2021年，在网络安全快速发展的同时，网络犯罪产业也在逐渐发展，其中，勒索软件在众多网络威胁中引发广泛关注。有数据称，2021年仅上半年发生的勒索软件攻击事件，已经与2020年发生的已知公布的勒索攻击事件数量十分接近，索要的平均赎金也有大幅提升。

    在众多勒索软件攻击事件中，越来越多的勒索软件开始通过数据泄露站点要挟受害者，如果受害者不支付赎金，他们将公开发布被盗数据。因此，提供泄露数据交易服务的暗网数据市场也应运而生，但暗网数据市场的生命周期并不长久。由于赎金通常是通过加密货币进行支付的，而加密货币又具有一定的安全性及匿名性，因此在追查过程中给执法部门带来一定的难度和挑战。

一、暗网简介

    暗网，简单的说就是普通网民无法通过常规手段搜索访问的网络。它最初在1994年被提出。暗网是深网的一个子集，属于深网的一小部分。其不能通过超链接访问，只能用特殊软件、特殊授权或对计算机做特殊设置才能访问。形象的理解是，这些页面是搜索引擎所无法抓取的网页、不能检索到的信息，即“看不见”的网站，由于当前的搜索引擎不能索引到或不能在它们的返回结果中显示这些页面，因此对用户来说这部分页面是隐藏的。

    非法且罪恶的暗网黑市销售毒品、假币、被盗或伪造的信用卡信息、匿名SIM卡和恶意软件。2021年1月，世界上最大的暗网市场DarkMarket被欧洲刑警组织摧毁。此前被警方摧毁的暗网市场还有Dream Market、 AlphaBay、Hansa、RAMP、Wall Street Market和Silkkitie（也称为Valhalla）。

二、3个新兴的暗网数据市场

    2021年，有3个新兴的暗网数据市场，分别是Marketo、File Leaks和Lorenz。

1、Marketo

    4月刚刚上线的新暗网数据市场，其所有者向新闻工作者和安全研究人员广泛接触以推广该网站，号称将打造一个“快速查找、买卖任何公司信息的最佳场所”。

    Marketo的运营者宣称自己不参与任何黑客攻击，且拒绝勒索软件组织泄露数据。但是据外媒BleepingComputer报道，有汽车行业网络安全人士发现有人在Marketo上出售一家刚刚遭受勒索软件攻击的汽车经销商的数据。

2、Lorenz

    Lorenz也是4月刚启动的暗网数据市场，目前“上架”了部分受害组织的数据。据KELA分析，Lorenz的脱颖而出，不仅因为出售被盗数据，而且似乎还出售受害组织的内部网络访问权限。这些出售的网络访问权限可能来自Lorenz运营者自己的黑客操作。

3、File Leaks

    File Leaks也是2021年4月刚刚启动，一次性销售受害组织所有被盗的数据，同时会告诉受害者与他们联系以支付删除费用。File Leaks目前规模较小。

三、新兴的部分勒索软件近期活动

1、Grief加入勒索市场

    在一段时间几乎没有活动之后，DoppelPaymer勒索软件开始重新命名，现在更名为 Grief(又名Pay)。

    在DarkSide勒索软件攻击美国最大的燃料管道运营商之一Colonial Pipeline大约一周后，DoppelPaymer的活动在5月中旬开始下降。自5月6日以来，他们的泄密网站没有更新，看起来DoppelPaymer正在隐藏自己，等待公众对勒索软件攻击的关注消散。然而，安全研究人员上个月指出，Grief和DoppelPaymer是同一威胁软件的名称，两者具有相同的加密文件格式并使用相同的分发渠道，即Dridex僵尸网络。

    自2019年6月以来，DoppelPaymer涉及了一系列恶意勒索活动，其中就包括美国得克萨斯州埃德库奇市和智利的农业部的袭击事件。

2、Epsilon Red

    一种自称为 Epsilon Red的新型勒索软件，利用Microsoft Exchange服务器的系统漏洞对网络上的机器进行加密。在攻击成功后还会在被攻陷设备中部署远程控制木马（Remote Utilities）。在进入加密阶段之前，Epsilon Red勒索软件依赖于十几个脚本，同时还使用一个商业远程桌面实用程序。

    尽管 Epsilon Red是勒索软件行业的新手，但他们已攻击多家公司并赚取一定赎金。该勒索软件的一名受害者在5月15日向攻击者支付了4.28比特币(约21万美元)。

3、Hive

    Hive勒索病毒采用GO语言编写，加密算法使用AES+RSA，同时也采用了双重勒索的模式，通过在暗网上公布受害者数据，来逼迫受害者交纳赎金。Hive出现不久，但是非常活跃。和其他勒索病毒一样，该勒索病毒会将终端上的文件加密病毒留下勒索信，且会在加密文件前进行数据窃取。受害者除却业务受影响之外，也存在数据泄露的风险。

    据外媒报道，7月初加拿大商业地产软件解决方案公司 Altus Group正是遭受Hive勒索攻击导致数据泄露。且安全研究人员发现，不到一个月，该勒索团伙已公布了多家企业的数据信息。

    Hive勒索病毒采用AES+RSA加密算法，在执行后，受害者终端上大部分文件会被加密成*.hive的文件，并且会在每一个目录下留下一个HOW TO DECRYPT的文本文档，受害者可根据文档中的账号密码登陆黑客提供的网站后用赎金换取解密密钥。

4、ElonMusKnow

    Hive、Grief、ElonMusKnow家族均采用双重勒索模式运营。

5、HimalayA

    采用RaaS运营模式的HimalayA家族，仅需RaaS服务收费200美元便为其成员免费提供加密器，同时该团伙还宣称不会对医疗机构以及非盈利组织发动攻击。

6、Stop

    该家族主要的传播方式为伪装成破解软件或者激活工具进行传播。

7、Makop

    属于Makop勒索病毒家族，该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词。

    2020年2月，国内多家医疗机构感染makop勒索病毒，遭受服务器加密，造成业务瘫痪，影响巨大。黑客倾向于医疗行业最主要的原因是，医疗卫生行业具有很大的业务紧迫性，尤其在当下防治新冠病毒的紧要关头。医疗机构一旦受到勒索，将发生业务中断的情况，造成的损失不可估量。这个行业的受害者为了快速恢复业务，很大可能性会选择给黑客支付赎金的方式。此外，境外黑客势力并不会顾及行业的特殊性和公益性，较之以往更加变本加厉，给医疗卫生行业带来了巨大的挑战。

    makop病毒加密的方式，是通过本地生成一个随机的AES BLOB，使用RSA公钥对其进行加密后放到被加密文件尾部，同时用上述随机AES密码对文件内容进行加密，全盘加密完成后对内存中使用到的随机AES BLOB进行了清理。因此不存在解密方法，无法解密。

8、Cryptojoker

    该勒索病毒，通过“匿影” 进行传播。

    匿影组织于2019年3月开始出现，之后多次更新挖矿组件并持续使用永恒之蓝工具扩散传播。因该团伙通过多个功能网盘和图床隐藏自身，故安全研究人员将该家族命名为“匿影”。“匿影”新增加密勒索组件CryptoJoker，已从之前的挖矿计算转向勒索攻击非法牟利。“匿影”传播的勒索病毒组件在执行过程中采用无文件攻击技术，攻击过程中全程无样本文件落地，且在加密数据完成之后会清理定时任务，令事件溯源十分困难。

9、Paradise勒索病毒家族源码发布

    6月，Paradise作者将其源码发布在网络犯罪论坛(XSS)上，曾在该网络犯罪论坛回帖过的账户均有权限下载该源码。安全研究员Tom Malka发现该源码的注释采用的是俄语，很大程度上能证明俄语为该勒索病毒开发人员的母语。

    该家族于2017年9月开始传播，并在2018年1月以后开始采用RaaS（勒索即服务）模式运营。该家族病毒在2019年11月之前的版本由于存在算法漏洞，被多家安全公司成功破解并发布解密工具。但其对算法漏洞在后续的版本中进行了修复，安全人员也未再找到可供利用的算法问题。此次发布的源码为修改后无法技术破解的版本，这就意味着其他网络不法分子也可以通过修改其开源代码制作属于自己的勒索病毒。

四、结语

    2021年，勒索软件犯罪团伙也在发生许多变化，或解散后重组，或暂时停止活动，或宣布永久关停，被新的犯罪团伙所取代。勒索犯罪产业在高速运转的同时，也吸引着越来越多的人加入。由于网络勒索多为跨国、跨境作案，取证和执法面临诸多挑战。欧洲刑警组织去年10月发布报告建议，为了更有效应对网络犯罪挑战，应通过公共部门和私人伙伴之间的协调与合作加强信息共享，增强防范意识和防御能力建设，同时让多边协作机制继续在打击网络犯罪领域发挥关键作用。

（来源：安全牛、搜狐、嘶吼、安全脉搏等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）