Veechoo 2025-10-28 08:45 上海
安小圈
🦠 **勒索软件团伙的“创业”模式:** 文章揭示了勒索软件团伙如何模仿商业世界的迭代,通过宣布“退出”实则进行重组和更名,形成一个“永不结束的创业循环”。他们借鉴初创公司的运营模式,如设立“客服邮箱”、“公关团队”,甚至模仿“激励机制”如“赏金制度”,将网络犯罪“企业化”和“平台化”,以RaaS(勒索软件即服务)模式吸引“加盟商”,并按比例分成,使得黑客行业如同一个“黑市创业孵化器”。
🔄 **“退场”的幻象与“复活”的现实:** 尽管全球执法部门通过大规模行动“终结”了Hive、REvil、LockBit等多个知名勒索软件团伙,查封服务器、冻结钱包,但这些团伙往往通过更名、重组或成员转投新平台的方式迅速“复活”。例如,Hive成员转型为Hunters International,BlackMatter重命名为ALPHV/BlackCat,LockBit的代理商流向新的平台。这种现象表明,打击单个组织难以根除整个生态系统,犯罪团伙的“反复上市退市”成为常态。
📈 **勒索产业的持续繁荣与演进:** 文章指出,勒索产业呈现出“越打击越繁荣”的特点。其持续繁荣得益于攻击面广、跨境取证难、加密货币匿名交易以及团伙结构松散等因素。新兴团伙如Scattered LAPSUS$ Hunters更是将模式升级为“数据泄露 + 公关威胁”,并以类似SaaS企业主页的泄密网站进行宣传。AI辅助攻击、自动化渗透和供应链渗透等技术发展,进一步降低了行业门槛,数据作为最值钱的资产和恐惧作为最稳定的商业模式,将驱动勒索产业在可预见的未来继续发展。
⚖️ **执法困境与生态的韧性:** 执法部门虽然通过逮捕核心黑客、摧毁泄密网站取得一定成效,但面临的困境在于攻击面的广泛性、跨境协作的复杂性以及犯罪生态系统的去中心化。即使逮捕了“CEO”,也难以触及所有“自由职业者”。文章还讽刺地提到,被捕的黑客甚至能在服刑期间收到同行寄来的“祝贺奖金”,这凸显了执法在打掉整个犯罪生态系统方面的挑战,仿佛是摧毁了连锁总部的同时,留下了无数加盟店。
Veechoo 2025-10-28 08:45 上海
安小圈
导语:一场永不结束的“退出仪式”
在网络黑暗世界里,“退休声明”是一种幽默的仪式。 几乎每隔半年,就会有某个声名狼藉的勒索软件团伙在暗网上宣布“我们决定退出江湖”,并附上一段感人至深的自白:
“我们赚够了,想安静生活。” “我们不想伤害无辜。” “这是最后一次更新。”
可几乎在同一周,另一个名字相似、语气雷同、加密算法一模一样的新团伙,就会像创业孵化器里的毕业生一样登场,开着崭新的“泄密网站”,宣称要让世界“重新认识专业的黑客精神”。
这一切像极了商业世界的迭代: 旧的公司上市退市,新的创业团队接力上场; 投资人换了批,LOGO换了色,商业模式却依然如故。 只不过,这场创业游戏的“市场”是恐惧与赎金,客户是被锁住数据的企业,投资回报率则以比特币计价。
欢迎来到 2025 年的勒索产业:一个越打击越繁荣的赛道。
自 2023 年以来,全球网络安全圈经历了多次堪称“大片级”的执法行动。 Hive、REvil、Conti、LockBit、BlackCat……一个个名字被媒体高调宣布“终结”,服务器被查封、钱包被冻结、域名挂上警徽标志。那一刻,世界似乎松了口气。
但“打掉一个组织”的新闻稿往往没撑过三天热度。 研究者在暗网追踪到熟悉的语气、相似的谈判信模板、甚至连错别字都一模一样的“继任者”。 原Hive成员转型做“Hunters International”; BlackMatter重新命名为“ALPHV / BlackCat”; LockBit被全球执法联合打击后,代理加盟商又迅速流向新平台。
有人戏称,这些团伙“创业经验丰富、反复上市退市”; 他们唯一的破产原因,是FBI的公告太早发布。
2025年秋天,一个名叫Scattered LAPSUS$ Hunters的新团伙出现在暗网。他们自称由Scattered Spider、LAPSUS$和ShinyHunters三个臭名昭著的组织合并而成。 这次,他们不再搞单纯加密勒索,而是“升级”为数据泄露 + 公关威胁模式:
“我们拿到了42家企业的数据,包括Salesforce生态的客户文件。若不谈判,将公开全部资料。”
泄密网站做得像一家SaaS企业主页: 首页有logo、统计数据、支持邮箱, 用户还能输入公司名查是否被“收录”; 甚至提供一个邮箱模板:“VERIFICATION: [公司名称]”。 更离谱的是,他们还设立了“赏金制度”: 向企业高管发送勒索邮件,每发一封可获 10 美元奖励。
这不是犯罪集团,这是初创团队的激励机制。 如果黑客世界有《创业邦》,他们大概能上封面。
在传统印象里,勒索攻击是黑客个人行为:几个技术宅写代码、入侵、索要赎金。 但如今的勒索生态,早已“企业化”。
就像SaaS(软件即服务)一样,如今的勒索软件也是服务化运营:
核心开发团队负责维护代码、加密算法、支付系统;
“加盟商”负责渗透与部署;
收入按比例分成,一般20%到40%。
对黑客而言,这比炒币稳、比挖矿赚。 一场成功攻击,几小时收入相当于一个中小企业全年利润。
他们有“客服邮箱”,处理谈判与付款确认; 有“品牌设计”,甚至雇佣文案在 Telegram 公告里调侃执法部门; 有团伙甚至设立“企业社会责任”部分,声称不攻击医院、慈善组织。
这套话术与硅谷创业公司如出一辙—— 只是那里叫“客户成功部门”,这里叫“数据解锁协商组”。
黑客论坛早就形成融资生态。攻击者出售漏洞、雇佣渗透者、众筹服务器,利润流转如同风投圈的“Pre-A轮”。 当局势不妙,主脑宣布“退隐”,再换个名字融资重来。
在这个意义上,勒索组织确实是一种创业公司—— 他们有团队、有市场、有现金流,也有投资回报。 区别只是,他们的“客户留存率”靠恐惧维持。
FBI、欧洲刑警组织、Interpol 一直在努力。 过去三年,他们摧毁了数十个泄密网站、逮捕多名核心黑客。 但真正的困境在于:
攻击面过广:任何中小企业都可能成为目标;
跨境取证困难:嫌疑人分布于十几个司法辖区;
加密货币匿名交易 让资金追踪形同盲飞;
团伙结构松散,更像一个去中心化的生态系统,而非公司。
你可以抓住某个 CEO,却抓不完所有自由职业者。 这就像摧毁一家连锁品牌的总部,却留下一堆加盟店。
更令人啼笑皆非的是,一些被捕的“勒索工程师” 竟然在服刑期间收到同行寄来的“祝贺奖金”, 金额精确到 0.05 个比特币—— 这不是惩罚,这是年终奖。
媒体喜欢讲“创业逆袭”的故事—— 一个普通程序员,用代码改变命运。 黑客世界也是如此,只是方式更“直接”。
有人从客服转型为社工专家; 有人靠出售漏洞积累第一桶金; 有人写出“加密算法”后被团队买断, 几年后又重新创业,用几乎相同的代码再发一轮。
这群人看着像罪犯,却活在同一逻辑里—— 他们相信 技术 + 组织 + 勇气 = 成功。 只是,他们的“用户增长”靠的是加密病毒。
更有讽刺意味的是, 当勒索组织宣布“退出江湖”时, 社交平台上竟有人留言祝贺:“Good luck in your next project.” 这句常见于创业告别信的话,如今成了网络犯罪的墓志铭。
2025 年的勒索世界,像极了二十年前的互联网创业浪潮—— 热钱流动、人才饥渴、品牌崛起、规则滞后。 不同的是,这个市场没有 IPO,只有被捕。
从技术上看,AI 辅助攻击、自动化渗透、供应链滲透已经让勒索产业门槛更低; 从商业逻辑上看,数据仍然是最值钱的资产, 而恐惧,始终是最稳定的商业模式。
或许,这场战争永远不会真正“结束”。 每当警方摧毁一个网站、冻结一批钱包, 暗网上总有人贴出新的公告:
“感谢关注我们的前一个项目,我们即将推出全新平台,敬请期待。”
在勒索的世界里,没有真正的退休, 只有下一次创业。
【内容来源:VeeChoo】
中国联通DNS故障敲响警钟:DNS安全刻不容缓
个人信息保护负责人信息报送系统填报说明(第一版)全文
【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单
攻防演练在即,10个物理安全问题不容忽视
红队视角!2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)
【攻防演练】中钓鱼全流程梳理
攻防演练在即:如何开展网络安全应急响应
【2025】常见的网络安全服务大全(汇总详解)
AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑