你以为勒索软件还是那种单打独斗的黑客小作坊?一个刚冒头三个月的新团伙,已经把"勒索即服务"做成了标准化产品——250美元入门费,三端覆盖,还搞起了会员制。

从初代到2.0:一次典型的产品迭代

打开网易新闻 查看精彩图片

2025年12月,网络安全监控首次捕捉到这个新组织的活动踪迹。当时它还叫初代名号,手法粗糙,影响有限。

两个月后,同一批运营者带着全新版本杀回战场。印度数据安全委员会(DSCI)的研究员通过暗网监控发现,这个重新品牌化的2.0版本已经完全换了一套技术底座——用C++重写的跨平台代码库,能同时啃下Windows、Linux和VMware ESXi三种系统。

这种技术路线的选择很有讲究。C++编译出的二进制文件体积小、运行效率高,还能直接操作底层系统API。对于需要潜伏、加密、外传大量数据的勒索软件来说,这是工程上的最优解。

更关键的是,三端覆盖意味着攻击面几何级扩张。企业IT环境里,Windows终端管日常办公,Linux服务器跑核心业务,ESXi虚拟化平台承载整套基础设施——该团伙一个不落,全吃。

到2026年2月底,DSCI的追踪数据显示,该组织的暗网泄露站点(DLS)仪表盘上挂着20个活跃受害者案例。其中6家企业的数据已被公开抛售,另外14家仍在谈判拉锯中。

这些受害者数据还被同步分发到BreachForums等网络犯罪平台,形成多点位施压。这种"全网曝光"策略,让受害企业在支付赎金之外几乎没有退路。

"三重勒索":产品设计的精妙之处

该团伙在暗网宣传材料里毫不掩饰自己的商业模式,直接打出"Exfiltration / Encryption / Extortion"(外泄/加密/勒索)的三段式组合拳。

第一步,数据外泄。攻击者先花数周甚至数月潜伏在企业网络内部,识别并窃取高价值数据——财务记录、客户数据库、知识产权、员工个人信息。这一步不触发任何告警,企业往往毫无察觉。

第二步,加密锁定。选定时机后,勒索软件批量加密关键系统,让业务瞬间停摆。制造业的产线控制系统、医院的电子病历系统、学校的教务平台——这些对连续性要求极高的场景,加密一小时造成的损失远超赎金本身。

第三步,公开勒索。如果企业拒绝付款,被盗数据就会被挂上暗网拍卖,或直接免费公开。这不仅造成商业损失,还可能触发GDPR等数据保护法规的巨额罚款。

DSCI分析师指出,这种分层设计让受害者陷入"双重困境":付赎金买解密工具,数据早已外泄;不付赎金,业务瘫痪加上声誉崩盘。无论怎么选,损失都不可挽回。

从产品设计角度看,这堪称犯罪领域的"用户留存策略"——通过提高退出成本,迫使目标就范。

全球化运营:一份详细的"市场地图"

该团伙的受害者分布呈现出清晰的地理和行业偏好。

按国家统计,巴西和美国各有4起案件,并列第一;印度3起居次。其余受害者散落在南非、埃及、西班牙、哥伦比亚、意大利、纳米比亚。这种分布既覆盖了数字经济发达的高价值目标,也纳入了安全防护相对薄弱的新兴市场。

行业侧写更具针对性:制造业、教育、医疗、科技——四个共同特征是数据资产密集、业务连续性敏感、安全预算参差不齐。

制造业的工控系统往往年久失修,补丁管理混乱;教育机构网络开放,师生设备混杂;医疗数据价值极高且受严格监管;科技公司则持有大量知识产权和用户隐私。每个行业都被精准击中痛点。

这种"市场细分"能力,说明该团伙背后有成熟的威胁情报收集和受害者筛选机制。不是随机撒网,而是计算过投入产出比的精准捕捞。

基础设施:一套完整的"技术栈"

为了支撑全球化运营,该团伙搭建了一套相当专业的技术基础设施。

通信层全部跑在TOR隐藏服务上,流量经过多层加密和中继跳转,溯源难度极高。内部协作使用TOX协议——一种去中心化的即时通讯工具,不依赖任何中央服务器,聊天记录端到端加密。

他们还开发了一款专属加密聊天工具,用于联盟成员和运营者之间的协调。这种"自建生态"的做法,既降低了被第三方平台监控的风险,也增强了组织内部的凝聚力。

支付环节只收门罗币(XMR)。这种加密货币采用环签名和隐身地址技术,交易金额、发送方、接收方全部隐匿,链上分析几乎不可能追踪资金流向。

会员制背后的"商业逻辑"

该团伙的RaaS模式定价策略相当"亲民":250美元入门费,后续按受害企业规模抽取20%-30%的分成。这种低门槛高返点的设计,迅速吸引了大量下游攻击者加盟。

对比传统勒索软件动辄数万美元的定制开发成本,这种"即插即用"的服务大大降低了犯罪门槛。技术能力不足的攻击者,也能借助平台工具实施精准打击。

DSCI的监测显示,该团伙的联盟网络正在快速扩张。从2025年12月的零星试探,到2026年2月的20起确认案件,增长曲线陡峭。如果这一势头持续,未来数月可能出现更大规模的爆发。

防御困境:为什么传统手段失效

该团伙的技术架构设计,针对性绕过了多项主流安全机制。

C++编写的原生代码避免了脚本语言的特征暴露,静态检测难度大增;跨平台能力让基于单一系统的防护策略出现盲区;TOR+TOX的通信组合,使网络流量分析和通讯监控基本失效。

更棘手的是"三重勒索"模式本身。即使企业部署了完善的备份系统,能恢复被加密的业务数据,也无法消除数据外泄的长期风险。这种"备份失效"效应,直接瓦解了传统灾难恢复策略的心理安全感。

对于制造业、医疗、教育等关键基础设施领域,该团伙的精准打击已经形成实质性威胁。这些行业的共同特点是:数字化程度高但安全投入滞后,数据价值密集但防护手段单一。

DSCI在报告中警告,该团伙的运营模式可能正在被其他犯罪组织复制。RaaS的"订阅制"化,标志着网络犯罪正从手工小作坊向工业化流水线转型。对于防御方而言,这意味着威胁来源更加分散、攻击频次持续攀升、溯源难度指数级增长。