据深信服千里目安全技术中心数据统计显示，Tellyouthepass家族、TargetCompany(Mallox)家族、Phobos家族是国内最活跃的三大勒索家族，他们的攻击数量占据了攻击家族总数的70%以上。对国内组织进行勒索的家族数量较少，而且它们在攻击手法和时间上有相似之处。

- 报告共 32 页，扫文末二维码可免费获取 -

胃口永不满足，赎金层层加码

勒索团伙的胃口，正越长越大。根据知名勒索软件数据恢复公司Coveware公布的数据：

与此同时，勒索攻击受害者赎金中位数呈现平稳增长趋势，而赎金均值则呈现急剧增加的趋势。这些趋势可能表明勒索攻击的目标正在从中端市场向中高端市场转变。这种转变可能是由于中高端市场的大型公司通常拥有更多的财务资源和数据资产，因此成为攻击者眼中更具吸引力的目标。

攻击这些公司可能会带来更高的赎金收益，从而提高了攻击 者的回报率。另外，中高端市场的公司在面临勒索软件攻击后的胁迫时可能更倾向于支付高额赎金，因为他们更依赖其数据和系统的正常运行及声誉，这也为攻击者带来了更大的回报。

- 报告共 32 页，扫文末二维码可免费获取 -

用0day、会AI、懂营销，勒索团伙也很卷

这些勒索团伙可以说，个个都是“卷王”

近三年来，通过统计国内客户遭受勒索病毒攻击并进行线下咨询的调查数据，以及分析全球范围内137个勒索攻击案例的海外客户和媒体博客公开数据，发现勒索攻击越来越专业化和技术化。国内和全球范围内的勒索攻击入口点更多地利用了高级入侵手段，如针对企业网络的定向攻击、社会工程学手段或利用Nday和0day等，不再仅依赖弱口令爆破。

如Tellyouthepass家族，便拥有专门的漏洞挖掘团队及专门收购国内安全产品0day业务，利用广泛存在的Web应用漏洞对公网服务器进行了大规模的无差别攻击，导致了大量服务器被入侵。 

此外，随着AI的不断流行，人工智能也将帮助威胁团伙大大加快攻击速度，并创建先进的脚本和勒索软件。如生成真实网络钓鱼邮件、伪造高管风格、编写恶意软件，以此规避检测，突破受害者防线。 

随着勒索对抗的加强，只懂技术还不够，勒索软件团伙一直在不断加强他们的技术能力和心理恐吓手段，并采用了一种新的策略：营销推广。例如，LockBit在加密通讯系统Tox上设立了专门的渠道，用于与其他罪犯、记者和研究人员进行沟通；RansomHouse和8Base团伙通过他们的“PR Telegram频道”向记者分享关于受害者的信息，并承诺提前数小时或数天发布比受害者官方发布时间更早的消息；其他团伙也会在他们的泄露网站或媒体常见问题解答中向记者报道。这些不仅提高了自己的曝光度，而且通过将勒索软件活动描述为一项富有魅力和利润丰厚的业务，不仅使受害者感到恐惧，还可能是为了招募更多成员和附属机构。