2023年活动最猖獗的10大黑客组织

安全牛

黑客组织是由大量技术熟练但道德缺失的专业人员组成的去中心化组织，他们利用计算机系统或网络中的安全漏洞，实施 DDoS 攻击、安装恶意软件或窃取敏感数据。黑客组织的攻击目标包括了政府机构、企业组织、金融机构和关键基础设施单位等，虽然他们实施这些攻击的原因很多，但通常可以归结为非法牟利、从事间谍活动以及国家间的对抗等。

黑客组织会给企业的数字化发展带来多种威胁和挑战，只有充分了解他们的背景、动机、策略，企业才有机会更好地保护自己。日前，安全网站 makeuseof.com 收集整理了目前最活跃、最危险的 10 大黑客组织，通过研究这些组织的特性，企业可以学习如何更好地识别、预防和抵御他们，并为可能发生的攻击做好准备。

Lazarus  Group

Lazarus Group 又名 HIDDEN COBRA、Zinc、APT-C-26、Guardians of Peace 等称号，被行业普遍认为是来自东亚地区某国的一个活跃 APT 组织。虽然 Lazarus Group 的攻击战术和攻击目标不断变化，但该组织的身份至今依然是个谜，目前并不能确认 Lazarus Group 到底是一个由政府资助的黑客组织还是一个全球性的雇佣性黑客团伙。

自 2009 年起，大量的网络攻击事件被认为是由该组织发起并实施，特别在 2017 年后，Lazarus Group 加大了攻击行动力度，组织了多起影响重大的攻击事件，例如对波兰和墨西哥等国的大型银行机构开展攻击、释放 WannaCry 病毒以及针对美国政府外包服务商的网络钓鱼行动等。2023 年 1 月，该黑客组织盗走了价值惊人的 1 亿美元 Harmony 加密货币，使其再度成为网络安全界关注的焦点。

Lazarus 攻击目的主要以窃取资金为主，针对银行、比特币交易所等金融机构及个人实施定向攻击，堪称全球金融机构的最大威胁。其次，Lazarus 还针对航空航天、工程、技术、政府、媒体等机构及企业进行渗透，达到窃取重要资料及破坏勒索的目的。

BlackBasta

BlackBasta 勒索软件组织在 2022 年初引起全球网络安全界的关注，这个勒索软件即服务（RaaS）犯罪组织在短短几个月内攻陷了一系列企业组织并使其成为受害者。据安全外媒报道称，瑞士科技巨头 ABB 受到了该组织的攻击导致大量敏感数据泄露，最终不得不支付了天价赎金。而 BlackBasta 组织的最大特点就是通过精心策划发起精准勒索攻击。

目前，BlackBasta 不遗余力地将美国、加拿大、英国、澳大利亚、新西兰和日本等国的企业组织作为攻击目标。行业普遍认为该组织和已解散的俄罗斯 Conti 勒索组织有高度相关性，因为他们在恶意软件开发、勒索谈判流程和付款方法上存在非常多的相似之处。

LockBit

LockBit 勒索软件于 2019 年首次浮出水面，由于其不断采用新的策略、技术和支付方式，经不断发展和演变，现已成为勒索软件领域作案最为频繁的威胁团伙之一，也被研究人员列为当前 “最危险的恶意软件威胁之一”。LockBit 勒索软件与其他勒索软件的关键区别在于，在勒索策略上已经开始资本化发展，成为一款勒索软件即服务（RaaS）产品。同时，该团伙还一直将工业基础设施作为重点关注的攻击目标。研究人员还发现，LockBit 团伙在 2022 年 11 月开始攻击 macOS 用户，且能在受害者的 macOS 环境中造成与 Windows 环境中同样严重的破坏。

Lapsus$

Lapsus$ 是一个可怕的黑客组织，其在 2021 年 12 月，对巴西国家卫生部进行了非法的勒索软件攻击，导致数百万人的新冠疫苗接种数据被泄露。此后，这个组织就盯上了全球各地的知名科技公司。2022 年 3 月，Lapsus $ 组织在不到二十天的时间内 “疯狂作案”，英伟达、三星、育碧、微软等科技巨头都成为其勒索攻击的受害者。此外，他们还对网络游戏公司发起了广泛的黑客攻击。

不过，该组织成员的身份依然成谜：报道称一名英国少年可能是幕后黑手，另有报道则认为该组织和巴西有密切关联。虽然伦敦警方逮捕了七名与 Lapsus$ 组织有关的犯罪人员，但该组织仍在继续运作，企业组织应该对其进行高度戒备。

Dark Overlord

Dark Overlord（TDO）一直以知名的企业或社会组织作为勒索攻击的目标，如果得不到巨额赎金，就会公布受害组织的敏感文件。该组织最初是在 2016 年被业界关注，当时他们主要是针对医疗卫生机构和学校进行攻击，甚至会向受害者发出人身威胁的恐吓。这些惨无人性的攻击引起了广泛的社会性恐慌，导致美国 30 多所学校关闭，15000 多名学生休学在家。2022 年，TDO 声称将披露和 “9/11 事件” 相关的绝密文件，并以此威胁美国政府支付赎金。虽然 TDO 的一名主要成员已经被捕入狱，但该组织的起源和成员身份仍不得而知。

Clop 组织

Clop 组织发起的网络攻击是在 2019 年被业界发现，他们主要针对大型成熟企业，尤其是金融、医疗保健和零售领域的组织。Clop 组织的攻击目标是窃取数据并索要赎金，他们善于利用网络漏洞和网络钓鱼来获取网络访问权限，然后横向移动以感染尽可能多的系统。目前，Clop 组织攻击的受害者包括 Software AG、加州大学旧金山分校 (UCSF）和文件传输设备制造商 Accellion 等。由于 Clop 的攻击策略不断变化且非常复杂，因此该组织持续对世界各地的大型公司构成较严重的威胁。

Anonymous

Anonymous 是一个去中心化的国际活动家和黑客行动主义集体和运动，主要以针对政府机构、社会性团体和教会组织开展网络攻击而闻名。Anonymous 起源于 2003 年的图像板 4chan，代表许多在线和离线社区用户同时作为 “无政府主义”、数字化 “全球大脑” 或 “蜂群思维” 存在的概念。匿名成员（被称为 anons）有时可以通过在图画小说和电影 V for Vendetta 中描绘的风格佩戴 Guy Fawkes 面具来体现他们的特点。目前，业界对该组织的行动和有效性认知存在较大分歧，一些支持者称该组织为 “自由战士”，而反对者们则称他们为 “网络恐怖分子”。

Dragonfly

Dragonfly 也被称为 Berserk Bear、Crouching Yeti、DYMALLOY 和 Iron Liberty，被认为是一个得到了政府机构支持的网络间谍组织，由一批具备较高攻击技能的黑客组成。从 2010 年开始，Dragonfly 组织就开始规范化地运营，并针对欧洲和北美的关键基础设施以及国防领域的军工系统进行了特定攻击，但目前尚没有被官方明确证实与该组织有关的网络攻击事件。该组织的主要攻击模式包括复杂的鱼叉式网络钓鱼活动和路过式妥协攻击，

Killnet

Killnet 是一个从 2022 年 1 月开始频繁活动的年轻黑客组织，其最初只是在黑客论坛上出售 DDoS 攻击 “服务”。随着东欧地区冲突的爆发，该组织成为冲突期间最为活跃的黑客组织之一 。尽管 Killnet 组织的攻击目标主要是针对乌克兰以及支持乌克兰的国家和地区，不过安全研究人士认为，Killnet 是一个由民间黑客组成的松散团体，与政府组织和军事机构并无直接关系。在 2022 年，Killnet 组织几乎每个月都会发动多起网络攻击，导致多国的政府服务和关键基础设施瘫痪。不过受限于 DDoS 的性质，Killnet 组织的攻击活动很少对攻击目标产生严重的长期影响。

Kimsuky

Kimsuky 又名 APT-C-55、Mystery Baby、Smoke Screen、Black Banshe 等，最早由卡巴斯基公司于 2013 年发现并命名。在此后的 10 年间，Kimsuky 组织一直处于活跃状态，攻击目标包括美国、日本、俄罗斯以及一些欧洲国家。数据显示，Kimsuky 组织在 2022 年的活跃度还在持续提升，保持了全年范围内的攻击覆盖度。Kimsuky 组织拥有功能完善的恶意代码武器库，能够持续更新攻击工具，并使用新技术增加反分析手段。同时，该组织擅长以社会热点、地缘政治事件为诱饵，通过鱼叉式网络钓鱼、社会工程学、水坑攻击等手段，向受害者投递诱饵文档、恶意软件。