、檔案和備份在內(nèi)的多種文件類型。它還可以掃描并加密可用的網(wǎng)絡(luò)共享,即使它們未在計(jì)算機(jī)上映射到驅(qū)動(dòng)器號(hào)。之后,Cerber會(huì)在受害者的桌面上留下三個(gè)文件,其中包含贖金要求和支付說(shuō)明。
目標(biāo)受害者:作為RaaS平臺(tái),Cerber對(duì)任何人都是威脅。
歸因:Cerber的創(chuàng)建者在一個(gè)私人的俄語(yǔ)論壇上出售該平臺(tái)。
當(dāng)前狀態(tài):據(jù)報(bào)道,Cerber至今仍活躍。
Conti
歷史:Conti RaaS平臺(tái)首次出現(xiàn)于2020年5月,被認(rèn)為是Ryuk勒索軟件的后繼者。截至2021年1月,Conti據(jù)信已感染超過(guò)150家組織,并為其犯罪開(kāi)發(fā)者和附屬人員賺取了數(shù)百萬(wàn)美元。自其出現(xiàn)以來(lái),已發(fā)現(xiàn)至少三個(gè)新版本。
工作原理:Conti采用雙重威脅手段,即扣留解密密鑰并出售或泄露受害者的敏感數(shù)據(jù)。它甚至運(yùn)營(yíng)一個(gè)名為Conti News的網(wǎng)站,列出其受害者并發(fā)布被盜數(shù)據(jù)。一旦惡意軟件感染系統(tǒng),它會(huì)花時(shí)間橫向移動(dòng)以訪問(wèn)更多敏感系統(tǒng)。Conti以其使用多線程快速加密文件而聞名。
目標(biāo)受害者:作為RaaS運(yùn)營(yíng),Conti對(duì)任何人都是威脅,盡管2021年1月的一輪感染似乎針對(duì)的是政府組織。據(jù)信,Wizard Spider團(tuán)伙在針對(duì)愛(ài)爾蘭國(guó)家醫(yī)療服務(wù)以及至少16家美國(guó)醫(yī)療保健和應(yīng)急網(wǎng)絡(luò)的勒索軟件攻擊中使用了Conti。
歸因:Conti是單個(gè)團(tuán)伙的作品,其成員身份仍未知。
當(dāng)前狀態(tài):據(jù)報(bào)道,Conti于2022年5月解散,但其附屬人員仍可以使用和分發(fā)該勒索軟件。
CryptoLocker
歷史:CryptoLocker首次發(fā)現(xiàn)于2013年的一次攻擊中,它開(kāi)啟了現(xiàn)代勒索軟件時(shí)代,并在其高峰期感染了多達(dá)50萬(wàn)臺(tái)Windows機(jī)器。它也被稱為T(mén)orrentLocker。2014年7月,美國(guó)司法部宣布已“中和”CryptoLocker。
工作原理:CryptoLocker是一種木馬,會(huì)在受感染的計(jì)算機(jī)中搜索要加密的文件,包括任何內(nèi)部或網(wǎng)絡(luò)連接的存儲(chǔ)設(shè)備。它通常通過(guò)包含惡意鏈接的釣魚(yú)郵件附件進(jìn)行傳播。一旦打開(kāi)文件,就會(huì)激活下載器,從而感染計(jì)算機(jī)。
目標(biāo)受害者:CryptoLocker似乎沒(méi)有針對(duì)任何特定實(shí)體。
歸因:CryptoLocker由開(kāi)發(fā)Gameover Zeus(一種銀行木馬)的犯罪團(tuán)伙成員創(chuàng)建。
當(dāng)前狀態(tài):CryptoLocker于2014年5月通過(guò)托瓦行動(dòng)(Operation Tovar)有效關(guān)閉,該行動(dòng)拆除了用于分發(fā)該惡意軟件的Gameover ZeuS僵尸網(wǎng)絡(luò)。
CryptoWall
歷史:CryptoWall(也稱為CryptoBit或CryptoDefense)首次出現(xiàn)于2014年,并在原始CryptoLocker關(guān)閉后變得流行起來(lái)。它經(jīng)歷了多次修訂。
工作原理:CryptoWall通過(guò)垃圾郵件或漏洞利用工具包進(jìn)行傳播。其開(kāi)發(fā)者似乎避免使用復(fù)雜手段,而是采用簡(jiǎn)單但有效的經(jīng)典勒索軟件方法。在其運(yùn)營(yíng)的前六個(gè)月里,它感染了62.5萬(wàn)臺(tái)計(jì)算機(jī)。
目標(biāo)受害者:這種勒索軟件已經(jīng)使全球數(shù)萬(wàn)種類型的組織受害,但避免針對(duì)俄語(yǔ)國(guó)家。
歸因:CryptoWall的開(kāi)發(fā)者可能是一個(gè)來(lái)自俄語(yǔ)國(guó)家的犯罪團(tuán)伙。CryptoWall 3.0會(huì)檢測(cè)它是否正在白俄羅斯、烏克蘭、俄羅斯、哈薩克斯坦、亞美尼亞或塞爾維亞的計(jì)算機(jī)上運(yùn)行,然后自行卸載。
當(dāng)前狀態(tài):CryptoWall在2014年至2018年期間是一個(gè)主要的勒索軟件威脅,但目前似乎已不再活躍。
CTB-Locker
歷史:CTB-Locker首次報(bào)告于2014年,是另一種以高感染率而聞名的RaaS產(chǎn)品。2016年,CTB-Locker的一個(gè)新版本瞄準(zhǔn)了Web服務(wù)器。
工作原理:附屬人員每月向CTB-Locker開(kāi)發(fā)者支付費(fèi)用,以獲得托管勒索軟件代碼的訪問(wèn)權(quán)限。該勒索軟件使用橢圓曲線密碼學(xué)加密數(shù)據(jù)。它還以其多語(yǔ)言功能而聞名,這增加了全球潛在受害者的數(shù)量。
目標(biāo)受害者:鑒于其RaaS模式,CTB-Locker對(duì)任何組織都是威脅,但西歐、北美和澳大利亞的一級(jí)國(guó)家最常受到攻擊,尤其是那些已知支付過(guò)贖金費(fèi)用的國(guó)家。
當(dāng)前狀態(tài):CTB-Locker在2014年至2015年期間特別活躍,但目前似乎已不再活躍。
DarkSide
歷史:DarkSide自2020年8月至少就已開(kāi)始運(yùn)營(yíng),并在2021年5月因?qū)е翪olonial Pipeline癱瘓的勒索軟件攻擊而躍入公眾視野。
工作原理:DarkSide通過(guò)附屬計(jì)劃采用RaaS模式。它使用數(shù)據(jù)加密和數(shù)據(jù)泄露的雙重勒索威脅。它通常通過(guò)手動(dòng)黑客技術(shù)部署。DarkSide的運(yùn)營(yíng)商似乎很懂媒體。他們運(yùn)營(yíng)一個(gè)網(wǎng)站,記者可以在該網(wǎng)站上注冊(cè)以提前獲取有關(guān)漏洞和非公開(kāi)信息,并承諾快速回復(fù)任何媒體問(wèn)題。
目標(biāo)受害者:DarkSide背后的團(tuán)伙聲稱,他們不會(huì)攻擊醫(yī)療機(jī)構(gòu)、COVID疫苗研究和分銷公司、殯葬服務(wù)、非營(yíng)利組織、教育機(jī)構(gòu)或政府組織。在Colonial Pipeline攻擊之后,該團(tuán)伙發(fā)表聲明稱,他們將在附屬人員發(fā)動(dòng)攻擊之前審查其潛在受害者。
歸因:據(jù)信,DarkSide團(tuán)伙在俄羅斯運(yùn)營(yíng),并可能是REvil團(tuán)伙的前附屬人員。
當(dāng)前狀態(tài):一些專家認(rèn)為,DarkSide已重新命名為BlackCat(ALPHV)勒索軟件團(tuán)伙,該團(tuán)伙在2024年3月Change Healthcare攻擊后據(jù)報(bào)道已關(guān)閉。
DoppelPaymer
歷史:DoppelPaymer首次出現(xiàn)于2019年6月,至今仍活躍且危險(xiǎn)。美國(guó)聯(lián)邦調(diào)查局(FBI)網(wǎng)絡(luò)司在2020年12月對(duì)其發(fā)出了警告。2020年9月,它首次被用于導(dǎo)致死亡的勒索軟件攻擊,當(dāng)時(shí)一家受害的德國(guó)醫(yī)院被迫將一名患者轉(zhuǎn)移到另一家醫(yī)院。
工作原理:DoppelPaymer背后的團(tuán)伙使用不尋常的手段,即使用偽造的美國(guó)電話號(hào)碼致電受害者,要求支付通常約為50個(gè)比特幣(在其首次出現(xiàn)時(shí)約為60萬(wàn)美元)的贖金。他們聲稱來(lái)自朝鮮,并發(fā)出泄露或出售被盜數(shù)據(jù)的雙重威脅。在某些情況下,他們更進(jìn)一步,威脅受害公司員工的生命安全。
DoppelPaymer似乎基于BitPaymer勒索軟件,盡管它有一些關(guān)鍵差異,例如使用線程文件加密以獲得更好的加密速度。與BitPaymer不同,DoppelPaymer使用名為Process Hacker的工具來(lái)終止安全、電子郵件服務(wù)器、備份和數(shù)據(jù)庫(kù)進(jìn)程及服務(wù),以削弱防御并避免干擾加密過(guò)程。
目標(biāo)受害者:DoppelPaymer針對(duì)醫(yī)療保健、緊急服務(wù)和教育等關(guān)鍵行業(yè)。
歸因:尚不清楚,但一些報(bào)告表明,Dridex木馬背后的團(tuán)伙的一個(gè)分支(稱為T(mén)A505)是DoppelPaymer的幕后黑手。
當(dāng)前狀態(tài):DoppelPaymer于2023年2月被德國(guó)和烏克蘭警方搗毀。在其被搗毀之前,從2021年5月左右開(kāi)始,DoppelPaymer的活動(dòng)顯著減少,一些專家得出結(jié)論認(rèn)為,該威脅背后的主要參與者已將其勒索軟件重新命名為Grief,該團(tuán)伙至今仍活躍。
Egregor
歷史:Egregor于2020年9月出現(xiàn),并迅速壯大。它的名字來(lái)自神秘世界,被定義為“一群人(尤其是當(dāng)他們的目標(biāo)一致時(shí))的集體能量”。2021年2月9日,美國(guó)、烏克蘭和法國(guó)當(dāng)局聯(lián)合行動(dòng),逮捕了多名Egregor團(tuán)伙成員和附屬人員,并將其網(wǎng)站關(guān)閉。
工作原理:Egregor遵循數(shù)據(jù)加密和如果不支付贖金就威脅泄露敏感信息的“雙重勒索”趨勢(shì)。其代碼庫(kù)相對(duì)復(fù)雜,能夠通過(guò)使用混淆和抗分析技術(shù)來(lái)避免被檢測(cè)。
目標(biāo)受害者:截至11月底,Egregor在全球范圍內(nèi)19個(gè)行業(yè)的至少71個(gè)組織中被利用。
歸因:Egregor的崛起恰逢Maze勒索軟件團(tuán)伙宣布停止運(yùn)營(yíng)。Maze團(tuán)伙的附屬成員似乎已轉(zhuǎn)投Egregor。它是Sekhmet勒索軟件家族的一個(gè)變種,與Qakbot惡意軟件有關(guān)聯(lián)。
當(dāng)前狀態(tài):在Maze勒索軟件團(tuán)伙宣布關(guān)閉后不久,Egregor便浮出水面。該勒索軟件在2020年9月至2021年初最為活躍,之后被FBI和烏克蘭當(dāng)局取締。
FONIX
歷史:FONIX是一種勒索軟件即服務(wù)(RaaS),首次發(fā)現(xiàn)于2020年7月。它迅速經(jīng)歷了多次代碼修訂,但在2021年1月突然關(guān)閉。之后,F(xiàn)ONIX團(tuán)伙釋放了其主解密密鑰。
運(yùn)作方式:FONIX團(tuán)伙在網(wǎng)絡(luò)犯罪論壇和暗網(wǎng)上宣傳其服務(wù)。購(gòu)買(mǎi)FONIX的人需要向團(tuán)伙發(fā)送一個(gè)電子郵件地址和密碼。團(tuán)伙隨后向買(mǎi)家發(fā)送定制的勒索軟件有效載荷。FONIX團(tuán)伙會(huì)從任何支付的贖金中抽取25%的份額。
目標(biāo)受害者:由于FONIX是RaaS,任何人都有可能成為受害者。
歸因:一個(gè)未知的網(wǎng)絡(luò)犯罪團(tuán)伙
當(dāng)前狀態(tài):FONIX從未達(dá)到主要參與者的地位,自2021年起便已不復(fù)存在。
GandCrab
歷史:GandCrab可能是有史以來(lái)最賺錢(qián)的RaaS。截至2019年7月,其開(kāi)發(fā)者聲稱已從受害者那里獲得了超過(guò)20億美元的支付。GandCrab首次發(fā)現(xiàn)于2018年1月。
運(yùn)作方式:GandCrab是面向網(wǎng)絡(luò)犯罪分子的附屬勒索軟件程序,這些犯罪分子需要向其開(kāi)發(fā)者支付他們收取的贖金的一部分。該惡意軟件通常通過(guò)包含惡意內(nèi)容的Microsoft Office文檔通過(guò)釣魚(yú)郵件發(fā)送。GandCrab的不同變種利用了諸如Atlassian的Confluence等軟件中的漏洞。在這種情況下,攻擊者利用漏洞注入一個(gè)惡意模板,從而能夠遠(yuǎn)程執(zhí)行代碼。
目標(biāo)受害者:GandCrab感染了全球多個(gè)行業(yè)的系統(tǒng),但它被設(shè)計(jì)為避開(kāi)俄羅斯語(yǔ)區(qū)的系統(tǒng)。
歸因:GandCrab與俄羅斯國(guó)民Igor Prokopenko有關(guān)聯(lián)。
當(dāng)前狀態(tài):GandCrab在2018年1月至2019年5月期間是一個(gè)主要的勒索軟件威脅。研究人員懷疑其背后的團(tuán)伙轉(zhuǎn)移了焦點(diǎn),開(kāi)發(fā)了一種名為REvil或Sodinokibi的勒索軟件變種。Sodinokibi/REvil至今仍很活躍。
GoldenEye
歷史:GoldenEye出現(xiàn)在2016年,似乎基于Petya勒索軟件。
運(yùn)作方式:GoldenEye最初是通過(guò)針對(duì)人力資源部門(mén)發(fā)起的一項(xiàng)活動(dòng)傳播的,活動(dòng)中使用了虛假的求職信和簡(jiǎn)歷。一旦其有效載荷感染了一臺(tái)計(jì)算機(jī),它便會(huì)執(zhí)行一個(gè)宏,該宏會(huì)加密計(jì)算機(jī)上的文件,并在每個(gè)文件末尾添加一個(gè)隨機(jī)的8個(gè)字符的擴(kuò)展名。然后,該勒索軟件會(huì)修改計(jì)算機(jī)的硬盤(pán)主引導(dǎo)記錄,用一個(gè)自定義的引導(dǎo)加載程序替換。
目標(biāo)受害者:GoldenEye的釣魚(yú)郵件最初針對(duì)的是德語(yǔ)用戶。
歸因:未知
當(dāng)前狀態(tài):GoldenEye在2017年6月重新浮出水面,對(duì)烏克蘭發(fā)起攻擊,但目前似乎已不再活躍。
Grief
歷史:Grief勒索軟件,也被稱為“Pay or Grief”,被認(rèn)為是DoppelPaymer的繼任者,出現(xiàn)于2021年5月。在5月至10月期間,該團(tuán)伙聲稱已攻破了41家公司和其他組織,其中大多數(shù)位于歐洲和英國(guó)。據(jù)估計(jì),在該時(shí)間段內(nèi),該團(tuán)伙獲利超過(guò)1100萬(wàn)美元。10月底,該團(tuán)伙聲稱已攻破美國(guó)全國(guó)步槍協(xié)會(huì)(NRA),并竊取數(shù)據(jù)以勒索贖金。
運(yùn)作方式:Grief是一個(gè)RaaS運(yùn)營(yíng)組織,與附屬機(jī)構(gòu)合作,這些附屬機(jī)構(gòu)執(zhí)行入侵并安裝勒索軟件程序,以換取從贖金支付中獲得的傭金。該團(tuán)伙通過(guò)從被攻破的組織中竊取數(shù)據(jù)并進(jìn)行雙重勒索(如果受害者不支付贖金,就威脅要泄露數(shù)據(jù))來(lái)實(shí)現(xiàn)其目的。Grief維護(hù)了一個(gè)泄露網(wǎng)站,發(fā)布有關(guān)受害者的信息。最近,它開(kāi)始警告受害者,如果他們聯(lián)系執(zhí)法部門(mén)、勒索軟件談判專家或數(shù)據(jù)恢復(fù)專家,他們將清除他們有權(quán)限訪問(wèn)的系統(tǒng),使受害者即使愿意支付解密密鑰的費(fèi)用也無(wú)法恢復(fù)其文件。
DoppelPaymer和Grief之間的代碼差異很小。DoppelPaymer用來(lái)終止各種進(jìn)程的嵌入式ProcessHacker二進(jìn)制文件已被刪除,用于加密例程的RC4密鑰已從40字節(jié)增加到48字節(jié)。否則,加密算法保持不變:2048位RSA和256位AES。
目標(biāo)受害者:Grief已攻破了多家制造商、藥店、食品和酒店服務(wù)提供商、教育機(jī)構(gòu)以及市政當(dāng)局和至少一個(gè)政府轄區(qū)。該團(tuán)伙并未在其泄露網(wǎng)站上公布其聲稱攻破的所有受害者的身份。
歸因:Grief勒索軟件據(jù)信由Evil Corp運(yùn)營(yíng),這是一個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙,此前因運(yùn)營(yíng)Dridex僵尸網(wǎng)絡(luò)和WastedLocker以及DoppelPaymer勒索軟件而聞名。Evil Corp是被財(cái)政部列入制裁名單的網(wǎng)絡(luò)犯罪團(tuán)伙之一,與該團(tuán)伙相關(guān)的兩名個(gè)人也被列入FBI的最想通緝名單。
當(dāng)前狀態(tài):Grief至今仍很活躍。
Jigsaw
歷史:Jigsaw首次出現(xiàn)在2016年,但研究人員在其被發(fā)現(xiàn)后不久便發(fā)布了一個(gè)解密工具。
運(yùn)作方式:Jigsaw最引人注目的特點(diǎn)是它會(huì)加密一些文件,要求支付贖金,然后逐步刪除文件,直到支付贖金為止。它每小時(shí)刪除一個(gè)文件,持續(xù)72小時(shí)。到那時(shí),它會(huì)刪除所有剩余的文件。
目標(biāo)受害者:Jigsaw似乎沒(méi)有針對(duì)任何特定的受害者群體。
歸因:未知
當(dāng)前狀態(tài):Jigsaw已不再以其原始形式活躍,但其源代碼是公開(kāi)可用的,這允許威脅行為者修改和適應(yīng)該惡意軟件。
KeRanger
歷史:KeRanger于2016年被發(fā)現(xiàn),被認(rèn)為是首款針對(duì)Mac OS X應(yīng)用程序的勒索軟件。
運(yùn)作方式:KeRanger是通過(guò)一個(gè)合法但被破解的BitTorrent客戶端分發(fā)的,該客戶端能夠躲避檢測(cè),因?yàn)樗幸粋€(gè)有效的證書(shū)。
目標(biāo)受害者:Mac用戶
歸因:未知
當(dāng)前狀態(tài):KeRanger已不再被認(rèn)為活躍。
Leatherlocker
歷史:Leatherlocker首次發(fā)現(xiàn)于2017年,存在于兩款A(yù)ndroid應(yīng)用程序中:Booster & Cleaner和Wallpaper Blur HD。谷歌在發(fā)現(xiàn)后不久便從應(yīng)用商店中移除了這些應(yīng)用程序。
運(yùn)作方式:受害者下載看似合法的應(yīng)用程序。然后,該應(yīng)用程序會(huì)請(qǐng)求權(quán)限,這些權(quán)限授予惡意軟件執(zhí)行所需的訪問(wèn)權(quán)限。Leatherlocker不會(huì)加密文件,而是鎖定設(shè)備主屏幕,以防止訪問(wèn)數(shù)據(jù)。
目標(biāo)受害者:下載受感染應(yīng)用程序的Android用戶。
歸因:一個(gè)未知的網(wǎng)絡(luò)犯罪團(tuán)伙。
當(dāng)前狀態(tài):Leatherlocker似乎已不再活躍。
LockerGoga
歷史:LockerGoga于2019年出現(xiàn),在對(duì)工業(yè)公司的攻擊中被發(fā)現(xiàn)。盡管攻擊者要求支付贖金,但LockerGoga似乎故意設(shè)計(jì)得難以支付贖金。這導(dǎo)致一些研究人員認(rèn)為其意圖是破壞而非獲利。
運(yùn)作方式:LockerGoga使用包含惡意附件的釣魚(yú)郵件來(lái)感染系統(tǒng)。這些有效載荷使用了有效的證書(shū)進(jìn)行簽名,從而能夠繞過(guò)安全系統(tǒng)。
目標(biāo)受害者:LockerGoga攻擊了歐洲的制造公司,其中最引人注目的是Norsk Hydro,在那里它導(dǎo)致了全球范圍內(nèi)的IT系統(tǒng)關(guān)閉。
歸因:一些研究人員認(rèn)為L(zhǎng)ockerGoga可能是一個(gè)國(guó)家所為。
當(dāng)前狀態(tài):LockerGoga對(duì)工業(yè)公司造成了嚴(yán)重的破壞和財(cái)務(wù)損失,包括對(duì)Norsk Hydro在2019年3月的攻擊。歐洲刑警組織逮捕了LockerGoga、MegaCortex和Dharma勒索軟件攻擊的嫌疑人,從而遏制了這一威脅。
Locky
歷史:Locky于2016年開(kāi)始傳播,其攻擊模式與銀行惡意軟件Dridex相似。Locky激發(fā)了包括Osiris和Diablo6在內(nèi)的多種變種。
運(yùn)作方式:受害者通常會(huì)收到一封包含聲稱是發(fā)票的Microsoft Word文檔的電子郵件。該發(fā)票包含惡意宏。Microsoft出于安全考慮默認(rèn)禁用宏。如果啟用了宏,文檔將運(yùn)行宏,該宏會(huì)下載Locky。Dridex使用相同的技術(shù)來(lái)竊取帳戶憑據(jù)。
目標(biāo)受害者:Locky早期的攻擊針對(duì)醫(yī)院,但隨后的攻擊更為廣泛且沒(méi)有特定目標(biāo)。
歸因:由于Locky和Dridex之間的相似性,人們懷疑Locky背后的網(wǎng)絡(luò)犯罪團(tuán)伙與Dridex背后的團(tuán)伙有關(guān)聯(lián)。
當(dāng)前狀態(tài):Locky在2016年至2017年期間是一個(gè)重大威脅,但現(xiàn)已不再活躍。
Maze
歷史:Maze是一個(gè)相對(duì)較新的勒索軟件組織,于2019年5月被發(fā)現(xiàn)。如果受害者不支付解密費(fèi)用,該組織就會(huì)將竊取的數(shù)據(jù)公之于眾,因此臭名昭著。Maze組織于2020年9月宣布停止運(yùn)營(yíng)。
運(yùn)作方式:Maze攻擊者通常使用可能已被猜測(cè)到、默認(rèn)或通過(guò)釣魚(yú)活動(dòng)獲得的有效憑據(jù)遠(yuǎn)程進(jìn)入網(wǎng)絡(luò)。然后,該惡意軟件使用開(kāi)源工具掃描網(wǎng)絡(luò),以發(fā)現(xiàn)漏洞并了解網(wǎng)絡(luò)情況。之后,它會(huì)在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng),尋找可用于權(quán)限提升的更多憑據(jù)。一旦找到域管理員憑據(jù),它就可以訪問(wèn)并加密網(wǎng)絡(luò)上的任何內(nèi)容。
目標(biāo)受害者:Maze在全球范圍內(nèi)針對(duì)所有行業(yè)進(jìn)行活動(dòng)。
歸因:據(jù)信,Maze背后的操作者不是單一的犯罪團(tuán)伙,而是多個(gè)分享各自專長(zhǎng)的犯罪團(tuán)伙。
當(dāng)前狀態(tài):Maze已于2020年停止運(yùn)營(yíng)。
Mespinoza(又稱PYSA)
歷史:Mespinoza組織于2019年首次被發(fā)現(xiàn),以狂妄和古怪而聞名。根據(jù)Palo Alto Networks下屬的Unit 42部門(mén)的一份報(bào)告,該團(tuán)伙將受害者稱為“合作伙伴”,并提供建議以說(shuō)服管理層支付贖金。Mespinoza使用自己的工具,如MagicSocks和HappyEnd.bat。
運(yùn)作方式:盡管古怪,但據(jù)Unit 42稱,Mespinoza在行動(dòng)方面相當(dāng)有紀(jì)律。該團(tuán)伙會(huì)對(duì)潛在受害者進(jìn)行深入研究,以鎖定擁有最有價(jià)值資產(chǎn)的受害者。然后,他們會(huì)在文檔中查找如社會(huì)保險(xiǎn)號(hào)、駕駛證或護(hù)照等關(guān)鍵詞,以識(shí)別最敏感的文件。該攻擊使用遠(yuǎn)程桌面協(xié)議(RDP)獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限,然后使用開(kāi)源和內(nèi)置系統(tǒng)工具橫向移動(dòng)并收集憑據(jù)。它安裝名為Gasket的惡意軟件來(lái)創(chuàng)建后門(mén)。Gasket具有一個(gè)名為MagicSocks的功能,該功能可創(chuàng)建用于遠(yuǎn)程訪問(wèn)的隧道。該團(tuán)伙采用雙重勒索手段,包括如果不支付贖金就威脅泄露敏感數(shù)據(jù)。
目標(biāo)受害者:Mespinoza在全球范圍內(nèi)活動(dòng),并針對(duì)許多行業(yè)的大型企業(yè)進(jìn)行攻擊。最近,它攻擊了美國(guó)和英國(guó)的K-12學(xué)校、大學(xué)和神學(xué)院。
歸因:未知
當(dāng)前狀態(tài):Mespinoza似乎仍在活動(dòng),但其活動(dòng)水平遠(yuǎn)低于2020年至2021年的高峰期。
Netwalker
歷史:自2019年以來(lái)一直活躍,Netwalker是另一種勒索軟件行動(dòng),它采用扣留解密密鑰和出售或泄露竊取數(shù)據(jù)的雙重威脅手段。然而,2021年1月底,美國(guó)司法部宣布了一項(xiàng)全球行動(dòng),破壞了Netwalker的運(yùn)營(yíng)。
運(yùn)作方式:從技術(shù)角度來(lái)看,Netwalker是一種相對(duì)普通的勒索軟件。它利用釣魚(yú)郵件獲得立足點(diǎn),加密并滲出數(shù)據(jù),并發(fā)送勒索要求。但威脅曝光敏感數(shù)據(jù)的第二重手段使其更加危險(xiǎn)。據(jù)悉,它通過(guò)將竊取的數(shù)據(jù)放入暗網(wǎng)上的密碼保護(hù)文件夾中,然后公開(kāi)密鑰來(lái)釋放這些數(shù)據(jù)。
目標(biāo)受害者:Netwalker主要針對(duì)醫(yī)療保健和教育機(jī)構(gòu)。
歸因:據(jù)信,Circus Spider團(tuán)伙創(chuàng)建了Netwalker。
當(dāng)前狀態(tài):在COVID-19大流行期間,Netwalker因針對(duì)醫(yī)療保健、教育和政府組織發(fā)動(dòng)攻擊而聲名狼藉。2021年1月的一次執(zhí)法行動(dòng)破壞了Netwalker的基礎(chǔ)設(shè)施,導(dǎo)致逮捕和加密貨幣被沒(méi)收。2023年2月,出現(xiàn)了一種名為Alpha的新勒索軟件變種,它與Netwalker在技術(shù)上顯示出明顯的相似性。
NotPetya
歷史:NotPetya首次出現(xiàn)于2016年,實(shí)際上是一種名為wiper的數(shù)據(jù)銷毀惡意軟件,偽裝成勒索軟件。
運(yùn)作方式:NotPetya病毒在表面上與Petya相似,因?yàn)樗鼤?huì)加密文件并要求以比特幣支付贖金。Petya需要受害者從垃圾郵件中下載它、啟動(dòng)它并給予管理員權(quán)限。而NotPetya可以在沒(méi)有人為干預(yù)的情況下傳播。最初的感染途徑似乎是通過(guò)植入在M.E.Doc中的后門(mén),M.E.Doc是烏克蘭幾乎所有公司都使用的會(huì)計(jì)軟件包。在感染了Medoc服務(wù)器的計(jì)算機(jī)后,NotPetya使用包括EternalBlue和EternalRomance在內(nèi)的多種技術(shù)傳播到其他計(jì)算機(jī)。它還可以利用Mimikatz在受感染機(jī)器的內(nèi)存中查找網(wǎng)絡(luò)管理憑據(jù),然后使用Windows PsExec和WMIC工具遠(yuǎn)程訪問(wèn)并感染本地網(wǎng)絡(luò)上的其他計(jì)算機(jī)。
目標(biāo)受害者:該攻擊主要針對(duì)烏克蘭。
歸因:據(jù)信,俄羅斯GRU旗下的Sandworm組織是NotPetya的幕后黑手。
當(dāng)前狀態(tài):在發(fā)動(dòng)迄今為止最具破壞性的網(wǎng)絡(luò)攻擊后,NotPetya似乎已不再活躍。
Petya
歷史:這個(gè)名字來(lái)源于1995年詹姆斯·邦德電影《黃金眼》中一個(gè)邪惡陰謀中的衛(wèi)星。一個(gè)疑似屬于該惡意軟件作者的Twitter賬戶使用扮演片中惡棍的演員艾倫·卡明的照片作為頭像。Petya惡意軟件的初始版本于2016年3月開(kāi)始傳播。
運(yùn)作方式:Petya會(huì)作為聲稱是求職者簡(jiǎn)歷的電子郵件附件到達(dá)受害者的計(jì)算機(jī)。它是一個(gè)包含兩個(gè)文件的軟件包:一張年輕男子的庫(kù)存圖片和一個(gè)可執(zhí)行文件,文件名中通常包含“PDF”字樣。當(dāng)受害者點(diǎn)擊該文件時(shí),Windows用戶訪問(wèn)控制警告會(huì)告訴他們,該可執(zhí)行文件將對(duì)計(jì)算機(jī)進(jìn)行更改。一旦受害者接受更改,惡意軟件就會(huì)加載,然后通過(guò)攻擊存儲(chǔ)媒體上的低級(jí)結(jié)構(gòu)來(lái)拒絕訪問(wèn)。
目標(biāo)受害者:任何Windows系統(tǒng)都可能是潛在目標(biāo),但烏克蘭受到的打擊最為嚴(yán)重。
歸因:未知
當(dāng)前狀態(tài):Petya因其與更具破壞性的NotPetya wiper的相似性而備受矚目,但如今已不再活躍。
Purelocker
歷史:PureLocker RaaS平臺(tái)于2019年被發(fā)現(xiàn),針對(duì)運(yùn)行Linux或Windows的企業(yè)生產(chǎn)服務(wù)器。它使用PureBasic語(yǔ)言編寫(xiě),因此得名。
運(yùn)作方式:PureLocker依靠more_eggs后門(mén)惡意軟件來(lái)獲得訪問(wèn)權(quán)限,而不是通過(guò)釣魚(yú)嘗試。攻擊者瞄準(zhǔn)已經(jīng)被攻破的機(jī)器,并且他們了解這些機(jī)器。然后,PureLocker分析這些機(jī)器并有選擇地加密數(shù)據(jù)。
目標(biāo)受害者:研究人員認(rèn)為,只有少數(shù)犯罪團(tuán)伙能夠支付PureLocker的費(fèi)用,因此其使用僅限于高價(jià)值目標(biāo)。
歸因:more_eggs后門(mén)背后的惡意軟件即服務(wù)(MaaS)提供商很可能是PureLocker的幕后黑手。
當(dāng)前狀態(tài):過(guò)去五年中,幾乎沒(méi)有報(bào)告與Purelocker相關(guān)的攻擊。
RobbinHood
歷史:RobbinHood是另一種使用EternalBlue的勒索軟件變種。2019年,它使馬里蘭州巴爾的摩市陷入癱瘓。
運(yùn)作方式:RobbinHood最獨(dú)特之處在于其有效載荷如何繞過(guò)端點(diǎn)安全。它包含五個(gè)部分:一個(gè)可執(zhí)行文件,用于終止安全產(chǎn)品的進(jìn)程和文件;用于部署已簽名的第三方驅(qū)動(dòng)程序和惡意未簽名內(nèi)核驅(qū)動(dòng)程序的代碼;一個(gè)已過(guò)時(shí)的Authenticode簽名驅(qū)動(dòng)程序,存在漏洞;一個(gè)惡意驅(qū)動(dòng)程序,用于終止進(jìn)程并從內(nèi)核空間刪除文件;以及一個(gè)包含要終止和刪除的應(yīng)用程序列表的文本文件。
該過(guò)時(shí)的已簽名驅(qū)動(dòng)程序有一個(gè)已知漏洞,惡意軟件利用該漏洞來(lái)避免檢測(cè),然后在Windows 7、Windows 8和Windows 10上安裝自己的未簽名驅(qū)動(dòng)程序。
目標(biāo)受害者:巴爾的摩和北卡羅來(lái)納州格林維爾等地方政府似乎是RobbinHood打擊最嚴(yán)重的目標(biāo)。
歸因:一個(gè)身份不明的犯罪團(tuán)伙
當(dāng)前狀態(tài):RobbinHood在2019年聲名狼藉,但近年來(lái)很少見(jiàn)到該惡意軟件的蹤跡。
Ryuk
歷史:Ryuk首次出現(xiàn)于2018年8月,但基于2017年在地下網(wǎng)絡(luò)犯罪論壇上出售的較舊勒索軟件程序Hermes。
運(yùn)作方式:它通常與其他惡意軟件(如TrickBot)結(jié)合使用。Ryuk團(tuán)伙以使用手動(dòng)黑客技術(shù)和開(kāi)源工具在私有網(wǎng)絡(luò)中橫向移動(dòng)并獲得盡可能多的系統(tǒng)管理員訪問(wèn)權(quán)限而聞名,然后才啟動(dòng)文件加密。
Ryuk攻擊者向受害者索取高額贖金,通常介于15到50個(gè)比特幣之間(大約10萬(wàn)美元到50萬(wàn)美元),盡管據(jù)報(bào)道也曾支付過(guò)更高的贖金。
目標(biāo)受害者:企業(yè)、醫(yī)院和政府組織(通常是那些最易受攻擊的組織)是Ryuk最常見(jiàn)的受害者。
以下是將文件內(nèi)容翻譯成中文的結(jié)果,同時(shí)確保了翻譯的準(zhǔn)確性和流暢性,以及保留了原文的意圖和語(yǔ)境:
Ryuk
歷史:Ryuk最初被認(rèn)為是由朝鮮的Lazarus組織開(kāi)發(fā)的,該組織在2017年10月使用Hermes對(duì)臺(tái)灣遠(yuǎn)東國(guó)際銀行(FEIB)發(fā)動(dòng)了攻擊。但現(xiàn)在人們認(rèn)為,Ryuk是由一個(gè)獲得Hermes訪問(wèn)權(quán)限的講俄語(yǔ)的網(wǎng)絡(luò)犯罪集團(tuán)創(chuàng)建的。Ryuk團(tuán)伙,有時(shí)也被稱為Wizard Spider或Grim Spider,還運(yùn)營(yíng)著TrickBot。一些研究人員認(rèn)為,Ryuk可能是以CryptoTech為綽號(hào)的Hermes原始作者或作者團(tuán)隊(duì)開(kāi)發(fā)的。
現(xiàn)狀:作為一種復(fù)雜的勒索軟件變種,Ryuk截至2025年2月仍然活躍。
SamSam
歷史:SamSam自2015年出現(xiàn)以來(lái),主要針對(duì)的是醫(yī)療保健組織,并在接下來(lái)的幾年里顯著增加了攻擊力度。
工作原理:SamSam是一個(gè)勒索軟件即服務(wù)(RaaS)運(yùn)營(yíng)平臺(tái),其控制者會(huì)探測(cè)預(yù)先選定的目標(biāo)以尋找漏洞。它利用了從IIS到FTP再到RDP等一系列漏洞。一旦進(jìn)入系統(tǒng),攻擊者就會(huì)提升權(quán)限,以確保當(dāng)他們開(kāi)始加密文件時(shí),攻擊會(huì)造成特別大的破壞。
目標(biāo)受害者:受害最嚴(yán)重的是美國(guó)的醫(yī)療保健和政府組織,包括科羅拉多州交通部和亞特蘭大市。
歸因:最初一些人認(rèn)為SamSam起源于東歐,但SamSam主要針對(duì)的是美國(guó)機(jī)構(gòu)。2018年底,美國(guó)司法部起訴了兩名伊朗人,聲稱他們是這些攻擊的幕后黑手。
現(xiàn)狀:SamSam于2015年12月首次出現(xiàn),截至2025年2月仍然活躍。
SimpleLocker
歷史:SimpleLocker于2014年被發(fā)現(xiàn),是第一個(gè)針對(duì)移動(dòng)設(shè)備(特別是Android設(shè)備)的廣泛傳播的勒索軟件攻擊。
工作原理:當(dāng)受害者下載惡意應(yīng)用程序時(shí),SimpleLocker會(huì)感染設(shè)備。然后,該惡意軟件會(huì)掃描設(shè)備SD卡上的特定文件類型并對(duì)它們進(jìn)行加密。之后,它會(huì)顯示一個(gè)屏幕,要求支付贖金,并提供支付說(shuō)明。
目標(biāo)受害者:由于贖金說(shuō)明是用俄語(yǔ)寫(xiě)的,并要求用烏克蘭貨幣支付,因此人們認(rèn)為攻擊者最初是針對(duì)該地區(qū)的。
歸因:SimpleLocker被認(rèn)為是由開(kāi)發(fā)其他俄羅斯惡意軟件(如SlemBunk和GM Bot)的同一批黑客編寫(xiě)的。
現(xiàn)狀:SimpleLocker目前被認(rèn)為已不再活躍。
Sodinokibi/REvil
歷史:Sodinokibi(也稱為REvil)是另一個(gè)勒索軟件即服務(wù)(RaaS)平臺(tái),于2019年4月首次出現(xiàn)。它顯然與GandCrab有關(guān),并且其代碼還包含防止在俄羅斯和幾個(gè)相鄰國(guó)家以及敘利亞執(zhí)行的功能。它曾導(dǎo)致22多個(gè)德克薩斯州的小鎮(zhèn)關(guān)閉,并在2019年新年前夕使英國(guó)貨幣兌換服務(wù)Travelex癱瘓。最近,REvil勒索軟件還被用于攻擊肉類加工公司JBS,暫時(shí)擾亂了美國(guó)的肉類供應(yīng)。它還對(duì)向托管服務(wù)提供商(MSP)提供軟件的Kaseya發(fā)動(dòng)了攻擊,影響了數(shù)千名MSP客戶。在Kaseya攻擊后不久,REvil的網(wǎng)站就從互聯(lián)網(wǎng)上消失了。
工作原理:Sodinokibi通過(guò)多種方式傳播,包括利用Oracle WebLogic服務(wù)器或Pulse Connect Secure VPN中的漏洞。它針對(duì)Microsoft Windows系統(tǒng),并加密除配置文件之外的所有文件。如果受害者不支付贖金,他們將面臨雙重威脅:無(wú)法找回?cái)?shù)據(jù),并且其敏感數(shù)據(jù)將被出售或在地下論壇上發(fā)布。
目標(biāo)受害者:Sodinokibi感染了全球許多不同地區(qū)的組織,但排除了它明確不攻擊的區(qū)域。
歸因:在GandCrab關(guān)閉后,Sodinokibi開(kāi)始嶄露頭角。該組織的一名據(jù)稱成員(使用Unknown作為綽號(hào))證實(shí),該勒索軟件是在該組織獲取的舊代碼庫(kù)的基礎(chǔ)上構(gòu)建的。
現(xiàn)狀:Sodinokibi/REvil至今仍然活躍。
TeslaCrypt
歷史:TeslaCrypt是一種針對(duì)計(jì)算機(jī)游戲玩家的Windows勒索軟件木馬,于2015年首次被發(fā)現(xiàn)。雖然接連出現(xiàn)了幾個(gè)新版本,但開(kāi)發(fā)人員于2016年5月停止了運(yùn)營(yíng),并發(fā)布了主解密密鑰。
工作原理:一旦感染計(jì)算機(jī)(通常是在受害者訪問(wèn)運(yùn)行了利用工具包的被黑客入侵的網(wǎng)站后),TeslaCrypt就會(huì)查找并加密游戲文件,如游戲存檔、錄制回放和用戶配置文件。然后,它要求支付500美元的比特幣費(fèi)用以解密文件。
目標(biāo)受害者:計(jì)算機(jī)游戲玩家
歸因:未知
現(xiàn)狀:自2016年5月起已不再活躍
Thanos
歷史:Thanos勒索軟件即服務(wù)(RaaS)平臺(tái)相對(duì)較新,于2019年底被發(fā)現(xiàn)。它是第一個(gè)使用RIPlace技術(shù)的平臺(tái),該技術(shù)可以繞過(guò)大多數(shù)反勒索軟件方法。
工作原理:Thanos在地下論壇和其他封閉渠道上進(jìn)行宣傳,是一種定制工具,其附屬機(jī)構(gòu)使用該工具創(chuàng)建勒索軟件有效載荷。它所提供的許多功能都是為了逃避檢測(cè)。Thanos開(kāi)發(fā)人員發(fā)布了多個(gè)版本,增加了禁用第三方備份、刪除Windows Defender簽名文件以及使響應(yīng)團(tuán)隊(duì)取證更加困難等功能。
目標(biāo)受害者:作為RaaS平臺(tái),Thanos可以攻擊任何組織。
歸因:未知
現(xiàn)狀:Thanos RaaS至今仍然活躍。
WannaCry
歷史:得益于美國(guó)國(guó)家安全局(NSA)開(kāi)發(fā)的后來(lái)被黑客竊取的EternalBlue漏洞利用工具,WannaCry蠕蟲(chóng)在2017年5月迅速通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播,并迅速感染了數(shù)百萬(wàn)臺(tái)Windows計(jì)算機(jī)。
工作原理:WannaCry由多個(gè)組件組成。它以一個(gè)名為“dropper”的自包含程序的形式出現(xiàn)在受感染的計(jì)算機(jī)上,該程序會(huì)提取嵌入在其自身內(nèi)部的其他應(yīng)用程序組件,包括用于加密和解密數(shù)據(jù)的應(yīng)用程序、包含加密密鑰的文件以及Tor的副本。一旦啟動(dòng),WannaCry會(huì)嘗試訪問(wèn)一個(gè)硬編碼的URL。如果無(wú)法訪問(wèn),它就會(huì)搜索并加密重要格式的文件,從Microsoft Office文件到MP3和MKV等格式的文件。然后,它會(huì)顯示一個(gè)勒索通知,要求支付比特幣以解密文件。
目標(biāo)受害者:WannaCry攻擊影響了全球的公司,但醫(yī)療保健、能源、交通和通信領(lǐng)域的高知名度企業(yè)受到的打擊尤為嚴(yán)重。
歸因:人們認(rèn)為朝鮮的Lazarus組織是WannaCry的幕后黑手。
現(xiàn)狀:安全研究人員Marcus Hutchins通過(guò)注冊(cè)一個(gè)與惡意軟件相關(guān)的域名而意外激活了一個(gè)終止開(kāi)關(guān),從而阻止了WannaCry的傳播。
WastedLocker
歷史:WastedLocker勒索軟件是最近才出現(xiàn)的一種,自2020年5月開(kāi)始攻擊組織。它是勒索軟件中較為復(fù)雜的一種,其創(chuàng)建者以要求高額贖金而聞名。
工作原理:該惡意軟件使用基于JavaScript的攻擊框架SocGholish,該框架以ZIP文件的形式通過(guò)出現(xiàn)在合法但被入侵的網(wǎng)站上的虛假瀏覽器更新進(jìn)行分發(fā)。一旦激活,WastedLocker就會(huì)下載并執(zhí)行PowerShell腳本和一個(gè)名為Cobalt Strike的后門(mén)。然后,該惡意軟件會(huì)探索網(wǎng)絡(luò),并使用“本地存活”工具來(lái)竊取憑據(jù)并獲得對(duì)高價(jià)值系統(tǒng)的訪問(wèn)權(quán)限。它使用AES和RSA加密技術(shù)的組合來(lái)加密數(shù)據(jù)。
目標(biāo)受害者:WastedLocker主要針對(duì)最有可能支付高額贖金的高價(jià)值目標(biāo),主要集中在北美和西歐。
歸因:一個(gè)名為Evil Corp的知名犯罪團(tuán)伙是WastedLocker的幕后黑手。該團(tuán)伙還因運(yùn)營(yíng)Dridex惡意軟件和僵尸網(wǎng)絡(luò)而聞名。
現(xiàn)狀:截至2025年2月,WastedLocker仍然活躍。
WYSIWYE
歷史:WYSIWYE(What You See Is What You Encrypt,所見(jiàn)即所加密)于2017年被發(fā)現(xiàn),它是一個(gè)針對(duì)Windows系統(tǒng)的RaaS(Ransomware as a Service,勒索軟件即服務(wù))平臺(tái)。
工作原理:它在網(wǎng)絡(luò)上掃描開(kāi)放的遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)器。然后,它使用默認(rèn)或弱密碼嘗試登錄以訪問(wèn)系統(tǒng),并在網(wǎng)絡(luò)中傳播。購(gòu)買(mǎi)WYSIWYE服務(wù)的犯罪分子可以選擇要加密的文件類型,以及是否在加密后刪除原始文件。
受害者:WYSIWYE攻擊首先出現(xiàn)在德國(guó)、比利時(shí)、瑞典和西班牙。
歸責(zé):未知
當(dāng)前狀態(tài):WYSIWYE似乎已經(jīng)停止運(yùn)行。
Zeppelin
歷史:Zeppelin于2019年11月首次出現(xiàn),是Vega或VegasLocker RaaS的后繼產(chǎn)品,這些RaaS曾使俄羅斯的會(huì)計(jì)公司以及東歐的公司受害。
工作原理:Zeppelin的功能比其前身更為強(qiáng)大,尤其是在可配置性方面。Zeppelin可以以多種方式部署,包括作為EXE文件、DLL文件或PowerShell加載器,但其中的一些攻擊是通過(guò)被攻陷的托管安全服務(wù)提供商發(fā)起的。
目標(biāo)受害者:與Vega相比,Zeppelin更具針對(duì)性。Vega的傳播較為隨意,且主要在俄語(yǔ)世界中運(yùn)行。而Zeppelin被設(shè)計(jì)為不會(huì)在俄羅斯、烏克蘭、白俄羅斯或哈薩克斯坦運(yùn)行的計(jì)算機(jī)上執(zhí)行。它的大多數(shù)受害者是北美和歐洲的醫(yī)療保健和技術(shù)公司。
歸因:安全專家認(rèn)為,一個(gè)新的威脅行為者(很可能在俄羅斯)正在使用Vega的代碼庫(kù)開(kāi)發(fā)Zeppelin。
當(dāng)前狀態(tài):截至2025年2月,Zeppelin仍然活躍。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門(mén)戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)