勒索软件家族图谱
本页面展示当前全球活跃的主要勒索软件家族及其变种关系、技术特征和受害者分布。勒索软件生态系统不断演化,新的家族和变种持续出现,了解这些信息有助于安全团队制定针对性的防御策略。
第一梯队:高活跃度家族
LockBit 3.0 (Black)
首次出现:2022年
模式:RaaS(双重勒索)
加密方式:AES-256 + RSA-2048
目标行业:制造业、医疗、政府
特征:间歇性加密、自传播能力
已知受害者:1500+组织
模式:RaaS(双重勒索)
加密方式:AES-256 + RSA-2048
目标行业:制造业、医疗、政府
特征:间歇性加密、自传播能力
已知受害者:1500+组织
BlackCat / ALPHV
首次出现:2021年
模式:RaaS(三重勒索)
加密方式:ChaCha20 + RSA
目标行业:关键基础设施、金融
特征:Rust编写、跨平台
已知受害者:800+组织
模式:RaaS(三重勒索)
加密方式:ChaCha20 + RSA
目标行业:关键基础设施、金融
特征:Rust编写、跨平台
已知受害者:800+组织
Cl0p
首次出现:2019年
模式:数据窃取+勒索
加密方式:AES + RSA-1024
目标行业:供应链、文件传输
特征:零日漏洞利用、批量攻击
已知受害者:2000+组织
模式:数据窃取+勒索
加密方式:AES + RSA-1024
目标行业:供应链、文件传输
特征:零日漏洞利用、批量攻击
已知受害者:2000+组织
第二梯队:活跃上升家族
Royal / BlackSuit
首次出现:2022年
模式:双重勒索
目标:中小企业、教育
特征:无RaaS模式、自主运营
模式:双重勒索
目标:中小企业、教育
特征:无RaaS模式、自主运营
Akira
首次出现:2023年
模式:双重勒索
目标:VPN设备漏洞
特征:复古风格泄露网站
模式:双重勒索
目标:VPN设备漏洞
特征:复古风格泄露网站
Play
首次出现:2022年
模式:间歇性加密
目标:拉美地区企业
特征:利用Exchange漏洞
模式:间歇性加密
目标:拉美地区企业
特征:利用Exchange漏洞
8Base
首次出现:2023年
模式:双重勒索
目标:中小企业
特征:基于Phobos变种
模式:双重勒索
目标:中小企业
特征:基于Phobos变种
历史重要家族(已衰落或被打击)
Conti(已解散)
活跃期:2020-2022
成员分散至LockBit、Royal等
成员分散至LockBit、Royal等
REvil / Sodinokibi(已打击)
活跃期:2019-2022
多名成员被逮捕
多名成员被逮捕
DarkSide(已更名)
活跃期:2020-2021
Colonial Pipeline事件后重组为BlackMatter
Colonial Pipeline事件后重组为BlackMatter