勒索软件集团继续发展其战术和技术，在受损系统上部署文件加密恶意软件，尽管执法部门对网络犯罪团伙采取了破坏性行动，以防止他们伤害其他公司。

英特尔471公司的研究人员在本月发布的一份报告中说：“无论是由于执法、群体间的内讧还是人们完全放弃了变体，此时主宰生态系统的RaaS（勒索软件即服务）群体与几个月前完全不同。”。“然而，即使这些变体发生了变化，勒索软件事件总体上仍在上升。”

近几个月来，政府机构采取的大规模执法行动使RaaS格局发生了迅速变化，并扭转了像阿瓦顿、黑石、Cl0p、黑边、埃格里戈和雷维尔这样的勒索软件集团的局面，迫使参与者放慢脚步或完全关闭业务。

但就在这些变体逐渐消失的时候，其他新兴群体也加入进来填补这一空白。英特尔471的调查发现，2021年7月到9月共有612个勒索软件攻击，这可能归因于35个不同的勒索软件变种。

在观察到的感染中，约60%与四种变体有关，其中以LockBit 2.0（33%）、Conti（15.2%）、Blackmate（6.9%）和Hive（6%）居首，主要影响制造业、消费品和工业产品、专业服务和咨询以及房地产行业。

Avos Locker是众多此类卡特尔中的一个，这些卡特尔不仅目睹了攻击的激增，而且还采取了新的策略来实施其出于财务动机的计划，其中最主要的是能够在目标系统上禁用端点安全产品，并引导到Windows安全模式以执行勒索软件。还安装了AnyDesk远程管理工具，以在安全模式下运行时保持对机器的访问。

SophosLabs首席安全研究员Andrew Brandt说：“这是因为很多（如果不是大多数的话）端点安全产品没有在安全模式下运行——这是一种特殊的诊断配置，在这种配置中，Windows会禁用大多数第三方驱动程序和软件，并可能使其他受保护的机器不安全。”。“Avos Locker部署的技术简单而巧妙，攻击者确保勒索软件在安全模式下运行的可能性最大，并允许攻击者在整个攻击过程中保持对机器的远程访问。”

Hiver的RAAS计划在其部分被称为“侵略性”，因为它使用压力策略，使受害者组织支付赎金，IB集团将应变与355家公司的攻击联系起来，这是自2021年6月下旬在景观上出现以来的10月16日。与此同时，俄罗斯语言勒索软件集团Everest正将其勒索策略提升到一个新的水平，威胁说，如果他们的要求得不到满足，他们将出售对目标系统的访问权。

总部位于英国的网络安全公司指出，“虽然销售赎回服务在过去一年里的人气激增，但这是一个罕见的例子，该集团放弃索取赎金并提供IT基础设施的访问权，但我们可能会在2022和以后看到盗版攻击。”

更重要的是，一个名为Pysa（又名Mespinoza）的相对较新的勒索软件家族已经取代Conti成为11月份勒索软件威胁最高的组织之一，与LockBit 2.0并列。与10月份相比，勒索软件的目标公司数量增加了50%，针对政府部门系统的攻击增加了400%。

英特尔471研究人员说：“虽然世界各地的执法部门在逮捕这些攻击背后的人方面变得更加积极，但开发人员仍然很容易关闭流行的变体，降低成本，并带回自己以及附属公司使用的经过精调的恶意软件。”。“只要开发商能够留在他们被授予安全港的国家，攻击就会继续，尽管有不同的变种。”