十年网络勒索的视觉化演变
好,我现在需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得通读整篇文章,抓住主要信息。 文章主要讲的是Orange Cyber Defense发布的第29版勒索软件生态系统地图。这个地图从2014年到2026年,展示了勒索软件团伙的演变和相互关系。新增了73个团伙,特别是2025年的增长情况。文章还提到了RaaS模式的兴起、执法行动的影响以及生态系统的持续碎片化。 接下来,我需要把这些要点浓缩成一句话,不超过100字。要确保涵盖地图的范围、新增内容、关键趋势和生态系统的特点。 可能的结构是:地图名称、时间范围、新增数据、关键模式变化和生态系统特性。 最后,检查字数是否符合要求,并确保信息准确无误。 </think> Orange Cyber Defense发布第29版勒索软件生态系统地图,涵盖2014至2026年间勒索软件团伙的演变与关联。新增73个团伙,揭示RaaS模式主导下的犯罪生态碎片化与韧性。 2026-1-24 05:25:14 Author: www.freebuf.com(查看原文) 阅读量:0 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

Orange Cyber Defense(简称OCD)近日发布了其勒索软件生态系统地图的第29版,这一免费威胁情报工具以视觉化方式全面呈现了2014年至2026年间勒索软件团伙的复杂关系、演变轨迹与相互关联。该地图不仅记录了各威胁行为者出现的时机、活跃周期以及消失原因(如执法打击、自愿关闭或改头换面),还通过连线清晰展现了团伙间的传承、分裂、合并以及代码库、操作人员和方法的转移。同时,它标注了合作网络、关键事件(如重大执法行动和高影响力攻击),为安全团队、威胁分析师和事件响应人员提供了宝贵参考。

这份地图的核心价值在于它将勒索软件生态的动态演变浓缩为一幅直观图表,帮助观察者快速把握十年来的整体脉络。从早期相对简单的勒索操作,到如今高度专业化的犯罪产业链,该地图揭示了多个关键趋势,反映出网络勒索活动的持续活跃与顽强适应性。

勒索软件生态的十年演变

勒索软件生态在过去十年经历了剧烈变革。早期代表如CryptoLocker和TeslaCrypt主要依赖独立操作,技术门槛相对较高。自2015年左右起,Ransomware-as-a-Service(RaaS,勒索软件即服务)模式开始兴起,以GandCrab为先驱,这种模式大幅降低了犯罪门槛:核心开发者和附属成员分工明确,前者提供加密工具和基础设施,后者负责入侵和勒索分成。到2020年,RaaS已成为主导模式,推动了勒索软件活动的爆炸式增长。

地图特别突出了几次重大「离散事件」。2022年Conti团伙解散后,其成员迅速分散,形成多个继任者,这一现象被称为「Conti Diaspora」。类似地,LockBit在2024年2月遭受Operation Cronos执法行动重创后,多次尝试重启,包括2025年9月出现的LockBit 5.0版本。ALPHV/BlackCat等团伙也因执法压力而解体,却迅速催生新变种。这些事件显示出勒索软件生态的极强韧性:一旦一个主要玩家被击倒,其技术、人员和经验会迅速流向新团伙,形成循环再品牌模式——新兴团伙快速崛起、吸引关注、遭受打击、改头换面、周而复始。

此外,地图还反映出进入门槛持续降低的趋势。泄露的加密器构建工具、现成基础设施以及附属成员的高流动性,让新团伙能以极低成本快速上线。这导致生态系统呈现高度碎片化特征:尽管执法行动频频得手,新玩家仍源源不断涌现。

第29版的主要更新与新特征

第29版地图的最大亮点是新增73个勒索软件团伙,主要集中在2025年,这进一步印证了生态系统的碎片化和扩张趋势。尽管全球执法压力加大,新团伙数量不减反增,显示犯罪分子对风险的适应能力。

2025年新增团伙按季度分布如下:

  • 第一季度(1-4月):CrazyHunter、World Leaks、J Group、Kraken、Nightspire、Run Some Wares、Arkana、Bert、Chaos、Evilbyte、Imn Crew、Mamona、RAlord、Secp0、Skira、VanHelsing、Weyhro、Cortex、Crypto24、Devman、Satanlock等。
  • 第二季度(5-6月):DataCarry、Dire Wolf、Gunra、TeamXXX、Ailock、DarkLulz、Global、KawaLocker、Warlock等。
  • 第三季度(7-9月):Beast、BlackNevas、BQTlock、Payouts King、PEAR、Sinobi、Walocker、Cephalus、Desolator、Obscura、Securotrop、Arachna、BlackShrantac、Coinbase Cartel、Gentlemen、LockBit 5.0、Lunalock、Radiant、Yurei等。
  • 第四季度(10-12月):BlackField、Brotherhood、Genesis、Kazu、Kryptos、Leaknet、Monolock、Tengu、Benzona、Devman 2.0、Minteye、Ms13-089、Osiris、Root、Trident等。

2026年年初又新增Aware和Vect。此外,地图还回溯补充了历史团伙,如2021年的Marlock、2022年的Agenda、Mindware、Sparta,以及2023-2024年的多支队伍。同时,对17个现有条目进行了修正和更新,包括Apos、BlackOut、BlackSuit、Cactus等。

LockBit 5.0的出现尤其引人注目,它代表了该团伙在遭受重创后的又一次顽强复苏尝试,凸显了顶级RaaS平台的持久影响力。

生态系统的深层特征与挑战

地图编制基于OCD的直接事件响应经验、恶意软件逆向分析、可信情报来源以及暗网监测。但制作者也坦诚指出归因难度:行为者高度流动、关系模糊、合作隐蔽,导致任何地图都只能是「最佳评估」而非绝对真相。这种不确定性本身就是勒索软件生态的核心特征之一——犯罪分子故意制造混淆,以规避追踪。

从更广视角看,该地图揭示了网络勒索已从技术犯罪演变为成熟的地下经济体系。附属模式、泄露构建器、基础设施共享以及快速再品牌机制,共同构成了一个自我强化、高度弹性的犯罪网络。即使面对国际联合执法行动(如针对Conti、LockBit、ALPHV的多次打击),整体活动水平并未显著下降,反而通过分散化实现了更强的生存能力。

结论:持续警惕与情报共享的重要性

Orange Cyber Defense的勒索软件生态系统地图第29版不仅是一份威胁情报工具,更是对网络勒索十年演变的深刻记录。它清晰展现了从早期单一操作到当今RaaS主导、碎片化严重的犯罪格局,提醒安全从业者:单一打击难以根除问题,唯有持续监测、情报共享和技术防御相结合,才能有效应对这一持久威胁。

作为一份持续更新的活文档,该地图的免费公开也体现了业界合作精神。对于任何关注网络安全的组织而言,它都是理解当前勒索软件态势、制定防御策略的必备参考。面对2025-2026年新涌现的大量团伙,防御方必须保持同等的敏捷性与韧性,才能在这一场持久战中占据主动。

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/468102.html
如有侵权请联系:admin#unsafe.sh