隨著全球新冠病毒大流行，世界各地的經濟處于崩潰的邊緣，失業率攀升。然而，勒索軟件由于其匿名性和暴力性，導致一些使用勒索軟件進行分發斂財的團隊愈發增多。

　　2020年以來，這些制造勒索軟件的服務商，以及從這些服務商購置勒索軟件用于投遞給受害者的攻擊者（會員），二者配合，外加服務商提供的恐嚇勒索之數據曝光服務，讓世界各地公司，政府，學校等等機構深惡痛疾。

　　但勒索軟件也并不是不能醫治，如果殺毒軟件廠商及時更新勒索軟件特征，用戶及時更新殺毒軟件，便能在一定程度上降低系統被殺毒軟件加密的概率，下面黑鳥就來給大家看一下2020年以來活躍的提供勒索軟件使用服務團伙，也就是我們平常說的勒索軟件即服務（RaaS）。

　　如下面的表格顯示，一般有博客的團伙都會使用恐嚇方法，即將加密公司系統前的數據，發布在博客上，從而要挾公司趕緊交贖金。

　　新成立的Raas團伙：

　　勒索市場的中堅力量：

　　勒索軟件市場的最強力量：

　　DopplePaymer

　　自2019年以來，DoppelPaymer，由前BitPaymer（FriedEx）勒索軟件成員組成。勒索軟件本身通常是在拷貝敏感數據后，再手動部署。DoppelPaymer團隊運營著一個基于Tor的博客，該博客用于發布有關受感染公司及其被盜數據的信息。

　　Egregor/Maze

　　目前Maze（迷宮）勒索軟件服務幕后團伙已經宣布將關閉其運營。然而，有分析人員指出Maze的成員或者會員已經融入Egregor勒索軟件背后的服務中。

　　Egregor在操作中遵循一種熟悉的模式：破壞公司網絡以竊取敏感數據并部署勒索軟件，與受害者進行通信并索取贖金，然后在受害者組織拒絕支付贖金時將敏感數據轉儲到博客中。

　　有證據表明，Egregor也與Sekhmet勒索軟件有關。Egregor包含與Sekhmet相同的Base64編碼數據，其中最后一行包含來自受感染系統的其他參數。研究人員還發現，Egregor贖金記錄與Sekhmet所使用的記錄極為相似。

　　Netwalker

　　NetWalker最早在2019年9月被發現，背后的攻擊者在2020年使用了釣魚郵件攻擊，這些郵件利用了對疫情大流行的影響和恐懼來誘使受害者將惡意軟件安裝到系統中。5月，運營商啟動了一個基于Tor的博客，以發布從受害者組織那里偷來的敏感數據，這些組織拒絕支付所要求的贖金。

　　NetWalker的會員使用了無文件感染技術，據稱可以繞過Windows 7和更新版本操作系統的用戶帳戶控制組件。NetWalker可以在兩種模式下操作：在網絡模式下，可以對單個計算機或整個網絡的計算機進行勒索，而受害者可以購買具有主密鑰的解密工具或購買必要的密鑰以對所有網絡中的計算機進行解密。在個人模式下，一次贖金僅解密一臺計算機。

　　REvil/Sodinokibi

　　REvil是市場上最普遍的勒索軟件變體之一，首次部署于2019年4月17日，攻擊者利用了Oracle WebLogic服務器中的漏洞CVE-2019-2725。兩個月后，XSS論壇上開始出現售賣勒索軟件服務的廣告。

　　該組織攻擊方法，最常見采用遠程桌面協議（RDP）漏洞，例如 BlueGate漏洞，該漏洞允許授權用戶遠程執行代碼。此外還有通過Citrix 和 Pulse Secure VPN漏洞進行遠程代碼攻擊。據稱攻擊者在大約三分鐘內就可以訪問整個網絡。

　　REvil的會員負責攻擊和訪問目標網絡，下載有價值的文件并部署實際的勒索軟件，而REvil團伙則負責受害者談判以及勒索，勒索贖金和分發。這種模式顯然導致了利潤的飛漲：根據REvil的說法，一個會員的收入從每個目標約20,000美元增加到30,000美元，而另一家RaaS提供的收益在與REvil聯手后僅六個月內就達到了每個目標約700萬美元至800萬美元。

　　Ryuk

　　Ryuk勒索軟件，是一個通過使用Trickbot僵尸網絡和Emotet惡意軟件進行最后階段分發的勒索軟件。

　　Ryuk的會員在攻擊中遵循一種模式：雇用黑客發起釣魚郵件活動，以傳播黑客的銀行惡意軟件。然后，另一組黑客在公司網絡內進行提升權限并部署勒索軟件。

　　2020年以來，Ryuk勒索軟件爆炸式增長，全球數百萬起勒索軟件事件中都有它的影子。一些安全研究人員估計，在今年發起的勒索軟件攻擊中，有多達三分之一發現了Ryuk。

　　Ryuk今年一直集中針對醫療保健領域進行勒索攻擊，曾針對美國最大的醫院系統：全民健康服務公司進行勒索。