网络安全动态：执法行动对网络犯罪团伙的影响

关键要点

• 今年执法行动成功削弱了多个活跃的网络犯罪团伙，包括 ransomware 和 DDoS 攻击。
• LockBit 和 BlackCat 等著名的勒索软件组织面临重大打击，导致其运营缩减。
• 新兴团伙如 Qilin 和 RansomHub 利用老团伙的衰退崭露头角。
• 尽管执法行动取得成效，勒索软件仍然对组织构成严重威胁。

在今年，执法部门的操作对多个最活跃的网络犯罪团伙的活动产生了重创。从涉及机器人网络和网络钓鱼，到分布式拒绝服务（DDoS）攻击和勒索软件，各种犯罪活动均受到干扰。
特别是，LockBit——自双重敲诈模式出现以来最具影响力的勒索软件即服务（RaaS）团伙之一，在英国国家犯罪局（NCA）主导的“水星行动”下，其运营受到了严重影响。基础设施被查封，与勒索软件相关的个人被捕，运营者被识别、起诉并制裁。

SC Media Perspectives 专栏由 SC Media
的网络安全领域的权威专家撰写。

另一个著名的勒索软件团伙 BlackCat/ALPHV 在 2023 年 12 月与 FBI 开展了一场泄露网站的“较量”。这导致了 BlackCat的衰退，并在 2024 年 3 月因“退出骗局”而最终停止运营。

LockBit 和 BlackCat通过成功运作的合作伙伴模式获得市场主导地位，因此，削弱它们的运营直接影响了其攻击组织的能力。

尽管这种打击的长期影响尚未完全显现，但我们已经观察到
尽管如此，在泄露网站上被列出的受害者数量相对稳定。这意味着更多的团伙列出了相似数量的受害者，显示出勒索软件生态的分散化。

执法行动显然达成了其预期的目标：通过损害勒索软件RaaS模型中最活跃倡导者的声誉，削弱这些合作伙伴的信任，最终形成一个充满混乱的生态环境。新团伙以空前的速度涌现，合作伙伴们被迫转向它们。有些似乎已经成为独立运营者，与特定勒索软件计划没有关联。

新兴团伙的崛起

其中一个显著受益于执法打击的团伙是 该组织自 2022 年 10月起开始列出受害者，但泄露网站的受害者数量表明其初始活动水平较低。然而，在 2024 年 1 月 BlackCat 被打击后，Qilin的活动开始上升，并在 2 月几乎翻倍，因为 LockBit 的基础设施被拆除。截至 2024 年，泄露网站上列出的受害者数量还持续增加。

在 LockBit 被打击仅一周后，一个名为 的新 RaaS计划开始在泄露网站上列出受害者。受害者名单随着时间的推移逐月稳步增长，在 2024 年 11 月达到了 100 个的高点。同月，有 50%
的所有被列出受害者来自 LockBit 被打击后进入的团伙。

RansomHub 从其他团伙的打击中受益的证据，体现在一次与 Change Healthcare 的勒索攻击事件上。此事件的勒索要求最初在新的
BlackCat 泄露网站上列出，并且据称导致了

然而，在收款后，BlackCat