NCC集团预计，根据1月和2月创纪录的数字来看，2024年的勒索软件活动将超过去年的惊人水平。

这家IT服务和咨询公司于周三发布了2月份的《Monthly Threat Pulse Review》，其中详细介绍了勒索软件趋势和最活跃的威胁行为者。NCC集团通过公共数据泄露网站跟踪勒索软件集团，这些网站用于向受害者组织施压，要求其支付费用。2024年前两个月出现了令人震惊的勒索软件趋势，NCC集团预计这些趋势可能会持续全年。

1月，NCC集团的研究人员确定，与2023年相比，勒索软件攻击数量增加了73%，2月份的数据遵循了相同的模式。
NCC集团在报告中写道，“正如预期的那样，从2024年1月至2024年2月，观察到的勒索软件攻击数量从285例大幅增加到416例，环比增长46%，这再次是我们2月份看到的最高数字（比2023年2月高出73%）。如果2024年遵循与2023年相同的模式，随着我们开始达到2024年勒索软件活动的基线，我们可以预计到3月会进一步增加，根据之前的趋势，勒索软件活动可能会持续超过2023年。”

NCC集团补充说，根据攻击量和威胁行为者活动水平的转变，“2月是勒索软件相当突出的月份”。虽然LockBit 3.0勒索软件集团连续第七个月保持其作为NCC集团最活跃的参与者的榜首位置，但两个较新团体的活动开始激增。

Hunters International于2023年出现在威胁领域，但附属组织在攻击期间使用了Hive勒索软件代码。1月，美国司法部宣布联邦调查局破坏了Hive基础设施，并获得了解密密钥，以帮助受害者组织恢复。自2022年成立以来，勒索软件即服务（RaaS）集团Qilin应受到网络安全供应商Group-IB的警告，因为运营团伙针对关键行业的组织。

NCC集团发现LockBit声称对2月份的110次攻击负责，而1月份为64次攻击负责。虽然Hunters 在前10名名单中落后于LockBit，但只有33次攻击与该团伙有关。NCC集团指出，Hunters之前进入了前十名威胁行为者名单，但2月是它第一次进入前三名。

Qilin与臭名昭著的BlackCat/Alphv勒索软件团伙联系在一起，该团伙声称对上个月对UnitedHealth的Change Healthcare的破坏性攻击负责，是2月份第三活跃的威胁行为者，共有30次袭击。

报告写道，尽管BlackCat习惯于被纳入最活跃的月度威胁群体，但像Hunters一样，Qilin对这些级别的活动来说相对较新。

NCC集团的威胁情报分析师Josh Callicott-Oelmann称，该公司于11月首次观察到Hunters的活动。然而，NCC集团只记录了三次攻击，而2月份只有33次。他将Hunters的兴起归因于运营团伙的能力不断发展和提高。
Callicott-Oelmann还谈到了Hunter与Hive的关联。

Callicott-Oelmann称：“尽管有人猜测该团体是Hive的分支，但Hunters证实，他们是一个独立团体，已经收购了Hive的源代码和基础设施。此外，众所周知，他们倾向于保持目标简单，主要瞄准工业部门。”

LockBit被关停？

尽管国际执法部门做出了联合努力来扰乱最活跃的群体，但上个月勒索软件活动仍大幅增加。2月20日，英国国家犯罪局宣布关停LockBit的基础设施，作为被称为Cronos行动的更广泛的国际执法努力的一部分。当LockBit在几天内恢复其服务器时，关停被证明是暂时的。

随后，LockBit通过利用2月份披露的关键ScreenConnect漏洞，对易受攻击的ConnectWise客户进行了攻击。各种报告（包括网络保险公司Coalition的报告）列举了该集团在联邦调查局关停之前和之后的运作方式之间存在实质性差异，尽管它寿命很短。战术的变化也与NCC集团的观察结果一致。

该报告称：“然而，一旦受到执法的打击，网络威胁组织很难像以前一样运作，因为他们自然会受到其他威胁组织的怀疑。”

报告强调，由于LockBit是非常大的参与者，围绕该集团的任何行动都会影响整体局势。展望未来，NCC集团表示，LockBit附属公司可能会切换到其他RaaS团伙，以保持距离，以应对执法部门针对该团体的下一步行动。

例如，当Conti勒索软件集团在2022年解散时，网络安全供应商证实运营商更名为其他名字，例如Black Basta勒索软件集团。

Callicott-Oelmann证实，LockBit在Cronos行动后恢复了运营，拥有新的基础设施、加密器和网站。
Callicott-Olemann说：“根据我们的数据显示，他们还设法保持对受害者被盗数据的访问，甚至将联邦调查局纳入了他们的数据泄露网站。自从他们死灰复燃以来，我们看到该团体的勒索软件攻击仍在继续，到目前为止，3月份观察到20次攻击。“