勒索软件短期内不会消失 媒体

勒索软件的未来：不会消失

关键要点

近年来，一些行业评论人士声称，勒索软件即服务RaaS已经下降，预计会在2022年底前消失。这种说法毫无根据，因为它主要是基于猜测而非实证证据。那么，这种说法是否成立呢？根据我们的观察，我认为并非如此。

所谓“消亡”的理由

首先，Conti勒索软件运营者在乌克兰战争初期表态支持俄罗斯，这被认为是勒索软件运营者的又一次严重失误。其次，基于俄罗斯的勒索软件团体受到针对俄罗斯的制裁，受害者无法向俄罗斯的团体支付赎金，或者没有网络保险覆盖这一行为。第三，备份技术的发展使得受害者不必支付赎金。最后，数据勒索攻击实施速度更快，且更难追踪。

虽然这些论点听起来合情合理，但实际上并不成立。首先，将2022年上半年与2021年同一时期进行比较，并没有显示出勒索软件受害者数量的重大下跌。此外，许多受害者根本没有在泄露网站上列出。我们认为，一些团体可能会继续转向攻击较小的受害者，但这可能只是导致报告减少，而不是受害者数量减少的结果。

毫无疑问，Conti自毁前程，正如一个亲乌克兰的研究者泄露了有关Conti的信息并导致该团体解散。然而，报告显示，Conti的合作伙伴已转向与其他勒索软件团体合作，例如活跃的LockBit。

虽然不乏勒索软件团体的过度行为，个别团体会解散，但整体生态系统依然会调整。Maze或Darkside的消失并未意味着勒索软件的终结，Conti的消失也不会。近期新形成的团体如BlueSky、Black Basta、Industrial Spy、RansomHouse、Black Shadow、Sparta和Cheers等，其中不少显然与前Conti成员有关。许多其他没有泄露网站的团体也在进行低调攻击，这些攻击并未被计入受害者统计。

显而易见，市场上有一些出色的备份产品，良好的近期备份有助于加快恢复过程。然而，我们的事件响应工作表明，好的备份实践并非普遍存在，且备份本身在攻击中可能也会遭到加密。

勒索软件如何归属

勒索软件本身能将攻击与特定团体联系起来，但通常不能将其归因于特定个人，从而使得当局无法立案追诉。涉及勒索攻击时，个人风险仍然很低。此外，位于美国以外的受害者可能不会觉得自己受到美国制裁的约束，且并非所有的勒索软件团体或合作伙伴都是俄罗斯的，许多团体来自独立国家共同体、拉丁美洲、美国、加拿大及其他地区。

更重要的是，从归属这一维度去除勒索软件并不会神奇地阻止安全分析师对攻击的归因。多个其他特征威胁指标和策略、技术和程序帮助分析师识别威胁行动者。实际上，任何形式的赎金要求都要求威胁行动者在希望获取支付时自行归因。

毫无疑问，攻击中使用的战术和勒索因素正在多样化。但多样化并不等同于取代。我们看到勒索软件运营者正在创新，而不是消失，采用Rust等语言使他们的勒索软件跨平台，或使用间歇性加密加速勒索软件的部署。LockBit承诺将DDoS技术纳入其攻击，以施加更多支付压力。

此外，在商业中断方面，数据盗窃攻击与勒索