帕洛阿尔托网络公司(Palo Alto Networks)的第42单元(Unit 42)的一项新研究发现，四个新兴的勒索软件集团分别是AvosLocker, Hive Ransomware, HelloKitty和LockBit 2.0，它们在未来有可能会引发更大的问题。

新兴勒索软件威胁集团

“随着REvil和Darkside等主要勒索软件集团通过降低活跃度和重塑品牌的方式，成功的躲避了执法和媒体的关注之后，新的集团出现并取代不再积极针对受害者的集团，”该安全公司的最新报告《勒索软件集团观察:新兴威胁》(ransomware groups to Watch: Emerging Threats)说。在研究中，威胁情报分析员Doel Santos和主要威胁研究员Ruchna Nigam详细描述了四个勒索软件集团的行为。

AvosLocker

AvosLocker于2021年7月首次被发现，它是在勒索软件即服务(RaaS)模式下运营的，由avos控制，avos在暗网论坛Dread上宣传其服务。它的勒索信息包括受害者的个人信息和ID。根据这项研究显示,赎回个人信息的赎金有时高达5万美元到7.5万美元之间。

Hive Ransomware

该报告称，Hive勒索软件于2021年6月开始运行，其针对的是防御网络攻击能力不足的医疗机构和其他企业。该集团在其泄密网站Hive Leaks上公布了第一个受害者的详细信息，随后又公布了其他28名受害者的详细信息。“当这个勒索软件被执行时，它会扔下两脚本，”研究人员写道。第一个脚本hive.bat试图删除信息，第二个脚本负责删除系统的影子副本(shadow.bat)。hive扩展到加密文件，并留下一个名为HOW_TO_DECRYPT.txt的赎金通知。

研究人员无法详细说明这种勒索软件的具体发送方式，但他们认为，该软件可能会使用传统的方式。

HelloKitty: Linux版

HelloKitty在2020年被出现，主要针对Windows系统。它的名字来自于它对HelloKittyMutex的使用。在2021年，Palo Alto检测到一个名为funny_linux的Linux (ELF)样本。之后他们发现了更多的样本。

研究人员写道:“在不同样本的勒索信中，攻击者共享的首选通信模式是Tor url和特定受害者的Protonmail电子邮件地址的混合。”“这表明可能是不同的活动，甚至是完全不同的威胁行为者用了相同的恶意代码库。”高达1000万美元的Monero赎金被检测到，攻击者愿意接受比特币支付。勒索软件使用椭圆曲线数字签名算法(ECDSA)加密文件。

LockBit 2.0

LockBit 2.0是操作RaaS的另一个集团，从2019年开始运行。帕洛阿尔托发现了最近该集团的演变方法，参与者声称他们是目前运行中最快的加密软件。研究人员写道:“威胁行动者在其泄露网站上发布的所有帖子，都写到了机密信息会在哪个具体的时间被发布，这给受害者带来了很大的压力。”在执行时，LockBit 2.0开始文件加密并附加. LockBit扩展名。当加密完成时，一个名为Restore-My-Files.txt的赎金通知将会通知受害者，并提供解密步骤的建议。（本文出自SCA安全通信联盟，转载请注明出处。）