顶级勒索软件团伙正在变得越来越复杂，他们采用新的逃避技术，也在索要更多的赎金。

根据最新发布的《Sophos 2021威胁报告》显示，“重量级” 勒索软件（主要攻击大型企业网络的勒索软件）导致过去一年勒索软件付款增长近三倍。

根据该报告中Coveware的最新数据显示，平均赎金支出从2019年第四季度的84,116美元增加到2020年第三季度的233,817.30美元。但是，该报告说：“Coveware认为，一次或两次非常大的赎金攻击可能会完全改变平均值。”Sophos在报告中提到这样一次大规模攻击示例。

该报告称：“这很难让人相信，仅仅在两年前，Sophos分析师还对勒索软件团伙SamSam的600万美元的收入感到惊讶。而2020年，在Sophos应对的一次攻击中，勒索软件团伙索要的赎金是SamSam犯罪团伙32个月收入的两倍多。”

为什么勒索软件支付赎金在增加？

据Sophos称，赎金支付激增的两个原因是：勒索软件中使用数据勒索（去年开始），以及勒索软件团伙了解到停机造成的损失是多么昂贵。

Sophos公司首席研究科学家Chet Wisniewski告诉SearchSecurity，尽管勒索软件的赎金在不断增加，但最大的增长其实发生在重量级勒索软件。

他表示：“像Ryuk或Maze这样的团伙，通常要求的价格在100万美元至2,000万美元之间，而对于Dharma来说，平均价格可能是10,000美元。这种转变的一部分是低端团伙从5,000美元和10,000美元升至10,000美元和20,000美元，使底端价格上涨，但也有不成比例的大型运营商选择了越来越大的赎金，这拉高了平均水平。”

在勒索软件的低端部分，该报告称，“尽管需求在增加，但是Coveware公司首席技术官Alex Holdtman说，它们离大鱼还很遥远。很多小型企业和个人受到攻击，但对于他们来说赎金要求相对保持平稳。”除了重量级勒索软件团伙外，Sophos还发现，轻中量级团伙主要攻击中小企业（SMB）以及本地政府和公共安全，以及还有针对单个计算机和用户的“轻量级”。

Wisniewski说，勒索软件中轻重级别的存在自然而然地发生，尽管“社区中总是存在这种情况”。

他说：“如果追溯到七、八年前，一切都与漏洞利用工具包有关，那时，漏洞利用工具包的创造者意识到，较新的漏洞利用包显然比旧的漏洞利用包受害者更多。因此，他们开始以不同的价格向不同的攻击者出售该套件，例如，‘你可以9.99美元的价格获得我们的基本漏洞利用套件，但是如果您每月支付3,000美元，我们为你提供高级版本，其中包含最新漏洞利用。某些地下的网络犯罪一直采用分层的方法，而在过去的18到24个月中，这种分层确实在勒索软件领域得到充分的应用。”

勒索软件运营商也正在获得新的规避技术。

该报告说：“在过去半年中，Sophos分析师观察到，勒索软件的攻击者已经选择了一种通用的工具，用于从受害者的网络中窃取数据。这些工具通常是广泛使用的工具，不会被任何端点安全产品检测到。”

勒索软件的未来

当被问及勒索软件的未来时，Wisniewski说，与今年年初相比，他感觉自己更加确定未来趋势，当时该报告中提到的趋势还是新闻。他说：“现在一切似乎都已确定。”

他说：“我认为我们将继续看到像这样的层级，其中我们会看到不同层级的攻击者，我认为这种趋势可能会继续保持下去。”

他补充说，勒索软件在两个方面的改变，让他感到担忧。他说，首先，民族国家开始采用与勒索软件运营商相同的工具和策略，这确实使归因变得困难。

Wisniewski 称：“最近我们看到很多APT攻击，他们都使用与Maze相同的远程工具、相同的PowerShell脚本、相同的漏洞利用进行特权升级。例如，你受到攻击，你正在尝试弄清楚正在处理的内容，这看起来是勒索软件攻击，而事实证明实际上是APT攻击者，并且归属变得越来越困难。在罪犯和民族国家之间进行区分变得越来越困难，这不会伤害罪犯，但肯定会给民族国家带来好处。”

Wisniewski说，另一个潜在的趋势是外包，以SamSam为例。在2018年时，该组织很活跃的时期，它会“扫描互联网以寻找自己的受害者”，并在受害者系统上立足。

他表示：“我听到另一个供应商称其为‘初始访问经纪’，现在已经有了一个市场，我有点喜欢这个术语。这个想法已经存在了很长时间，但是它确实在勒索软件领域开始流行，如果我是Ryuk，我不会费心想办法如何入侵受害者并扫描其未修补的VPN漏洞或开放的RDP服务器。我只需要从TrickBot购买这些信息，我要让TrickBot去考虑如何入侵受害者的计算机。我只是将其出售给其他供应商。”

然后，勒索软件团伙将接触Buer Loader、BazarLoader和TrickBot等组织，这些组织已经在各种类型的企业中立足，并将根据库存和需求将该访问权出售给勒索团伙。他说，这种趋势在过去的几个月中一直在迅速发展，并且“看来大多数勒索软件团伙正在从其他商业恶意软件运作者那里购买受害者数据。”